IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

Cifrado en reposo y en tránsito: qué protege cada uno y contra qué no

09/07/2026 3 min de lectura Rubén Espinoza

"Nuestros datos están cifrados, así que están seguros." Es una frase que tranquiliza en una junta y que esconde una trampa: el cifrado protege contra una amenaza muy concreta y deja otras completamente intactas. Saber contra cuál te cubre —y contra cuál no— es la diferencia entre estar protegido y creerlo.

Dos cifrados para dos momentos del dato

Un dato tiene dos estados vulnerables, y cada cifrado cubre uno:

  • En tránsito: mientras viaja por la red. El cifrado aquí (TLS es el ejemplo típico) protege contra quien intercepta la comunicación —el clásico "hombre en el medio". Es lo que hace que el candado del navegador signifique algo.
  • En reposo: mientras está guardado en un disco, una base de datos o un respaldo. Protege contra quien se lleva o accede al medio físico —el disco robado, el respaldo extraviado, el equipo que se dio de baja sin borrar.

Necesitas ambos porque cubren momentos distintos. Cifrar el tránsito y dejar el reposo abierto (o al revés) deja una puerta entera sin cerrar.

Contra qué NO protege ninguno

Aquí está lo que los folletos omiten. El cifrado en tránsito no protege el dato una vez que llegó a destino y se guardó descifrado. Y el cifrado en reposo —esto sorprende a muchos— no protege contra un atacante con credenciales válidas: para el sistema en uso, el disco está montado y descifrado, así que un ransomware o un usuario malicioso con acceso lógico ven los datos en claro. El cifrado en reposo es contra el robo del medio, no contra quien ya entró con llave.

El malentendido que cuesta caro

De ahí que "está cifrado" no equivalga a "está seguro". El cifrado no sustituye al control de acceso, ni al respaldo, ni a un DLP. Es una capa entre varias, no una manta que todo lo cubre.

La parte que nadie mira: las llaves

El cifrado es tan bueno como la custodia de sus llaves. Una llave mal resguardada filtra todo lo que protege; una llave perdida vuelve los datos irrecuperables, con el disco intacto. Por eso, cuando implementamos cifrado como parte de la protección de datos, la gestión de llaves —dónde viven, quién accede, cómo se respaldan— pesa tanto como el algoritmo.

La pregunta que conviene hacerse

La pregunta útil no es "¿ciframos?", sino ¿contra qué amenaza me protege mi cifrado —y contra cuál me quedé creyendo que estaba cubierto cuando no lo estoy?

#cifrado #tls #proteccion de datos #seguridad #gestion de llaves

Preguntas frecuentes

¿Qué diferencia hay entre cifrado en tránsito y en reposo?

El cifrado en tránsito (por ejemplo TLS) protege los datos mientras viajan por la red, contra quien intercepta la comunicación. El cifrado en reposo protege los datos guardados en un disco o base de datos, contra quien obtiene acceso físico al medio. Son amenazas distintas, y necesitas ambos porque cada uno cubre un momento diferente de la vida del dato.

¿El cifrado me protege del ransomware?

No. El cifrado en reposo protege contra el robo del medio físico, pero no impide que un ransomware —que corre con acceso legítimo al sistema, donde los datos están descifrados para uso— los vuelva a cifrar con su propia llave. Contra ransomware, lo que protege es un respaldo inmutable y probado, no el cifrado de tus discos.

¿Qué pasa si pierdo la llave de cifrado?

Pierdes los datos. La gestión de llaves es la parte más ignorada y más crítica del cifrado: una llave mal resguardada puede filtrar todo, y una llave perdida hace los datos irrecuperables, aunque el disco esté intacto. Cifrar sin un plan serio de custodia y respaldo de llaves es cambiar un riesgo por otro.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

Umbrales de monitoreo: ni alertar por todo ni callar lo importante
Control de acceso a datos: mínimo privilegio sin frenar el trabajo
Clasificación de información: el paso aburrido sin el que ningún DLP funciona