Cifrado en reposo - Protección de datos en disco
Lectura de 2 min aprox.
El cifrado en reposo (Encryption at Rest) es una técnica que protege los datos almacenados cifrándolos. Aunque los datos guardados en un disco duro, SSD o almacenamiento en la nube sean robados físicamente o se acceda a ellos sin autorización, su contenido no puede leerse mientras esté cifrado. A fecha de 2025, los principales servicios en la nube (AWS, Azure, GCP) habilitan el cifrado en reposo de forma predeterminada, y es una medida estándar como requisito de cumplimiento empresarial. Es un concepto que forma pareja con el cifrado en tránsito (Encryption in Transit).
Casos de uso reales
«El portátil de un empleado fue robado durante un viaje de trabajo, pero como el cifrado de disco completo con BitLocker estaba habilitado, consideramos que el riesgo de fuga de datos era extremadamente bajo. Sin cifrado, habría surgido la obligación de notificar una fuga de información de clientes.»
Métodos de cifrado en reposo
El cifrado de disco completo (FDE) cifra todo el disco, siendo BitLocker (Windows) y FileVault (macOS) ejemplos representativos. El cifrado a nivel de archivo cifra archivos o carpetas individuales. El cifrado de bases de datos protege los datos dentro de una base de datos mediante métodos como TDE (Transparent Data Encryption). En entornos de nube, el cifrado del lado del servidor con AWS KMS o Azure Key Vault es lo estándar.libros sobre cifrado de datos (Amazon) permiten estudiar este tema en detalle.
La diferencia con el cifrado en tránsito
Mientras que el cifrado en reposo protege los datos en el almacenamiento, el cifrado en tránsito (como SSL/TLS) protege los datos que circulan por la red. Por ejemplo, una contraseña enviada por HTTPS se cifra durante la transmisión, pero cuando se guarda en la base de datos del servidor permanece en texto plano si no hay cifrado en reposo. La protección completa de los datos requiere ambos. Los conceptos básicos del cifrado explican en detalle la relación entre ambos.
Relación con las contraseñas
Descifrar un almacenamiento cifrado requiere una contraseña o una clave de cifrado. Usar una contraseña aleatoria suficientemente larga como frase de contraseña del cifrado de disco logra una protección sólida incluso frente al robo físico. La gestión de la clave de cifrado también es importante, ya que perder la clave hace que los datos resulten inaccesibles. Se dice que cada año se pierden o roban millones de portátiles, por lo que el cifrado de disco completo es una medida imprescindible junto con la seguridad del almacenamiento en la nube.libros sobre gestión de claves (Amazon) también son una referencia útil.
¿Te resultó útil este artículo?