Cifrado frente a criptografía: ¿cuál es la diferencia (y por qué es importante)?

El cifrado protege los datos de miradas indiscretas. Pero ¿qué hay de la criptografía? ¿Es solo otro nombre para el mismo concepto?

No exactamente. Aunque estos términos se utilizan a menudo de forma intercambiable, no son idénticos. A continuación, se explica el significado práctico de cada término, cómo se utilizan en ciberseguridad y por qué es importante la diferencia. 

¿Qué es el cifrado?

El cifrado convierte la información legible en información ilegible mediante una clave. La información legible también se conoce como texto sin formato, mientras que la información ilegible se denomina texto cifrado. Una vez que los datos se cifran, quedan efectivamente «bloqueados»: solo alguien con la clave correcta puede cancelar el bloqueo y descifrar los datos. 

Veamos un ejemplo.

Bob quiere enviarle a Susan un correo electrónico con información actualizada sobre el proyecto confidencial en el que están trabajando. Su mensaje es sencillo: «La fase 1 está completa». Si envía este mensaje sin encriptar, es posible que atacantes puedan espiar digitalmente la conversación y leer su mensaje. 

El cifrado convierte el mensaje de Bob en lo que parece un galimatías. Mediante una clave de cifrado, el mensaje ahora se lee como: «2gnew Ln aog noaglss». Cabe señalar que el texto cifrado no tiene por qué tener la misma longitud que el original. Susan recibe el mensaje y, utilizando su clave de descifrado, lo convierte de nuevo en texto sin formato. 

Existen dos métodos habituales de cifrado: simétrico y asimétrico.

En el cifrado simétrico, la clave para codificar y descodificar los mensajes es la misma, lo que significa que siempre debe mantenerse en secreto. El cifrado simétrico es sencillo y rápido, pero conlleva riesgos si las claves se filtran o se roban accidentalmente.

En el cifrado asimétrico, se utilizan dos claves diferentes. Se usa una clave pública para cifrar los datos. Esta clave se puede compartir libremente, ya que su única función es convertir el texto sin cifrar en texto cifrado. Para descifrar los datos se utilizan claves privadas, que deben mantenerse en secreto.

Uno de los marcos simétricos más comunes es el Estándar de cifrado avanzado (AES), que utiliza tres longitudes de clave diferentes: 128, 192 y 256 bits. Cuantos más bits, más difícil es descifrar la clave. En teoría, una computadora tardaría millones de años en descifrar una clave de 256 bits. 

¿Qué es la criptografía?

La criptografía es el campo de estudio que se ocupa de la comunicación segura. Abarca tres áreas amplias: confidencialidad, integridad y autenticación.

Confidencialidad: este aspecto de la criptografía se centra en ocultar el contenido de un mensaje. El cifrado entra dentro de esta categoría. 

Integridad: la integridad de los datos garantiza que los mensajes originales permanezcan inalterados. Se consigue protegiendo el mensaje en sí contra la manipulación o la modificación. En la práctica, puede adoptar la forma de redes empresariales protegidas o redes privadas virtuales (VPN) que impiden el espionaje digital. 

Autenticación: la autenticación tiene que ver con la identidad. ¿Es el remitente del mensaje quien dice ser? ¿Es la persona que intenta acceder al mensaje el destinatario previsto? Por parte del remitente, las herramientas avanzadas de protección del correo electrónico utilizan algoritmos de inteligencia artificial para detectar y eliminar posibles amenazas. En el lado del receptor, soluciones como la autenticación multifactorial (MFA) pueden ayudar a verificar la identidad de los usuarios. 

¿Cómo afectan a la ciberseguridad?

Sin un cifrado eficaz, las empresas pueden perder datos financieros, intelectuales y personales. 

Pensemos en la reciente filtración de más de 184 millones de credenciales de inicio de sesión de usuarios. Las credenciales, almacenadas en una base de datos de acceso público, abarcan desde los inicios de sesión de Google y Apple hasta los de servicios gubernamentales y plataformas de videojuegos. 

¿El denominador común? La falta de cifrado. Una vez dentro de la base de datos —que no estaba protegida con contraseña— nada impedía a los ciberdelincuentes coger lo que querían y utilizarlo para comprometer las cuentas. Por suerte, investigadores de seguridad detectaron la fuga de datos antes de que los actores maliciosos pudieran acceder a ella, y la base de datos ya no está en línea.

Sin embargo, incluso si la base de datos estuviera cifrada, no se garantizaría su seguridad. A medida que las tecnologías evolucionan, los atacantes se vuelven más hábiles para encontrar y explotar fallos en los procesos de cifrado. Por ejemplo, los métodos más antiguos, como el Estándar de Cifrado de Datos, utilizan claves más cortas que los hacen vulnerables a atacantes.

La investigación en criptografía ayuda a descubrir y probar nuevos métodos de cifrado. Por ejemplo, el NIST ha publicado recientemente su primer conjunto de algoritmos de cifrado resistentes a la cuántica, que responde a la rápida evolución de los ordenadores cuánticos, capaces de acortar el tiempo necesario para descifrar estándares actuales, como el AES 256. 

¿Por qué importa la diferencia?

Dada la superposición entre cifrado y criptografía, no es de extrañar que los términos se confundan a menudo. En general, este hecho tiene un impacto mínimo en el resultado de la ciberseguridad. Mientras los datos estén protegidos, la terminología es lo menos importante.

La diferencia es significativa a la hora de desarrollar nuevas soluciones y técnicas de seguridad. Aunque el cifrado es un componente clave de una defensa eficaz, es solo una parte de un todo más amplio. Por sí solo, impide que los atacantes accedan a datos confidenciales, pero no aborda las cuestiones relacionadas con la integridad o la autenticidad. 

Para las empresas, el cifrado actúa como primera línea de defensa: incluso si se roban datos, siguen sin poderse utilizar. La integridad y la autenticación, por su parte, ayudan a crear un enfoque de ciberseguridad integral que reduce el riesgo total.