Comprender qué tipos y clases de cifrado existen es necesario para cualquiera que se ocupe de la protección de la información o del desarrollo de software. Hoy la criptografía no es solo elegir un algoritmo como AES o RSA, sino un enfoque integral para la seguridad de los datos. En este artículo clasificamos los métodos principales de cifrado, explicamos la diferencia entre esquemas simétricos y asimétricos, además de ver en qué se distingue el cifrado "abierto" del "cerrado" y cómo evitar errores críticos al implementar protocolos.
Cifrado como término: por qué la gente discute aunque hablen de lo mismo
Si alguna vez ha oído la frase "todo está cifrado con RSA", puede marcarla como un ejemplo típico de malentendido. En la práctica el cifrado casi nunca es "un solo algoritmo". Es un conjunto de técnicas: cómo generar la clave, cómo intercambiarla, cómo empaquetar los datos, cómo verificar la integridad y qué hacer cuando la clave se pierde o se filtra.
Por eso la clasificación no es por pura academia, sino para responder con rapidez a una pregunta práctica: ¿qué estamos protegiendo exactamente: un canal de comunicación, un archivo en disco, una copia de seguridad en la nube o campos individuales en una base de datos? Objetivos distintos implican restricciones diferentes: velocidad, número de participantes, conveniencia para rotar claves, compatibilidad.
El eje más útil de la clasificación es por tipo de claves. Aquí aparecen pares de términos que se confunden con frecuencia: simétrico y asimétrico, además de "cerrado" y "abierto". En el habla técnica "cifrado cerrado" suele significar una clave secreta común (simetría), y "abierto" significa clave pública y clave privada (asimetría). No son términos perfectos, pero aparecen con regularidad en las conversaciones.
Otro eje es por la forma de los datos y la implementación. "Cifrado digital" casi siempre significa simplemente cifrar datos en formato digital (es decir, prácticamente todo lo moderno), y "electrónico" indica que se implementa mediante electrónica y software, no con mecanismos mecánicos o tablas en papel. Suena obvio, pero de ahí surgen comparaciones extrañas y formulaciones de mercado.
Finalmente, hay un tercer eje: modos y composiciones. Un mismo algoritmo puede ser seguro o inseguro dependiendo del modo, la presencia de autenticación (AEAD), la corrección del IV/nonce y la gestión de claves. Y aquí es cuando empieza lo más interesante.
Simétrico (cerrado): principios de funcionamiento, el algoritmo AES y modos
El cifrado simétrico es cuando el emisor y el receptor comparten la misma clave secreta. Es rápido, escala bien en volumen de datos y suele cifrar megabytes y gigabytes: discos, archivos, tráfico dentro de TLS tras el apretón de manos, adjuntos en mensajería.
El exponente más conocido es AES, estandarizado y usado ampliamente en la industria y en normas estatales. La especificación se encuentra en el documento NIST FIPS. Pero es importante recordar: "AES" no es una solución completa, sino un primitivo básico. Sin modo de operación y reglas para nonce/IV es como un motor sin caja de cambios.
Por su construcción, los cifrados simétricos se dividen en de bloque y de flujo. Los de bloque (AES) operan sobre bloques de tamaño fijo y requieren modos como CBC, CTR, GCM. Los de flujo (ChaCha20) generan una secuencia pseudoaleatoria que se combina con los datos. En producción moderna casi siempre se busca, además de confidencialidad, protección contra la manipulación, por eso se prefieren esquemas AEAD: AES-GCM o ChaCha20-Poly1305.
¿Cuándo falla la simetría en la práctica? Normalmente por las claves y las repeticiones. Repetir un nonce en AEAD puede provocar una catástrofe. Usar una misma clave "para siempre" es invitar a un incidente. Emplear ECB por ser "más simple" deja patrones visibles en imágenes y regularidades en los datos. No es teoría: son errores en los que incluso equipos experimentados suelen tropezar.
Pequeña lista de comprobación si necesita cifrado simétrico en un producto:
- Elija AEAD (por ejemplo, AES-GCM o ChaCha20-Poly1305) para no combinar manualmente cifrado y MAC.
- Genere nonce/IV correctamente: la unicidad es más importante que la "aleatoriedad".
- Rote las claves y sepárelas por contexto (archivos por un lado, sesiones por otro).
- No confunda hashing con cifrado: SHA-256 no "cifra", calcula una huella.
Asimétrico (abierto): par de claves, RSA, curvas elípticas y esquemas híbridos
La asimetría trata de pares de claves: la pública se puede distribuir y la privada la conserva el propietario. En teoría resulta muy conveniente, pero en la práctica las operaciones asimétricas son mucho más costosas que las simétricas, por eso rara vez cifran grandes volúmenes de datos directamente. Su ventaja está en el intercambio de claves, las firmas y la construcción de confianza.
Ejemplos clásicos: RSA y la criptografía de curvas elípticas (ECC). RSA se usa a menudo por compatibilidad e infraestructura; ECC ofrece claves más compactas con una resistencia comparable. Pero, de nuevo, lo importante no es la marca del algoritmo sino cómo se aplica y qué parámetros se eligen. En desarrollo práctico suele ser preferible seguir bibliotecas y protocolos que ya incorporan valores razonables.
En Internet la asimetría suele vivir en esquemas híbridos. El escenario: la asimetría acuerda una clave simétrica fresca, y a partir de ahí todos los datos se cifran con simetría. Esto es precisamente lo que hace TLS 1.3, descrito en RFC. A nivel de usuario esto se siente como "sitio en HTTPS", pero internamente hay una combinación cuidadosa de intercambio de claves, cifrado y autenticación.
