Cifrado de copias de seguridad 101: Directrices y mejores prácticas

La definición de una copia de seguridad cifrada

La encriptación en sí misma no es un término tan difícil: es un método de salvaguarda de datos, que se realiza reordenando o codificando los datos para que sólo las partes autorizadas puedan devolverlos a su estado original, normal. El objetivo principal de la encriptación es que la información original de los datos encriptados quede efectivamente oculta o inaccesible. En este contexto, cifrar las copias de seguridad de los datos es una de las salvaguardas más sencillas contra los ciberdelitos, pero tampoco es 100% seguro.

El cifrado salvaguarda los datos transformándolos de su formato de texto plano (texto legible) a texto cifrado (un formato ilegible) mediante sofisticados algoritmos matemáticos y claves de cifrado. La intención es que el descifrado de los datos sólo esté disponible para los usuarios que se supone que tienen acceso a ellos en primer lugar.

Existen multitud de ejemplos en los que la encriptación de datos se ha aplicado a gran escala. Algunos de estos ejemplos sólo utilizaron la encriptación cuando ya se había producido una violación masiva de datos. El minorista Target vio comprometida la información personal de más de 70 millones de sus usuarios por un ataque de piratas informáticos allá por 2013. Tuvo que pagar una cuota masiva como parte de un acuerdo por violación de la seguridad. El refuerzo de la seguridad de los datos (con la incorporación de la encriptación) también formó parte de este acuerdo. El Bank of America, por su parte, implantó hace un tiempo un marco de cifrado claro debido a los requisitos de cumplimiento financiero (en este caso, el cumplimiento de la norma PCI DSS, que se analiza más adelante en el artículo).

El algoritmo de cifrado más popular en estos momentos es el AES – Advanced Encryption Standard (estándar de cifrado avanzado). Se desarrolló originalmente para sustituir al DES, o Estándar de Cifrado de Datos (ya que se volvió demasiado vulnerable con el paso del tiempo). Existen tres longitudes de clave principales con las que AES puede trabajar: 256 bits, 192 bits y 128 bits. AES-256 está ampliamente considerado como el método de cifrado más seguro que existe, ya que combina tanto la resistencia a los ciberataques como la velocidad de cifrado/descifrado.

No todo el cifrado es beneficioso para los usuarios normales; de hecho, puede utilizarse para acciones dañinas e ilegales. Uno de los tipos de ciberataque más comunes en la actualidad es el ransomware (68,42% de todos los ciberataques en 2022), que utiliza las mismas técnicas de cifrado para modificar archivos desprotegidos y exigir un rescate a sus propietarios a cambio del descifrado de los datos.

También existe una clara separación entre el cifrado y el hashing: el primero es un proceso unilateral e irreversible de transformación de información en una secuencia ilegible de símbolos. Si bien es cierto que muchos usuarios empresariales habituales tienden a confundir estos términos entre sí, la gran diferencia entre ambos también es lo suficientemente sencilla como para recordarla con facilidad.

Los casos de uso de estas dos tecnologías también tienden a diferir en cierta medida. El hashing se utiliza sobre todo en el contexto de las cadenas de bloques, las comprobaciones de integridad y los procesos de validación de contraseñas, mientras que el cifrado es un término mucho más extendido que se emplea en muchas formas y situaciones, desde la seguridad de los datos hasta las actividades de los ciberdelincuentes.

Ventajas de las copias de seguridad cifradas

El cifrado de las copias de seguridad puede proporcionar una plétora de ventajas a sus usuarios, de las que destacamos los ejemplos más notables en la siguiente lista.

• Protección contra la manipulación y la corrupción para mejorar la seguridad de los datos.
• Protección contra el chantaje y el robo de identidad.
• Capacidad general de protección de datos.
• Mejoras en el cumplimiento de la normativa.
• Imposibilidad de acceder a la información sin la clave de descifrado, incluso si el propio dispositivo de almacenamiento fuera robado o estuviera en peligro.

Tipos de cifrado

La falta de cifrado de datos como medida de seguridad para sus copias de seguridad es prácticamente inaceptable a estas alturas y puede traer muchos problemas si no se resuelve. Sin embargo, el tema de la encriptación en su conjunto también puede resultar moderadamente desafiante para los nuevos usuarios, con diferentes métodos de encriptación y otros términos complicados.

Elegir un método y un tipo de cifrado como opción principal para su empresa también puede resultar un tanto desafiante, ya que hay que tener en cuenta:

• Los tipos de datos de la empresa
• Requisitos de infraestructura
• Capacidades técnicas de los empleados
• Limitaciones presupuestarias
• Requisitos de seguridad
• Opciones de escalabilidad, etc.

El cifrado de las copias de seguridad puede realizarse con varios enfoques diferentes. Para empezar, hay dos tipos principales de cifrado a tener en cuenta: el asimétrico y el simétrico.

Cifrado asimétrico

Un método de cifrado asimétrico se basa en dos claves de cifrado asimétricas, de donde procede el nombre de este enfoque. Este par de claves incluye una clave pública y una clave privada que están conectadas matemáticamente entre sí.

