30 términos

Glosario cloud cifrado y privacidad

30 definiciones autónomas para comprender el cifrado cloud, la protección de datos y la jurisdicción sin marketing ni jerga. Cada término enlaza con explicaciones detalladas de nuestra base editorial.

#01 Cifrado zero-knowledge (conocimiento cero): Modelo de cifrado en el que el proveedor cloud nunca posee las claves de descifrado. Los archivos se cifran en el lado del cliente antes de la subida; el servidor solo almacena texto cifrado. Incluso ante una orden judicial, el proveedor técnicamente no puede acceder a los datos en texto claro.
#02 Cifrado de extremo a extremo (E2EE): Protocolo en el que los datos se cifran en el dispositivo del emisor y solo se descifran en el dispositivo del receptor. Ningún intermediario (operador de red, alojamiento) puede leer el contenido. E2EE es necesario pero no suficiente para el zero-knowledge: un servicio puede ser E2EE gestionando las claves en el servidor.
#03 AES-256: Algoritmo de cifrado simétrico (Advanced Encryption Standard) con clave de 256 bits, estandarizado por el NIST en 2001. El estándar industrial para cifrado en reposo en servicios cloud. Los 256 bits son el nivel recomendado para datos sensibles; AES-128 es aceptable para uso general.
#04 Cifrado en el lado del cliente: Operación en la que los datos se cifran localmente en el dispositivo del usuario antes de transmitirse al servidor. La clave de cifrado nunca abandona el dispositivo. Sinónimo práctico de zero-knowledge cuando la gestión de claves también es local. Opuesto al cifrado en el lado del servidor.
#05 Cifrado en reposo (at-rest): Protección de los datos almacenados en disco o base de datos. Todos los servicios cloud serios lo aplican (AES-256), pero no es suficiente: el proveedor sigue pudiendo leer los archivos accediendo a las claves que gestiona. El cifrado en reposo por sí solo no garantiza la confidencialidad frente al proveedor.
#06 Cifrado en tránsito: Protección de los datos durante su transferencia por la red, típicamente mediante TLS 1.2 o 1.3. Protege frente a la interceptación de red (man-in-the-middle), pero no frente al propio proveedor, que recibe los datos en texto claro en el servidor si no se aplica cifrado del lado del cliente.
#07 Metadatos: Datos sobre los datos: nombre de archivo, tamaño, marca de tiempo de modificación, frecuencia de acceso, IP de origen. Incluso los servicios zero-knowledge suelen exponer metadatos sin cifrar. Proton Drive cifra los nombres de archivo por separado; la mayoría de los demás dejan esta información accesible al proveedor.
#08 CLOUD Act (EE.UU., 2018): Ley estadounidense (Clarifying Lawful Overseas Use of Data Act) que permite a las autoridades federales exigir a empresas estadounidenses la entrega de datos almacenados en cualquier parte del mundo, sin notificar al propietario de los datos. Se aplica a Microsoft, Google y Amazon incluso para sus centros de datos europeos.
#09 RGPD (GDPR): Reglamento General de Protección de Datos, en vigor en la UE desde mayo de 2018. Regula la recopilación, el tratamiento y la transferencia de datos personales. Prohíbe en principio la transferencia de datos a países sin protección adecuada — en tensión directa con la CLOUD Act estadounidense para los proveedores transatlánticos.
#10 Five / Nine / Fourteen Eyes: Alianzas de intercambio de inteligencia entre países. Five Eyes: EE.UU., Reino Unido, Canadá, Australia, Nueva Zelanda. Nine Eyes añade: Dinamarca, Francia, Países Bajos, Noruega. Fourteen Eyes suma 5 países más (Alemania, Bélgica, España, Italia, Suecia). Los proveedores domiciliados en estos países pueden estar sujetos a solicitudes de vigilancia estatal mancomunada.