Una clase aparte son las firmas digitales. La firma no cifra; prueba autoría e integridad. Es crucial para actualizaciones, paquetes, documentos y para evitar descargar "el mismo archivo con una sorpresa". Sí, a veces se confunde firma con cifrado, porque en ambos aparecen claves y matemáticas.
¿Cómo saber si necesita asimetría? Si tiene muchos clientes, distribuir claves públicas es más fácil que repartir secretos. Si requiere auditoría e irrefutabilidad, ahí entran las firmas. Si construye un canal seguro, casi seguro será un esquema híbrido vía TLS u otro protocolo similar, no un "RSA casero sobre un socket".
Categorías adicionales: cifrado digital, electrónico y de hardware
Las palabras "digital" y "electrónico" se usan a veces como si fueran tipos distintos de cifrado. En la práctica hablan más del entorno y de la ejecución. Digital porque se cifran bytes. Electrónico porque se hace en CPU, firmware, en un HSM o en un módulo hardware de cifrado de disco. Para la esencia criptográfica no añaden una clase nueva, pero ayudan a discutir riesgos de implementación.
Por ejemplo, el cifrado "en disco" (full disk encryption) se topa con dónde se almacena la clave y cómo está protegido el cargador de arranque. El cifrado "en la base de datos" depende de la gestión de claves y de los accesos de las aplicaciones. El cifrado "en el canal" exige verificar certificados y configurar el protocolo. Un mismo algoritmo puede servir, pero el modelo de amenazas cambia radicalmente.
El cifrado doble (a veces escrito de forma extraña como "doble cifrado") no es una categoría mágica. Es simplemente aplicar dos capas de protección de forma secuencial. Puede ser útil cuando las capas son independientes: por ejemplo, cifrar un archivo con la clave del usuario y luego cifrar el contenedor con la clave del dispositivo. Pero puede ser inútil si se cifra dos veces con la misma clave o se repiten errores con nonces.
Para no perderse en términos, mantenga una clasificación práctica según las tareas:
- Cifrado de datos: AES-GCM, ChaCha20-Poly1305, modos para discos y archivos.
- Intercambio de claves y canales: TLS, protocolos Noise, esquemas híbridos.
- Autenticación e integridad: firmas (EdDSA/ECDSA/RSA-PSS), MAC y hashes.
- Almacenamiento de claves: HSM, TPM, enclaves hardware, gestores de secretos.
Y un consejo final que le puede ahorrar una semana: no invente protocolos. Elija construcciones estandarizadas, bibliotecas y modos probados, y dedique sus esfuerzos a las claves, actualizaciones, monitorización y configuraciones seguras por defecto. En 2026 ganará quien cometa menos errores triviales en la implementación, no quien conozca más nombres de algoritmos.
Glosario práctico de términos criptográficos (de AEAD a IV)
Si después de leer le quedaron en la cabeza nonce, AEAD, IV y la sensación de "¿se puede más sencillo?", aquí tiene una chuleta. No sustituye la documentación, pero ayuda a recordar rápido de qué se trata al discutir un esquema o depurar una integración.
- Cifrado - transformación de datos a una forma que no se puede leer sin la clave.
- Cifrado simétrico - una clave secreta para cifrar y descifrar.
- Cifrado asimétrico - par de claves: pública para distribuir y privada para el propietario.
- Clave pública - parte de la pareja asimétrica que se puede publicar sin comprometer el secreto.
- Clave privada - la parte privada de la pareja; su pérdida suele ser crítica.
- AES - cifrado simétrico de bloque popular, usado como primitivo básico.
- Modo de operación - forma de aplicar un cifrado de bloque a datos de longitud arbitraria (CBC, CTR, GCM, etc.).
- AEAD - cifrado con autenticación; además de confidencialidad ofrece protección contra manipulaciones.
- MAC - código de autenticación de mensaje, verifica integridad y autenticidad con clave compartida.
- Firma digital - prueba verificable de autoría e integridad, normalmente con la clave privada del firmante.
- Hash - huella de longitud fija de los datos, útil para comprobar integridad, no para ocultar.
- IV - valor de inicialización para un modo; a menudo es público pero su uso correcto es crítico.
- Nonce - valor que debe ser único por operación con una misma clave (a menudo se confunde con "aleatorio").
- TLS - protocolo para proteger conexiones que suele usar asimetría al inicio y simetría para el tráfico.
- Apretón de manos - fase de negociación de parámetros y claves antes de que fluya el tráfico cifrado.
- Rotación de claves - sustitución periódica de claves para limitar el daño por fugas o errores.
- HSM - módulo hardware que almacena claves y realiza operaciones criptográficas para que las claves no salgan.
- TPM - módulo de plataforma segura, usado para atar claves al dispositivo y escenarios de arranque seguro.
- Cifrado doble - dos capas independientes de cifrado que pueden aumentar la protección si se hacen correctamente.
Cómo usar este glosario: cuando vea un término en un ticket o conversación, sustituya por la definición y pregúntese "qué puede fallar aquí". En criptografía la mitad del éxito es hacer las preguntas correctas antes de que ocurra un incidente.
¿Le gustó el análisis? Los temas de criptografía y seguridad de la información son amplios y cambian constantemente. Para no perderse nuevas guías técnicas, análisis de vulnerabilidades y consejos sobre arquitectura segura, siga mis publicaciones en mi perfil.