El propósito de una clave pública es cifrar información y nada más, por lo que puede revelarse al público con facilidad. La clave privada, por otro lado, es la única forma de descifrar la información cifrada con una clave de cifrado asociada, lo que limita enormemente el número de usuarios capaces de descifrar la información en estas situaciones.

Un buzón básico de la vida real es la analogía más obvia para este tipo de encriptación. El buzón puede recibir información de cualquiera en forma de cartas que se dejan caer en él, pero estas cartas sólo pueden ser adquiridas por alguien que tenga la clave correcta del buzón, que normalmente son sólo una o dos personas.

Cifrado simétrico

Los algoritmos de clave simétrica representan una clase de algoritmos criptográficos que utilizan la misma clave tanto para descifrar el texto cifrado (datos ilegibles y cifrados) como para cifrar el texto plano (datos legibles). En términos más sencillos, se basan en una clave secreta compartida que actúa como cerradura y como clave, permitiendo tanto el cifrado como el descifrado de la información.

Cualquier tipo de cerradura de la vida real sería un ejemplo práctico de encriptación simétrica. Los actos de cerrar y abrir la cerradura se realizan ambos utilizando exactamente la misma clave – y la información que está protegida con la encriptación simétrica puede ser desencriptada utilizando la misma clave con la que fue encriptada.

Los métodos de implementación de la encriptación también cambian bastante dependiendo del estado de los datos en cuestión. Siguiendo una idea similar a la anterior, podemos presentar dos categorías de cifrado: en reposo y en tránsito.

Cifrado en reposo

Dado que la información es el recurso más valioso de cualquier empresa, tiene que estar suficientemente protegida durante su estado de almacenamiento inactivo. La encriptación en reposo está hecha para resolver exactamente este problema, proporcionando un enfoque sofisticado de la seguridad de los datos para garantizar su integridad. «En reposo» es un estado de la información cuando no se transfiere a otra ubicación.

Una analogía común para este tipo de enfoque de cifrado se puede tomar del acto literal de salvaguardar – poner objetos de valor en una caja fuerte bajo llave. En cuanto los objetos de valor están en una caja fuerte cerrada de la que sólo usted conoce el código – los objetos de valor no pueden ser robados de ninguna manera.

El punto principal de la encriptación en reposo es actuar como una línea de defensa contra las amenazas que han conseguido violar de alguna manera la seguridad general de la empresa. Es un enfoque muy útil, teniendo en cuenta lo inútil que resulta el acto de robar o publicar datos si no se pueden descifrar sin una clave de cifrado adecuada.

Cifrado en reposo es también como Google Cloud Platform denomina a su iteración del cifrado del lado del servidor como función. Aunque la naturaleza de este servicio es idéntica a la del «cifrado en reposo» como término, hace que la cuestión de distinguir entre ambos sea ligeramente confusa.

Otras empresas también disponen de tecnologías similares, aunque sus nombres son claramente distintos: Server-Side Encryption (característica) para Microsoft y Storage Service Encryption para Amazon. Al mismo tiempo, sería justo mencionar que el SSE como característica se aplica principalmente a los proveedores de almacenamiento en la nube, lo que hace que su alcance potencial sea mayor cuando se compara con el «cifrado en reposo» como característica que también puede funcionar con entornos locales.

Cifrado a mitad de tránsito

El cifrado a mitad de tránsito suele considerarse una antítesis del cifrado en reposo, ya que se supone que este método salvaguarda la información durante su transporte de una zona de almacenamiento a otra.

Si en la vida real se enviara algún tipo de valor utilizando un maletín cerrado con llave, se asemejaría mucho al funcionamiento del cifrado a mitad de tránsito, que protege la integridad y el valor de la información almacenada en su interior. Todos los métodos de cifrado a mitad de tránsito existentes ofrecen una forma segura de salvaguardar los datos durante su proceso de exportación de un lugar a otro (de disco a nube, de nube a NAS, de cinta a VM, y muchos otros ejemplos).

E2EE, o cifrado de extremo a extremo

El cifrado de extremo a extremo, o E2EE, es una herramienta de seguridad avanzada que ayuda a proteger los datos durante su transferencia de un usuario a otro. El propósito de la E2EE es impedir que nadie, salvo el destinatario de los datos, acceda a la información que se ha enviado, ya que el dispositivo del remitente cifra el mensaje utilizando una clave de cifrado única que sólo el destinatario conocería.

La existencia de una única clave de cifrado disponible para dos personas sólo mejora drásticamente la seguridad del proceso de transferencia de datos, creando un escudo prácticamente impenetrable en torno a la información que se ha enviado. Ningún proveedor de servicios de aplicación, pirata informático o ISP tiene acceso a la información en cuestión, y lo mismo ocurre con la plataforma que ofrece los servicios de encriptación.

