Bring Your Own Key: encriptación total de los datos

Cada vez son más las empresas proveedoras de servicios en la nube que apuestan por el cifrado de datos y, más concretamente, por fórmulas BYOK (Bring Your Own Key o Trae Tu Propia Clave) que depositan el control sobre las claves en sus clientes.

T

oda la información transmitida a través de una red de comunicaciones públicas, como Internet, corre el peligro de ser leída, por lo que el cifrado, y más aún estrategias concretas como BYOK, puede ser la respuesta a los accesos indeseados, construyendo un muro de privacidad.  

Conjugar la libertad de la que quieren gozar las empresas a la hora de situar sus servidores en el punto geográfico que quieran y los derechos de los usuarios de tecnología sobre su privacidad, es un desafío al que la encriptación puede dar respuesta. Además, existe un debate tradicional en la sociedad digital sobre quién posee la información que viaja por la red: el emisor o el proveedor que almacena esa información.  

Las prácticas BYOK son un modo de encriptación que permite a un cliente generar y quedarse con la llave de cifrado para proteger y acceder a su propia nube de datos. Con BYOK, se mantiene el equilibrio en la relación entre clientes y empresas que manejan datos confidenciales, ya que la información se vuelve ilegible para aquellos que no posean las claves. Aunque una agencia de seguridad solicite acceso a determinada información, el proveedor, bien sea Amazon, Microsoft o cualquier otro, no tiene otra opción que responder que no le es posible proporcionárselo, manteniendo la integridad del cliente a salvo.  

Una de las principales diferencias entre la encriptación de claves habitual y los patrones BYOK es que, en el primer caso, las claves se cifran antes de ser almacenadas o transmitidas, mientras que en BYOK los clientes utilizan sus propias claves para cifrar y proteger sus datos almacenados en la nube o en una plataforma de servicios. Normalmente, cuando los clientes utilizan soluciones de este tipo, sus datos se cifran utilizando claves proporcionadas por el proveedor de servicios en la nube. Los esquemas BYOK depositan todo el ciclo de gestión de claves en el cliente y, además, son muy eficientes contra intentos de robo, ataques o violaciones de seguridad. 

En ocasiones se utilizan ambos enfoques en combinación para proporcionar una mayor seguridad. Por ejemplo, un proveedor de servicios en la nube puede cifrar las claves de un cliente utilizando encriptación, y luego permitir que este importe y utilice sus propias claves de cifrado con BYOK. 

Las prácticas BYOK pueden ayudar a las empresas a cumplir con las normativas y estándares de seguridad, ya que les permiten controlar sus claves de cifrado y demostrar que sus datos están protegidos, siempre respetando la libertad de los usuarios sobre la gestión de sus datos. Por otra parte, de poco sirve que las compañías se apoyen en modos de encriptación como BYOK si los marcos legislativos no caminan en la misma dirección.  

Reino Unido ha anunciado un proyecto de ley de seguridad en línea que prohibiría el cifrado de extremo a extremo. Aunque ya existe el marco legislativo, de 2016, que permite la eliminación del cifrado, en la práctica Reino Unido nunca ha llegado a aplicar este poder. Will Cathcart, director del gigante de la mensajería instantánea Whatsapp, afirmó que la empresa no cumplirá con los requisitos del proyecto de ley, argumentando que es la legislación más preocupante que se está discutiendo actualmente en el mundo occidental y que “poner en peligro la seguridad del producto no es una opción”. Además, la nueva ley podría exigir que WhatsApp aplicase políticas de moderación de contenido que serían imposibles de cumplir sin eliminar el cifrado de extremo a extremo. Cathcart aseguró que se negará a operar en Reino Unido antes de poner en peligro la autonomía de sus clientes, una decisión que podría ser secundada por otras empresas de gran calado. 

En ciertos sectores existe cierta preocupación porque las agencias y servicios de inteligencia tengan la última palabra a la hora de solicitar y acceder a información privada, desactivando los preceptos de la encriptación. Un ejemplo reciente sería el de la polémica suscitada a partir del anuncio de ciertas mejoras en los métodos de cifrado de Apple, que levantó ampollas entre organismos de seguridad, como el FBI, que criticó este avance por las dificultades añadidas que tendrá a la hora de acceder a archivos almacenados en la nube en el transcurso de una investigación. La compañía avanzó que estas nuevas características, disponibles desde principios de 2023, permiten al usuario obtener copias de sus claves de cifrado o incorporar protección extra en la aplicación iMessage, con un modo de verificación de identidad a través de la comparación de una clave de verificación de contacto mediante FaceTime u otra llamada segura. 

En esta línea, para garantizar el máximo control sobre la privacidad y la seguridad, TrustCloud incorporará próximamente un módulo específico para cubrir estos aspectos, basado en rigurosos patrones y prácticas BYOK en los que la compañía y sus clientes pueden generar y administrar sus propias claves de cifrado utilizando un servicio compartido de gestión de llaves (Key Manager), controlando las claves íntegramente. El nuevo módulo TrustCloud BYOK aplica prácticas Bring Your Own Key en todos los casos en los que se necesite cifrar los datos para asegurar la privacidad, ya sea durante la transmisión a través de redes de comunicación (en movimiento o en tránsito) o mientras se encuentran almacenados como archivos de datos (en reposo).  

Además, TrustCloud pretende enriquecer la oferta BYOK con capacidades BYOC (Bring Your Own Certificate o Trae Tu Propio Certificado). Esta ampliación permite a los clientes agregar sus propios certificados digitales a un módulo BYOK. De este modo, BYOK no se limita a ser un gestor de claves compartido y se complementa con una función a través de la cual el cliente puede generar y revocar sus propios certificados e incorporarlos al sistema, lo que le otorga un control aun mayor sobre sus datos en línea. 

El módulo se ofrecerá próximamente como opción dentro de la plataforma y podrá activarse o revocarse a petición del cliente, siguiendo las pautas de trabajo de Trustcloud, con la flexibilidad y adaptación a todo tipo de perfiles como piedra angular.