From Mexico Call: 01-800-228-3526

Encriptación: Cómo proteger nuestros datos “en tránsito”

Escrito por

Pablo Duranti. Director Sales Engineering, Transtelco

Gabriel Grifasi. Partner Development Director, Transtelco

junio 10, 2021

Muchos son los esfuerzos que realizan las empresas para proteger la integridad de su información dentro de sus dependencias o centro de datos contra ataques tales como malware, spoofing, phishing, ataques distribuidos, etc,.. pero todavía se encuentran desprotegidas contra ataques que están dirigidos a la interceptación de datos en tránsito o “in-flight”.

Una estrategia de seguridad efectiva debe contemplar la protección de datos en el medio de transmisión. Para ello se debe disponer de la tecnología, procesos y experiencia con el fin de obtener soluciones de cifrado altamente eficientes en servicios de comunicación servicios de comunicación extremo a extremo de muy alta capacidad complementando así la seguridad de datosen reposo. Por otro lado, estas soluciones de cifrado deben cumplir con los estándares que cada industria requiere. Los sectores Financiero y de Salud son los más estrictos en cuanto a requerimientos debido a la sensibilidad de la información que manejan. A estas soluciones se les conoce como Cifrado a nivel óptico (Cifrado de capa 1) o Cifrado Ethernet (Cifrado en capa 2).

Veamos a continuación cuales son estos tipos de cifrado y las ventajas comparativas que ofrecen sus tecnologías.

Tipos de Cifrado para Datos en Tránsito

Dependiendo de la aplicación y casos de uso, las empresas pueden elegir distintos tipos de cifrado que van desde la capa física hasta capas superiores de aplicación, de acuerdo con el modelo de interconexión de sistemas abiertos, más conocido como “modelo OSI”:

  • El Cifrado óptico es una forma de proteger los datos en la capa física (o capa 1), mientras se transmiten señales protegidas a través de un sistema de fibra óptica. Este tipo de encriptación es especialmente útil para aplicaciones en sectores financiero y de salud corriendo sobre enlaces de comunicación de muy alta velocidad (10 Gbps, 40 Gbps, 100 Gbps).
  • En la capa de enlace, o capa 2, el cifrado ethernet cuenta con la posibilidad de encriptar información mediante MACsec (Media Access Control Security) cuando se esté utilizando protocolo Ethernet con independencia del medio de transmisión. HIPAA, PCI y Sarbanes-Oxley entre otros ya adoptan MACsec como mecanismos válidos para asegurar las redes de comunicaciones hasta altas capacidades (< 10G).
  • Subiendo en el modelo de capas, se dispone de IPSec (seguridad del protocolo de Internet) como framework y protocolos para establecer túneles seguros, comúnmente llamados VPNs (Virtual Private Networks) entre sitios conectados por una capa 3 o IP. IPSec es ampliamente utilizado en casi todas las industrias para establecer comunicaciones seguras sobre Internet, en capacidades que en general no superan 1G y usando protocolos estandarizados y soportados por diversas marcas.
  • Para encriptación de tráfico en capas superiores de aplicación (capa 4 a capa 7) existen diversos protocolos tales como TLS (Transport Layer Security) creados para proteger sesiones en ambientes Cliente-Servidor.

Ventajas del Cifrado Óptico

Los diferentes mecanismos de cifrado ofrecen ventajas y desventajas dependiendo del caso de uso. Si nos situamos en un escenario donde es necesaria la transmisión de altos volúmenes de información para aplicaciones sujetas a estrictas regulaciones entonces las ventajas del cifrado óptico se puede resumir en tres grandes aspectos:

  • Flexibilidad:al tratarse de una encriptación que se brinda sobre señales ópticas con total independencia de la información que transmite en capas superiores, el cifrado óptico es capaz de soportar una gran variedad de formatos de información convirtiendo a esta tecnología completamente agnóstica al protocolo elegido por los clientes.
  • Eficiencia: los protocolos de capa superior hacen uso de cabeceras para la encriptación de información reduciendo la capacidad disponible para el envío de datos útiles para las aplicaciones de los clientes. Esta situación se hace más evidente para aplicaciones que utilizan paquetes de información pequeños donde la información utilizada para encriptación es significativa respecto la cantidad de información utilizada para transmitir datos relevantes para la aplicación.

Por el contrario, el cifrado en la capa óptica no hace uso de estas cabeceras permitiendo el uso del 100% de la capacidad disponible para el envío de información valiosa, como puede observarse en el siguiente gráfico:

  • Retardo: el retardo introducido durante la codificación/decodificación de señales ópticas es significativamente menor (casi despreciable) respecto al de otros mecanismos de encriptación en capas superiores.

Ventajas del Cifrado Ethernet

De la misma manera que el cifrado Óptico, el cifrado Ethernet se ajusta muy bien a escenarios donde es necesaria la transmisión de información en altas capacidades con regulaciones de seguridad muy estrictas. El uso del protocolo MACsec para encriptado en esta capa presenta la siguientes ventajas:

  1. Independencia del transporte: a diferencia del encriptado Óptico que necesita de OTN (Optical Transport Networking) para poder operar, MACsec establece una transferencia de datos segura entre dos dispositivos independientemente de los dispositivos o la redes intermedias siempre que se ofrezca un formato Ethernet en los extremos.
  2. Costos: el costo para encriptación en capa 2 a través del protocolo MACSec para capacidades equivalentes considerando el costo de equipamiento es superior al que ofrece la encriptación óptica.
  3. Eficiencia: a pesar de no ser tan eficiente y de presentar retardos ligeramente superiores en comparación con la encriptación óptica, los servicios de encriptado en Capa 2 son todavía muy superiores para los entornos descritos que los mecanismos de protección de datos en tránsito en capas superiores.

En la siguiente tabla podemos ver como resultan las distintas variables de costo y calidad de servicio de acuerdo a la capa en la que se realiza la encriptación:

¿Cuál es el tipo de encriptación que más me conviene?

¿Cuál es entonces la capa de red en la que debemos manejar la seguridad de los datos en tránsito? Hay quienes argumentan que la capa de aplicación es la más apropiada porque es donde residen los datos sensibles. Otros argumentan que la seguridad debe comenzar en la capa física o niveles más básicos de conexión, protegiendo incluso la información de protocolo involucrada en el movimiento de datos. Dependiendo de los requisitos de seguridad y entorno, ambos son correctos.

En Transtelco nos especializamos en encontrar la solución de encriptación más adecuada para tu empresa, soportados por una trayectoria y experiencia desarrollada durante más de 20 años brindando soluciones y servicios utilizando todos los mecanismos de encriptación mencionados anteriormente. Contamos con infraestructura óptica (OTN) sin paralelo en la región que permite el despliegue de soluciones cifradas en sus diferentes capas de servicio, esto sumado a las alianzas tecnológicas, procesos y recursos capacitados para operar servicios de encriptación que cumplen con los estándares impuestos por Federal Information Processing Standards (FIPS – Nivel 2).

Póngase en contacto con nosotros

Copyright © 2022 Transtelco, All Rights Reserved.