La seguridad de E2EE es difícil de poner en duda, lo que explicaría su popularidad en múltiples mensajeros y otras aplicaciones como Facebook, Whatsapp, Zoom, etc. Al mismo tiempo, este tipo de falta total de acceso plantea una serie de preguntas legítimas, sobre todo por parte de las autoridades que no podrían realizar investigaciones si la mensajería se realizara con este tipo de cifrado. Se trata de una función relativamente nueva que muchas soluciones de seguridad intentan introducir lo antes posible, teniendo en cuenta lo segura que puede llegar a ser.

E2EE es un tipo de cifrado peculiar para el que es difícil encontrar una analogía en la vida real. Digamos que usted tiene un tipo especial de cerradura o agenda que viene con dos llaves. La primera llave sirve para cerrar la caja, mientras que la segunda sirve para abrirla. Usted tiene la primera llave, mientras que su amigo tiene la segunda. Esto es lo más cerca que podemos estar de imaginar cómo podría funcionar E2EE en el mundo real.

Claves de cifrado y servicios de gestión de claves

Las claves de encriptación ya se han mencionado antes en este artículo, por lo que su definición exacta no debería ser difícil de entender. Se trata de una pieza de datos utilizada en criptografía para realizar una operación de descifrado, una operación de cifrado, o ambas. Las capacidades de una clave de encriptación dependen totalmente del tipo de encriptación seleccionado – sólo habría una clave de encriptación para un tipo de encriptación simétrica, mientras que el tipo asimétrico siempre tiene un par de claves (claves pública y privada).

Una clave de cifrado es tan fuerte como larga – las claves más largas son más difíciles de descifrar, pero también requieren más potencia de procesamiento para realizar la operación de descifrado/cifrado. Debido a su naturaleza extremadamente sensible, es natural que exista un sistema dedicado creado específicamente para el almacenamiento de claves de cifrado – y hay muchos servicios de este tipo.

Los entornos de gestión de claves son un análogo digital de un llavero de la vida real. Mantenerlas a salvo y seguras es primordial para tener acceso a distintos lugares, ya sea su casa, su coche, su buzón, etc. En cuanto al servicio de gestión de claves, puede compararse con una cámara acorazada para llaves o un llavero seguro que mejora la seguridad del llavero sin afectar a su utilidad.

Los servicios de gestión de claves (como Google Cloud Key Management, Azure Key Vault, AWS Key Management Service, etc.) ofrecen una forma sencilla de gestionar y salvaguardar las claves de cifrado/descifrado. No es infrecuente que estos servicios de gestión de claves validen las claves de cifrado utilizando el Programa de Validación de Módulos Criptográficos FIPS 140-2 y empleen módulos de seguridad de hardware (HSM) para una mejor gestión de claves para sus clientes.

Los servicios de gestión de claves pueden ofrecer una serie de ventajas, entre ellas

• Garantía de cumplimiento: Los registros a prueba de manipulaciones facilitan la superación de auditorías de cumplimiento con facilidad.
• Defensa inquebrantable: Dificulta enormemente el acceso no autorizado a los datos, exigiendo a los intrusos que pongan en peligro tanto la clave como la ubicación de los datos.
• Rotación de claves: La rotación periódica de las claves garantiza que los atacantes dispongan de un tiempo limitado para explotar cualquier vulnerabilidad.
• Seguridad multicapa: Robar información requeriría comprometer al proveedor de la solución, al proveedor de servicios en la nube y al cliente, lo que eleva significativamente el nivel de dificultad.

Requisitos legales y marcos que exigen el cifrado

El número total de diversos requisitos y/o marcos legales que exigen el cifrado de datos de alguna manera es extremadamente alto, por lo que sólo vamos a mostrar una pequeña selección de las normativas más conocidas:

• GDPR, o Reglamento General de Protección de Datos.

El artículo 32, apartado 1, letra a), destaca la conveniencia de adoptar medidas de seguridad específicas para proteger la información considerada sensible. El cifrado es uno de los muchos métodos de seguridad de datos que pueden considerarse en este caso, dependiendo del nivel de riesgo, el alcance del tratamiento, etc.

• HIPAA, o Ley de Portabilidad y Responsabilidad del Seguro Médico.

45 CFR § 164.312(a)(2)(iv) destaca el número de requisitos de seguridad que entran dentro de la cobertura de esta ley. Se trata sobre todo de aplicar conjuntos de normas de cifrado y descifrado con un mecanismo transparente a toda la información que pueda considerarse ePHI (información sanitaria electrónica protegida). Sin embargo, éste no es el único requisito, ya que se pueden encontrar más en el documento de la Regla de Seguridad de la HIPAA, y la definición de ePHI también es objeto de debate en determinados casos de uso.

• PCI DSS, o Norma de Seguridad de Datos de la Industria de Tarjetas de Pago.

El requisito 3.4 facilita la necesidad de hacer ilegibles todos los números de cuenta primarios cuando se almacenan, incluidos los registros, los soportes de copia de seguridad, los soportes digitales portátiles, etc. Este requisito es muy exigente en lo que respecta a las medidas de seguridad, con una criptografía fuerte, prácticas sólidas de gestión de claves, así como tokens/pads de inder, hashing unidireccional, truncamiento y otras medidas.