#11 Jurisdicción: País de domicilio legal del proveedor cloud. Determina qué ley rige las solicitudes de acceso a los datos (CLOUD Act para entidades de EE.UU., LPD para Suiza, RGPD para la UE). Suiza está fuera de la UE, fuera de los 14 Eyes y no sujeta a la CLOUD Act, lo que la convierte en una jurisdicción preferida para los servicios de almacenamiento privado.
#12 TOFU (Trust On First Use): Modelo de confianza en el que la primera clave pública recibida de un contacto se acepta sin verificación externa. Usado en protocolos como Signal o algunas implementaciones SFTP. Expone a un ataque man-in-the-middle durante la primera conexión, antes de que la huella de clave se confirme fuera de banda.
#13 Cifrado convergente: Técnica en la que el mismo contenido en texto claro siempre produce el mismo texto cifrado, porque la clave se deriva de un hash del contenido. Permite la deduplicación en el servidor sin exponer el contenido. Empleado por servicios como MEGA. Inconveniente: un adversario que conozca el contenido probable puede verificar su presencia por comparación de hashes.
#14 Deduplicación: Técnica de almacenamiento que elimina copias redundantes del mismo contenido. Reduce los costes de infraestructura del proveedor. Incompatible con un cifrado zero-knowledge estricto (cada usuario tendría un texto cifrado diferente para el mismo archivo), salvo mediante cifrado convergente — con sus limitaciones asociadas.
#15 Sharding (fragmentación): Fragmentación de un archivo en múltiples partes (shards) distribuidas entre distintos servidores o nodos. Mejora la resiliencia y el rendimiento. En un contexto de privacidad, el sharding combinado con cifrado de extremo a extremo impide que un nodo individual reconstruya el archivo completo. Empleado especialmente por Internxt.
#16 WebDAV: Extensión del protocolo HTTP que permite la gestión remota de archivos (lectura, escritura, renombrado, eliminación). Compatible con Nextcloud, pCloud y otros para integración con clientes de terceros. Facilita flujos de trabajo automatizados pero no añade capa de cifrado nativa.
#17 Sincronización vs copia de seguridad: La sincronización (sync) mantiene una copia espejo en tiempo real: cualquier eliminación local se replica en la nube. La copia de seguridad (backup) conserva versiones históricas independientemente de los cambios locales. Para protegerse de ransomware o eliminaciones accidentales, una copia de seguridad real con versionado es indispensable.
#18 Versionado (gestión de versiones): Conservación de versiones anteriores de un archivo. Permite restaurar el estado de un archivo antes de una modificación, corrupción o ataque ransomware. Los períodos de retención varían según el plan: Proton Drive guarda 200 versiones, Tresorit 180 días, pCloud entre 15 y 365 días según el plan.
#19 Plan lifetime (pago único): Oferta comercial que da acceso a un servicio por tiempo indefinido a cambio de un pago único. pCloud e Internxt ofrecen planes lifetime significativamente más económicos que una suscripción de 5-10 años. Principal riesgo: la viabilidad financiera del proveedor a largo plazo no está garantizada.
#20 SOC 2: Marco de auditoría americano (Service Organization Control 2) desarrollado por el AICPA. Evalúa cinco criterios: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Un informe SOC 2 Tipo II (que cubre un período de 6 a 12 meses) es un indicador de madurez operativa, distinto de una certificación de cifrado.
#21 ISO/IEC 27001: Norma internacional de gestión de la seguridad de la información. La certificación ISO 27001 acredita que una organización aplica un Sistema de Gestión de Seguridad de la Información (SGSI) conforme a los requisitos de la norma, auditado por un organismo acreditado. Más extendida en Europa que SOC 2.
