La protección de datos puede haberse situado en el centro de las preocupaciones de las empresas a raíz de diversas normativas, entre ellas el GDPR; sin embargo, esta cuestión sigue requiriendo una mayor concienciación y una cultura asociada. En consecuencia, las organizaciones necesitan desplegar métodos para proteger sus datos frente a unos ciberdelincuentes cada vez más sofisticados y en entornos digitales cada vez más complejos.
En España, el organismo que toma el pulso a las brechas de datos personales es la Agencia Española de Protección de Datos (AEPD). Sus cifras dibujan una tendencia inequívoca: entre 2022 y 2024 se notificaron 6.688 brechas, con un repunte de más del 46 % en 2004 y predominio del sector privado en las notificaciones. En la misma línea, la AEPD informó de que en 2025 recibió 2.765 notificaciones de brechas de datos y señaló que las brechas con mayor número de afectados suelen estar relacionadas con ransomware e intrusiones con exfiltración masiva, donde el punto de entrada típico es el acceso a VPN corporativas o aplicaciones web mediante credenciales comprometidas, razón por la que la autenticación multifactor (MFA) se convierte en una medida preventiva de alto impacto.
En este contexto, las empresas ya no se preguntan si van a sufrir un incidente, sino cuándo. Por eso, además de soluciones para limitar el acceso de los ciberdelincuentes a las redes corporativas y resolver vulnerabilidades, también deben implantarse medidas para reducir el impacto de las intrusiones. Para lograrlo, el cifrado, que hace inaccesibles los datos sensibles, es esencial.
Ciberdelincuentes a la caza de datos
El patrón es recurrente. En la mayoría de los casos, los actores de amenaza han obtenido información de las organizaciones accediendo a conexiones, robando las credenciales de acceso de socios legítimos o empleados, o explotando vulnerabilidades en los sistemas de información.: robo de credenciales, explotación de vulnerabilidades y movimientos laterales para localizar repositorios valiosos.
En ocasiones, los ciberdelincuentes también implementan una estrategia de ciberataque de Man-in-the-Middle (MiTM). En este tipo de intrusión, un adversario se interpone en secreto entre dos partes que creen que se están comunicando directamente entre sí. Toda la información (datos sensibles, credenciales y mensajes) pasa por el adversario, lo que permite sustraerla. Por ello, es necesario implantar soluciones de seguridad que eviten que la información sea explotada por los ciberdelincuentes.
Cifrado: una medida de protección necesaria
El objetivo de cifrar los datos es volverlos ilegibles para protegerlos. Solo una clave de descifrado permite que los usuarios autorizados visualicen el contenido. Para que sea plenamente eficaz, los datos deben cifrarse de extremo a extremo, de modo que permanezcan permanentemente inaccesibles para los actores de amenaza, en particular si se transfieren a un sistema de almacenamiento o se comparten fuera de la empresa; por ejemplo, en la nube.
Sin embargo, a algunas organizaciones les resulta difícil implantar por sí mismas una solución de cifrado, ya que han delegado esta responsabilidad en sus proveedores de aplicaciones o de servicios cloud. Aplicaciones como WhatsApp o Google Workspace disponen de sus propios sistemas de cifrado, que a menudo se aplican del lado del servidor (“cifrado en reposo”). Del lado del cliente, algunas aplicaciones establecen acuerdos con fabricantes de ciberseguridad para cifrar también los datos, pero esto sigue siendo limitado.
Ahora bien, delegar esta tarea en terceros puede crear una falsa sensación de seguridad, pues también implica confiarles las claves de acceso y, al final, el riesgo se agrava cuando la empresa pierde el control sobre la información que necesita proteger, especialmente durante las transferencias de datos. Por eso es esencial mantener las claves de descifrado dentro de la organización, para tener visibilidad total sobre el acceso a la información, en particular a los datos sensibles.
Los datos sensibles, según la AEPD, son una categoría especial de datos personales. Incluyen información que revela el supuesto origen racial o étnico de una persona, sus opiniones políticas, sus convicciones religiosas o filosóficas o su afiliación sindical, así como el tratamiento de datos genéticos y biométricos con el fin de identificar de manera unívoca a una persona física, los datos relativos a la salud o los datos relativos a la vida sexual o la orientación sexual de una persona física. Este tipo de datos está especialmente regulado, y en particular a través del RGPD. Por tanto, pese a la confianza depositada en los proveedores, es importante mantener una ciberhigiene impecable para no incrementar el riesgo a través del acceso de terceros. En consecuencia, es esencial que los datos sensibles nunca sean accesibles para los servidores de almacenamiento en formato de texto plano.
La ciberseguridad, y especialmente el cifrado, se sacrifica a veces en aras de la facilidad de uso; sin embargo, nadie se plantearía dejar la puerta de casa abierta por comodidad, y exactamente el mismo principio se aplica a la seguridad de los datos. Sobre todo porque, con soluciones sencillas de extremo a extremo, no hay problemas de interoperabilidad ni dificultades para los usuarios. Además, esta tecnología de protección es solo el primer paso hacia una seguridad a más largo plazo que, ante la acuciante amenaza de la computación cuántica, exigirá niveles de cifrado aún más elevados.
Computación cuántica: el futuro de los ataques y la protección
Aunque la computación cuántica todavía está en una fase incipiente, esta revolución podría ser un arma de doble filo, al poder ser utilizada tanto por los equipos de seguridad como por los actores de amenaza. Hoy, organismos como el CCN-CERT o la ANSSI, advierten ya de que algunos ciberdelincuentes están adquiriendo conocimientos en ataques del tipo “robar ahora, descifrar después”, que consisten en sustraer y almacenar datos sensibles cifrados con una larga vida útil con el objetivo de leerlos cuando la tecnología cuántica lo permita, quizá años más tarde.
Por ello, las organizaciones que todavía se resisten a dar el paso deberían optar por un sistema de cifrado sencillo de extremo a extremo, no solo para proteger sus activos sensibles ahora, sin asumir riesgos al transmitir los datos, sino también para prepararse para el mundo de la ciberseguridad del futuro. Cuando las tecnologías cuánticas y postcuánticas se hayan generalizado, será demasiado tarde para protegernos. Por eso es vital empezar a pensar ya en el cifrado y en la protección de los datos.
Jocelyn Krystlik, director de la unidad de negocio de software de Stormshield