Tipo de cifrado BYOK

Bring Your Own Key (BYOK) es un modelo de computación en nube altamente seguro que hace posible que los usuarios finales trabajen con sus propios programas de cifrado y soluciones de gestión de claves. Es un marcado contraste con los métodos tradicionales de servicios en la nube, que suelen depender de sus propios métodos de cifrado y almacenamiento de claves.

Las ventajas más notables de la implantación de BYOK son:

• BYOK concede a los usuarios la propiedad y el control completos sobre sus claves de cifrado, lo que garantiza la soberanía de los datos y el cumplimiento de normativas y requisitos específicos.
• La utilización de su propio programa y claves de cifrado de confianza añade otra capa de protección, aumentando significativamente la dificultad de acceso no autorizado.
• Tener el control total de sus claves de cifrado sirve como demostración de una mayor seguridad, que podría ser necesaria para seguir cumpliendo ciertas normativas sobre datos sensibles.

La mayoría de los pasos para la implementación de BYOK son sencillos y obvios:

1. Asegúrese de que el proveedor de servicios de cifrado o la solución en la nube que utiliza admiten BYOK. Algunos de los ejemplos más comunes de este tipo de servicios son Google Cloud KMS, Azure Key Vault y AWS KMS.
2. Genere sus claves de cifrado de forma segura, ya sea mediante un proceso de generación dedicado o utilizando un HSM (módulo de seguridad de hardware).
3. A continuación, deberá cargar las claves de cifrado en el KMS de un proveedor de servicios. No olvide configurar políticas de control de acceso y rotación de claves.
4. Las claves cargadas pueden utilizarse ahora para cifrar la información en diferentes estados para garantizar la seguridad completa de sus datos sensibles.
5. El uso de las claves de encriptacion debe ser constantemente monitoreado y analizado para buscar anomalias o usos indebidos; es una necesidad por razones de seguridad y cumplimiento.

BYOK permite a los usuarios elegir el programa de cifrado que mejor se integre en su infraestructura actual, eliminando los problemas de compatibilidad y fomentando una mayor flexibilidad. Es una opción interesante para las empresas que no desean depender de los servicios en la nube para almacenar sus claves de cifrado, pero no está exenta de problemas, por lo que se recomienda encarecidamente investigar el tema antes de comprometerse a implantar un sistema de este tipo.

Estrategia de implantación de la encriptación

Aunque los pasos reales para implementar la encriptación en su entorno diferirían drásticamente de una situación a otra, podemos ofrecer una serie de pasos claros y procesables que pueden seguirse en la mayoría de las situaciones para sacar el máximo partido a su configuración de encriptación:

Realice un proceso de identificación de datos

La sensibilidad de los datos es un factor clave que puede utilizarse para diferenciar la información en determinados grupos. Este tipo de identificación y clasificación debe realizarse como primer paso adecuado en la aplicación de cualquier tipo de estrategia de encriptación. Ser capaz de identificar la ubicación de la información que tiene mucho más valor que el resto aumenta las posibilidades de cubrir toda su información sensible con una estrategia de encriptación, ya sean datos financieros, propiedad intelectual, información personal identificable (IPI) o cualquier otro dato que necesite protección por motivos de sensibilidad o cumplimiento de la normativa.

Elija el enfoque de cifrado preferido.

La elección entre los distintos enfoques de cifrado depende completamente de la naturaleza de la empresa. Tampoco hay presión para seleccionar un solo método: las soluciones más competentes combinan varios tipos de cifrado en función de la sensibilidad de la información. Así, el cifrado asimétrico puede utilizarse para intercambiar información sensible de forma segura, mientras que el cifrado simétrico daría lo mejor de sí con grandes volúmenes de datos.

Revise las prácticas de gestión de claves que desea implantar

Un servicio de gestión de claves flexible y potente es muy recomendable para gestionar las claves existentes y generar otras nuevas cuando sea necesario. Ejemplos comunes de este tipo de servicios son Azure Key Vault y AWS KMS.

Garantice la minuciosidad del proceso de cifrado

El cifrado debe aplicarse tanto en tránsito como en reposo, sin excepciones. El cifrado AES es un ejemplo común de estrategia para la protección en reposo, mientras que TLS/SSL es preferible para la información en tránsito.

Realice auditorías periódicas de los protocolos de cifrado

Al igual que la mayoría de los entornos tecnológicos existentes, los protocolos y estándares de encriptación tienden a actualizarse y evolucionar con el paso del tiempo. Por ello, revisar y actualizar sus estrategias de encriptación mediante auditorías programadas es la mejor manera de realizar este tipo de actualizaciones de forma regular con algún tipo de coherencia y programación.

Errores comunes de encriptación

Las estrategias de cifrado de copias de seguridad pueden ser algo difíciles de establecer, ya que hay muchos elementos diferentes que pueden intervenir en una estrategia de este tipo. En la siguiente lista, presentamos algunos de los errores más comunes que se producen antes o durante los procesos de cifrado de copias de seguridad, así como recomendaciones sobre cómo solucionarlos.