#22 Auditoría independiente: Evaluación de la seguridad de un sistema por un tercero especializado (p. ej., Cure53, SEC Consult, NCC Group, Trail of Bits). Una auditoría del código fuente del cliente confirma la implementación real del cifrado zero-knowledge. Proton Drive, Tresorit y Filen han publicado informes de auditoría. La ausencia de auditoría no demuestra inseguridad, pero limita la verificabilidad.
#23 Código abierto vs propietario: Un cliente de código abierto (código fuente publicado y verificable) permite a terceros confirmar que el cifrado anunciado está realmente implementado. Un cliente propietario requiere confiar en las afirmaciones del proveedor o en una auditoría externa. Proton Drive, Internxt y Filen publican su código cliente; pCloud y Tresorit siguen siendo propietarios.
#24 Criptografía poscuántica: Algoritmos diseñados para resistir los ataques de un ordenador cuántico. Los algoritmos actuales (RSA, ECDSA, DH) serán vulnerables cuando los ordenadores cuánticos sean suficientemente potentes. El NIST estandarizó los primeros algoritmos poscuánticos en 2024 (ML-KEM, ML-DSA). Proton lleva en transición hacia primitivas poscuánticas desde 2024.
#25 Función de derivación de clave (KDF): Función criptográfica que transforma una contraseña (baja entropía) en una clave de cifrado robusta. Las KDF modernas (Argon2id, bcrypt, PBKDF2) ralentizan deliberadamente los intentos de fuerza bruta. La solidez del zero-knowledge depende en parte de la calidad de la KDF y la complejidad de la contraseña elegida.
#26 Secreto perfecto hacia adelante (PFS): Propiedad de un protocolo criptográfico que garantiza que el compromiso de una clave a largo plazo no permita descifrar comunicaciones pasadas. Cada sesión utiliza claves efímeras distintas. Implementado en TLS 1.3 (usado para todas las transferencias cloud modernas), aunque menos relevante para el almacenamiento en reposo.
#27 Gestión de claves: Conjunto de procedimientos de generación, almacenamiento, rotación y revocación de claves criptográficas. En un modelo zero-knowledge, las claves nunca deben abandonar el dispositivo del usuario en texto claro. Una mala gestión de claves (copia de seguridad sin cifrar, transmisión al servidor) anula las garantías del cifrado.
#28 Residencia de datos: Ubicación física de los servidores que almacenan los datos. Distinta de la jurisdicción legal del proveedor: un proveedor estadounidense con servidores en Alemania sigue estando sujeto a la CLOUD Act. La residencia de datos es relevante para el RGPD (obligación de mantener los datos en el EEE), pero no reemplaza un análisis de jurisdicción.
#29 Prueba de conocimiento cero (ZKP): Protocolo criptográfico que permite a una parte demostrar el conocimiento de una información sin revelarla. Diferente del "almacenamiento zero-knowledge": los protocolos ZKP (zk-SNARK, zk-STARK) se usan en criptografía avanzada y blockchain. En el contexto del almacenamiento cloud, "zero-knowledge" se refiere a la ausencia de claves en el proveedor, no a un protocolo ZKP formal.
#30 Protección contra ransomware: Medidas para prevenir o limitar los daños de un ransomware a través de la nube. El versionado automático es la protección principal: permite restaurar archivos a un estado anterior a la infección. Algunos servicios (Tresorit, Proton Drive) detectan modificaciones masivas sospechosas. La sincronización instantánea sin versionado puede, por el contrario, propagar el cifrado malicioso.
#31 LPD suiza (nFADP): Ley federal suiza de protección de datos, revisada en 2020 y en vigor desde el 1 de septiembre de 2023. Se alinea con el RGPD en varios puntos (derechos individuales, responsabilidad) manteniendo especificidades suizas. Suiza no es miembro de la UE, pero la Comisión Europea ha reconocido un nivel de protección adecuado para las transferencias de datos desde el año 2000 (decisión renovada).

Profundizar

E2E vs zero-knowledge: lo que el marketing oculta Comparativa cloud cifrado — quiz 60 s Calculadora coste almacenamiento nube