• Los algoritmos de cifrado débiles o anticuados conducen a un mayor número de debilidades potenciales y a un menor nivel de seguridad en general. Los algoritmos de cifrado estándar del sector, como AES-256, son la solución.
• Las estrategias inadecuadas de gestión de claves aumentan drásticamente la probabilidad de que una clave de cifrado se vea comprometida de algún modo. Un servicio de gestión de claves es una recomendación para todas las empresas que cifran información de forma regular.
• La falta de cifrado de las copias de seguridad abre la posibilidad de que éstas se borren o se vean comprometidas de algún otro modo por un ransomware o por la acción de un ciberdelincuente. El cifrado fuerte de la información en reposo y en tránsito es muy recomendable para todos los entornos corporativos.
• La supervisión del cumplimiento abre la posibilidad de múltiples ramificaciones, ya sean multas masivas, acciones legales o la imposibilidad de operar en una región específica. Todas las normas de cumplimiento y regulación, como HIPAA, GDPR y CCPA, deben seguirse y revisarse de forma regular.
• La falta de rotación de las claves de cifrado deja a estas claves vulnerables a ser robadas y utilizadas en una acción delictiva de algún tipo. Las políticas automatizadas de rotación de claves pueden configurarse en la mayoría de las soluciones KMS modernas.
• La formación adecuada de los usuarios es tan importante como las medidas de seguridad, ya que es mucho más probable que un usuario sin formación no cumpla algún tipo de requisito o procedimiento y deje el sistema abierto a un ciberataque. Las sesiones de formación periódicas sobre el tema del cifrado y otras prácticas de seguridad deberían resolver este problema.

Bacula Enterprise y el cifrado de datos

Dentro del competitivo panorama de las soluciones de copia de seguridad y recuperación, Bacula Enterprise se erige como un campeón sin parangón de la seguridad de los datos. Esta incomparable destreza en materia de seguridad se deriva de un enfoque multifacético que abarca su arquitectura, conjunto de características, opciones de despliegue adaptables y amplio potencial de personalización. Para reforzar aún más su postura de seguridad está el hecho de que los componentes principales de Bacula se ejecutan en el sistema operativo Linux, inherentemente más seguro.

La seguridad es especialmente importante para Bacula Systems, un valor fundamental que se refleja claramente en su producto Bacula Enterprise, con su enfoque dedicado a la protección de datos. Bacula trasciende la noción de mera seguridad «suficientemente buena». Características como la autenticación de dos factores, el acceso basado en roles y las contraseñas de un solo uso basadas en tiempo (TOTP) no son meros complementos opcionales, sino que son bloques de construcción fundamentales de la arquitectura de seguridad de Bacula, que representan sólo algunos de los elementos básicos mínimos que cualquier organización debería esperar de una solución de copia de seguridad.

Algunas otras características orientadas a la seguridad de Bacula Enterprise incluyen software antivirus integrado, varias políticas personalizables para el cifrado de los datos de las copias de seguridad, control granular de usuarios, restricción granular de datos, compatibilidad con MFA, controles de acceso LDAP, cifrado a nivel de archivos, cifrado firmado, cifrado de comunicaciones, detección de envenenamiento de datos, informes avanzados sobre el estado de la seguridad, supervisión de la corrupción de datos, integración SIEM y muchas otras.

Bacula y el cifrado de copias de seguridad

Cuando se trata de capacidades centradas en el cifrado, es importante señalar que las opciones de cifrado de Bacula son altamente personalizables. Bacula también puede ofrecer muchas opciones con las que trabajar, entre ellas

• Soporte de encriptación de cintas.
• Cifrado TLS automático.
• Soporte para cuatro variaciones diferentes de cifrado – AES256, AES192, AES128, y blowfish.
• Dos algoritmos de compendio diferentes – SHA256 y SHA1.

Bacula permite cifrar y firmar digitalmente los datos antes de enviarlos a su Storage Daemon. Estas firmas se validan en el momento de la restauración, y se informa al administrador de cualquier falta de coincidencia. Es de vital importancia que ni el Storage Daemon ni el Director tengan acceso al contenido de los archivos sin cifrar durante este proceso.

La PKI, o infraestructura de clave pública, de Bacula Enterprise está compuesta por certificados públicos x509 y claves privadas RSA. Permite la generación de claves privadas para cada File Daemon – así como un número de Claves Maestras que pueden descifrar cualquiera de las copias de seguridad cifradas en el sistema (éstas también se generan como un par – una clave pública y una clave privada).

Se recomienda encarecidamente que tanto las claves del File Daemon como las claves maestras se almacenen fuera de las instalaciones, lo más lejos posible de la ubicación de almacenamiento original. Todos los algoritmos de cifrado/descifrado mencionados anteriormente también están expuestos mediante una API agnóstica a OpenSSL que es completamente reutilizable. Su formato de volumen es ASN.1 codificado con DER, utilizándose como base la Sintaxis de Mensajes Criptográficos del RFC 3852.

Bacula también puede almacenar claves de cifrado/descifrado utilizando dos formatos de archivo diferentes: .CERT y .PEM. El primero sólo puede almacenar una única clave pública con el certificado x509, se utiliza sobre todo para almacenar una única clave de cifrado específica. El segundo es mucho más complejo – es el formato de almacenamiento por defecto de OpenSSL para claves públicas, claves privadas y certificados, y puede almacenar múltiples claves al mismo tiempo – una gran opción para la generación de claves asimétricas donde hay un par de claves que generar en primer lugar (pública + privada).

Capacidades de cifrado en distintos programas de copia de seguridad

Las capacidades de cifrado de Bacula son altamente personalizables y pueden ampliarse para grandes empresas y otros tipos de entornos. Proporciona capacidades avanzadas de copia de seguridad, una amplia programación y otras ventajas.

Veamos ahora cómo se comporta Bacula frente a otros ejemplos de entornos de copia de seguridad con capacidades de cifrado:

• Veeam Backup & Replication admite la comunicación segura a través de TLS, así como AES-256 para las copias de seguridad en reposo.
  • Está especializado en el trabajo con entornos virtuales y cuenta con una interfaz algo amigable.
  • La mayoría de las capacidades de nivel empresarial se ocultan tras una etiqueta de precio exorbitante.
• Acronis Cyber Protect admite comunicación segura con SSL/TLS para los datos en tránsito y cifrado AES-256 para los datos en reposo.
  • El programa se centra mucho en las funciones de seguridad, en general, y puede trabajar con entornos de nube híbrida.
  • Tiende a ser exigente en cuanto a recursos de hardware durante las horas punta.
• Commvault proporciona TLS para los datos en tránsito y AES-256 para las copias de seguridad en reposo.
  • Puede ofrecer sólidas capacidades analíticas y de elaboración de informes, junto con un completo conjunto de funciones de gestión de datos.
  • La configuración de la solución en cuestión tiende a ser difícil y requiere mucho tiempo.

En comparación con la mayoría de las soluciones de copia de seguridad, Bacula puede ofrecer más flexibilidad, más opciones de personalización y un coste total de propiedad más bajo. Por otro lado, la compatibilidad con la infraestructura existente debe determinarse caso por caso, y la curva de aprendizaje del programa es al menos moderadamente empinada, con muchas herramientas y conjuntos de funciones diferentes con los que trabajar. Cabe destacar que Bacula tiene una ventaja clave sobre otros proveedores de copias de seguridad cuando se trata de la cuestión de la seguridad: su arquitectura única, que tiene la capacidad de detener los ataques de ransomware, ya que un dispositivo de almacenamiento atacado no tiene la capacidad de controlar Bacula, aunque se realice una copia de seguridad. Además, la modularidad de Bacula permite que su arquitectura sea la que prefiera cada organización, y que se adapte a su propio enfoque de seguridad. Por esta razón, las mayores organizaciones de seguridad de Occidente confían en Bacula.

El compromiso de Bacula con las amplias capacidades de cifrado fue también la razón principal por la que se eligió como solución para hacer copias de seguridad de los entornos IBM HPSS de la NASA. SSAI, un contratista de la NASA en Langley, buscaba una solución de copia de seguridad que pudiera funcionar con HPSS sin necesidad de desarrollo por parte del proveedor. La falta de un modelo de licencias basado en la capacidad, el acceso multiusuario y los niveles de cifrado conformes con FIPS (Normas Federales de Procesamiento de la Información) se señalaron como las principales razones por las que se eligió Bacula.

Dependencia entre los elementos de la infraestructura de una solución de copia de seguridad y la seguridad del cifrado

La arquitectura de la solución de copia de seguridad elegida desempeña un papel sustancial en los procesos de gestión del cifrado de todo el entorno. En nuestro ejemplo, vamos a utilizar una estructura típica de software de copia de seguridad con un servidor de control, un servidor de medios, un catálogo o base de datos y servidores de puntos finales.

Servidor de control

Los servidores de control son los responsables directos de la correcta programación y gestión de las tareas de copia de seguridad. No es infrecuente que los ajustes de cifrado se gestionen en el servidor de control para los datos en reposo y a mitad de tránsito. Si la gestión centralizada de las claves de cifrado se centra en este entorno, entonces la seguridad de dicho servidor tiene una correlación directa con la seguridad de todo el entorno.

Servidor de soportes

Los datos de las copias de seguridad son uno de los tipos de información más destacados que se almacenan en los servidores de medios. La información también puede encriptarse en esta fase, asegurándose de que los archivos de copia de seguridad y otra información estén encriptados y tengan el nivel de seguridad adecuado. Si el servidor multimedia está basado en hardware, puede mejorar la velocidad total de cifrado, pero también ofrece mucho menos control sobre las tareas de gestión de las claves de cifrado. También es una opción mucho menos flexible que cualquier método de encriptación basado en software, especialmente si los comparamos con el hardware disponible en el mercado con soporte de encriptación.

Base de datos o catálogo

En los entornos basados en catálogos, la encriptación es un paso esencial para una seguridad adecuada, ya que la naturaleza inusual de los catálogos en comparación con los enfoques tradicionales de almacenamiento de datos hace posible que los atacantes infieran cierta información sólo a partir de los nombres de los archivos, incluso si los datos en sí están completamente encriptados.

Dispositivos cliente (servidor de punto final)

El cifrado en los puntos finales también es posible como un nivel de seguridad adicional, garantizando que la información esté protegida antes de salir de ese punto final específico. La existencia de un cifrado en origen reduce drásticamente el riesgo de que los datos sean interceptados cuando viajan hacia y desde el punto final, pero también suele introducir una ligera sobrecarga en el servidor en cuestión.

Los dos tipos de soluciones de copia de seguridad existentes difieren significativamente entre sí. Los dispositivos de copia de seguridad por hardware tienen ajustes de cifrado preconfigurados y rara vez pueden ofrecer suficiente flexibilidad sobre los algoritmos de cifrado y la gestión de claves, pero son extremadamente fáciles de implantar. Las copias de seguridad basadas en software, por otro lado, son mucho más flexibles tanto en términos de gestión de claves como de cifrado, pero pueden ser más difíciles de configurar y gestionar.

El futuro del cifrado de las copias de seguridad

El proceso continuo de innovación basado en la necesidad de adelantarse al desarrollo de soluciones de ransomware y otras estrategias de los ciberdelincuentes es el principal motor de la innovación para el cifrado de copias de seguridad. El cifrado como proceso evoluciona constantemente, ofreciendo una protección mejor y más resistente para los datos de las copias de seguridad, y su potencial sólo va a seguir creciendo de ahora en adelante.

Los avances más prometedores en esta industria que seguramente la cambiarán en un futuro próximo son:

• La IA y el ML, que actualmente se encuentran entre los elementos más populares del entorno tecnológico. Los algoritmos de aprendizaje automático podrían ayudar en la optimización de tareas rutinarias en el departamento de encriptación, al tiempo que optimizarían los procesos de gestión de claves de encriptación. La inteligencia artificial, por su parte, sería cada vez más eficaz a la hora de detectar posibles amenazas y anomalías en el entorno de la empresa.
• Está garantizado que las soluciones de cifrado centradas en el usuario se harán más populares que ahora, con mucha libertad a la hora de definir los permisos de acceso, supervisar las actividades sospechosas y gestionar las claves de cifrado.
• Los ordenadores cuánticos han sido una amenaza masiva que se cierne sobre todo el espacio de la encriptación desde hace varios años, con algoritmos resistentes a los cuánticos que se están desarrollando a un ritmo asombroso, siendo CRYSTALS-KYBER y FALCON algunos de los ejemplos más conocidos de tales algoritmos que ya existen.
• La descentralización va a hacerse más popular como medida de seguridad no convencional, ya que ofrece más resistencia que la mayoría de los enfoques de seguridad tradicionales. La descentralización va a hacer que la búsqueda de información valiosa sea mucho más problemática, y la introducción de los principios de «mínimo privilegio» y el enfoque de seguridad de confianza cero va a hacer que la vida de los ciberdelincuentes sea mucho más difícil.
• La integración del cifrado de las copias de seguridad en diferentes aspectos de los procesos de transferencia y almacenamiento de datos va a mejorar la situación de seguridad existente, al tiempo que agilizará los flujos de trabajo de gestión de datos, eliminando la necesidad de intervención manual y eliminando prácticamente la posibilidad de error humano.

Conclusión

Muchos ciberdelincuentes modernos han aprendido a apuntar a las copias de seguridad en un intento de dañar la capacidad de las empresas de recuperarse de las violaciones de datos para tener más posibilidades de que se cumplan sus demandas. Por ello, la importancia de la seguridad de las copias de seguridad se encuentra ahora en su nivel más alto, aunque ya era una prioridad en aras de la recuperación ante desastres y la continuidad de la actividad empresarial.

El cifrado de las copias de seguridad es una de las prácticas de seguridad más fundamentales que pueden reducir drásticamente la posibilidad de un acceso injustificado a los datos. El objetivo de la encriptación de las copias de seguridad es transformar la información en un formato ilegible que no pueda ser traspasado con la mayoría de las medidas tradicionales, ofreciendo un excelente nivel de seguridad. El cifrado como industria también se desarrolla de forma regular, y algunas soluciones ya ofrecen el cifrado E2EE, un tipo de cifrado avanzado con un nivel de protección aún mayor, aunque sea difícil de utilizar en grandes volúmenes de datos.

Las entidades comerciales, militares e incluso gubernamentales reconocen el cifrado de las copias de seguridad como la piedra angular de cualquier sistema de seguridad de datos. Sin embargo, implantar un sistema de este tipo de forma correcta puede ser un reto moderado sin ayuda externa. Por suerte, existen muchas soluciones de terceros que pueden simplificar drásticamente este proceso.

Una de estas soluciones es Bacula Enterprise, una versátil plataforma de copia de seguridad y recuperación con amplias capacidades de cifrado y un nivel especialmente alto de cualidades de seguridad, en comparación con otros proveedores de copias de seguridad. Es compatible con muchos tipos de almacenamiento diferentes e incluso es apta para trabajar en las situaciones más duras posibles sin perder su alto nivel de protección contra ransomware, corrupción de datos y otros tipos de problemas con los datos.

Preguntas frecuentes

¿Pueden los ordenadores cuánticos suponer una amenaza para los métodos de cifrado de copias de seguridad existentes?

Los ordenadores cuánticos distan mucho de ser comunes en 2024, pero su potencial ya es bien conocido: tienen la capacidad de realizar cálculos complejos mucho más rápido de lo que podría hacerlo cualquier ordenador clásico. Dado que la mayoría de los métodos modernos de encriptación se basan en la factorización de grandes números, la simple elección de la contraseña correcta es un proceso extremadamente largo para estos ordenadores.

Los ordenadores cuánticos, por otro lado, tienen la capacidad de romper la mayoría de las medidas de encriptación existentes en un breve espacio de tiempo, y la preocupación de que estos ordenadores sean capaces de tales proezas existe desde hace varios años. El proceso de desarrollo y estandarización de algoritmos de encriptación resistentes a la tecnología cuántica está en pleno apogeo, por lo que es probable que la solución esté lista para cuando los ordenadores cuánticos estén más normalizados y sean menos costosos de producir.

¿Es posible restaurar las copias de seguridad cifradas si se pierde la clave de cifrado?

Los datos encriptados resultan irrecuperables en la mayoría de los casos si la clave de encriptación se pierde o es robada. Existen algunas soluciones de copia de seguridad que ofrecen distintos métodos de recuperación de la clave, como los servicios de custodia de claves, pero todos ellos pueden ser causa de vulnerabilidades, por lo que deben utilizarse con precaución.

¿Afecta la encriptación al rendimiento de las copias de seguridad a gran escala?

Dado que tanto el proceso de cifrado como el de descifrado añaden sobrecarga computacional al hardware de la empresa, no cabe duda de que afecta hasta cierto punto al rendimiento general de un sistema. Este efecto es más notable cuando se utiliza en entornos a gran escala con volúmenes de copia de seguridad de tamaño considerable.

El uso de algoritmos de cifrado más complejos, como AES-256, también pasa factura al hardware. Es posible mitigar estos problemas hasta cierto punto introduciendo aceleradores de cifrado por hardware u optimizando las tareas de cifrado para que se ejecuten al mismo tiempo que otros procesos de copia de seguridad, pero ambos métodos deben utilizarse con precaución.

¿Es mejor el cifrado basado en software o el cifrado de copias de seguridad basado en hardware para entornos empresariales a gran escala?

Como ya se ha mencionado, existen métodos de cifrado tanto por hardware como por software que pueden utilizarse para cifrar las copias de seguridad y otros datos. Ambos métodos difieren entre sí de forma significativa e incluso pueden utilizarse conjuntamente, aunque no es un enfoque habitual por varias razones.

El cifrado basado en hardware elimina por completo el peaje que los procesos de cifrado y descifrado suponen para la infraestructura de la empresa, ofreciendo un mejor rendimiento para todo el sistema y un mayor nivel de seguridad debido a que las claves de cifrado rara vez tienen que salir del hardware en cuestión. Al mismo tiempo, un enfoque de la encriptación basado en hardware suele ser caro incluso para los estándares de las grandes empresas, y la ampliación con este tipo de soluciones empieza rápidamente a drenar aún más dinero debido a la necesidad de adquirir más unidades de hardware.

La encriptación basada en software, por otro lado, es mucho menos costosa en comparación y es buena para las empresas que crecen a un ritmo rápido. Sin embargo, este enfoque no es tan eficaz en términos de seguridad y el impacto en el rendimiento de los procesos de cifrado-descifrado puede suponer un golpe significativo en el rendimiento de toda la infraestructura.

¿Cómo se ven afectadas las funciones de compresión y deduplicación por el cifrado de las copias de seguridad?

Dado que el cifrado suele ir asociado a la compresión, no suele ser necesario comprimir aún más la información cifrada, puesto que ya se considera «optimizada». Además, la dependencia de la deduplicación para encontrar bloques de datos duplicados quedaría completamente paralizada por la capacidad del cifrado de convertir la información procesable en trozos de datos irreconocibles, lo que dificultaría mucho más la búsqueda de patrones y el ahorro de espacio de almacenamiento.

Ambos conflictos pueden evitarse hasta cierto punto, ya sea cifrando la información después de comprimirla/deduplicarla o utilizando algoritmos de cifrado especializados con los que pueda trabajar el programa de compresión/deduplicación, pero ambos métodos requieren una configuración y una inversión adicionales para configurarse correctamente.