Cifrado

Ayudamos a proteger los datos en reposo y en tránsito

La información es el recurso más valioso e irreemplazable de una organización y el cifrado representa la última y la más sólida línea de defensa en una estrategia de seguridad de datos de varias capas. Los servicios y productos en la nube para empresas de Microsoft utilizan el cifrado para proteger los datos del cliente y ayudarle a mantener el control sobre ellos. Al cifrar los datos, estos resultan ilegibles para las personas no autorizadas, aun cuando consigan traspasar los firewalls, infiltrarse en la red, acceder físicamente a sus dispositivos o sortear los permisos de la máquina local. El cifrado transforma los datos para que solo los usuarios que tengan la clave de descifrado puedan acceder a ellos.

Además, nuestros productos usan los protocolos de transporte seguros estándares de la industria para los datos que se transfieren por la red, ya sea entre los dispositivos de los usuarios y los centros de datos de Microsoft o dentro de los propios centros de datos. Para proteger los datos en reposo, Microsoft cuenta con una serie de funciones de cifrado integradas.

Identidad segura

La identidad (de un usuario, de un equipo o de ambos) es un factor clave en muchas tecnologías de cifrado. Por ejemplo, en la criptografía de clave pública (asimétrica), se genera un par de claves: una privada y una pública para cada usuario. Como el propietario del par de claves es el único que tiene acceso a la clave privada, el uso de dicha clave identifica a dicho propietario como parte implicada en el proceso de cifrado y descifrado. La infraestructura de clave pública (KPI) de Microsoft utiliza certificados que comprueban la identidad de los usuarios y equipos.

Infraestructura segura

Microsoft emplea diferentes métodos de cifrado, protocolos y algoritmos en sus productos y servicios para proporcionar una ruta de acceso segura para los datos cuando se transfieren a través de la infraestructura, así como para proteger la confidencialidad de la información que se almacena en dicha infraestructura. Microsoft utiliza algunos de los protocolos de cifrado más sólidos y seguros de la industria para proporcionar una barrera de defensa contra el acceso no autorizado a los datos. Administrar correctamente las claves constituye un elemento fundamental en los procedimientos recomendados de cifrado, y Microsoft garantiza que las claves de cifrado están correctamente protegidas.

Estos son algunos ejemplos de protocolos y tecnologías:

  • Transport Layer Security/Secure Sockets Layer (TLS/SSL), que utiliza una criptografía simétrica basada en un secreto compartido para cifrar las comunicaciones cuando transitan a través de la red.
  • Internet Protocol Security (IPsec), un conjunto de protocolos sectoriales estandarizados que se utilizan para proporcionar la autenticación, integridad y confidencialidad de los datos en el nivel del paquete IP cuando este se transfiere a través de la red.
  • Advanced Encryption Standard (AES)-256, la especificación del Instituto Nacional de Normalización y Tecnología (NIST) de EE. UU. para el cifrado de datos de clave simétrica que la Administración de Estados Unidos adoptó en sustitución de la tecnología de cifrado de clave pública Estándar de cifrado de datos (DES) y RSA 2048.
  • El cifrado de BitLocker utiliza AES para cifrar volúmenes enteros en los equipos cliente y servidor de Windows, y puede utilizarse para cifrar las máquinas virtuales de Hyper-V cuando se agrega un módulo de plataforma segura (TPM). BitLocker también cifra las máquinas virtuales blindadas de Windows Server 2016 para impedir que los administradores del tejido puedan acceder a la información que reside en ellas. La solución de máquinas virtuales blindadas incorpora la nueva característica Host Guardian Service, que se utiliza para la atestación del host de virtualización y la emisión de claves de cifrado.
  • El cifrado del servicio Microsoft Azure Storage cifra los datos en reposo cuando se almacenan en Azure Blob Storage. Azure Disk Encryption cifra los discos de las máquinas virtuales de infraestructura como servicios (IaaS) Windows y Linux mediante la característica BitLocker de Windows y la característica DM-Crypt de Linux para cifrar el volumen del sistema operativo y del disco de datos.
  • Cifrado de datos transparente cifra los datos en reposo cuando se almacenan en una base de datos SQL de Azure.
  • Azure Key Vault le permite administrar y controlar de forma sencilla y económica las claves de cifrado que se utilizan en las aplicaciones y los servicios en la nube a través de un módulo de seguridad de hardware (HSM) basado en la nube.

Aplicaciones y datos seguros

Consulte más información sobre cómo puede ayudarle el cifrado a proteger sus datos en los productos y servicios de Microsoft.

Expandir todo

Las medidas tecnológicas de Azure, como el cifrado de las comunicaciones y los procesos operativos, ayudan a mantener protegidos los datos. También tiene la posibilidad de implementar cifrado adicional y administrar sus propias claves.

Para los datos en tránsito, Azure utiliza protocolos de transporte seguros estándar, como TLS/SSL, entre los dispositivos de los usuarios y los centros de datos de Microsoft. Puede habilitar el cifrado del tráfico entre sus propias máquinas virtuales (VM) y sus usuarios. Con Azure Virtual Network, usted puede usar el protocolo IPsec estándar para cifrar el tráfico entre la puerta de enlace de VPN corporativa y Azure, así como entre las máquinas virtuales de la red virtual.

Obtenga más información sobre las redes virtuales en Azure

Para los datos en reposo, Azure ofrece diversas opciones de cifrado, como AES-256, lo que le da la opción de elegir el escenario de almacenamiento de datos que mejor se adapte a sus necesidades.

Obtenga más información sobre la administración del cifrado de discos de Azure (en inglés)

Obtenga más información sobre el cifrado de Azure Storage

Las medidas de seguridad tecnológicas, como el cifrado, mejoran la seguridad de los datos del cliente. Para los datos en tránsito, los servicios profesionales de Microsoft emplean protocolos de transporte cifrado estándar en la industria entre los dispositivos de los usuarios y los centros de datos de Microsoft, así como dentro de los centros de datos mismos.

Para los datos en tránsito, Microsoft cifra las conexiones que se establecen entre los clientes y nuestros centros de datos con el estándar sectorial AES y TLS. El TLS establece una conexión con seguridad reforzada entre el explorador y el servidor para ayudar a garantizar la confidencialidad e integridad de los datos que se transfieren entre los escritorios y los centros de datos.

Para los datos en reposo, Dynamics 365 cifra sus bases de datos mediante el cifrado de datos transparente (TDE) que se ajusta a la normativa FIPS 140-2.

Puede usar Intune para cifrar los datos de aplicaciones mediante cifrado AES de 128 bits. Las aplicaciones asociadas a una directiva de administración de Intune cifran sus datos en reposo a través de un cifrado de nivel de dispositivo. Cuando se solicita un PIN, los datos se cifran en función de la configuración de estas directivas.

Los módulos iOS cuentan con la certificación FIPS 140-2. Microsoft cifra las aplicaciones Android que están asociadas a una directiva de administración de aplicaciones móviles de Intune. Las aplicaciones administradas de Android utilizan AES-128, que no cuenta con la certificación de FIPS 140-2. El contenido almacenado en el dispositivo siempre estará cifrado.

Obtenga más información sobre la implementación y configuración de directivas de administración de aplicaciones móviles

Los servicios de Office 365 para clientes y negocios siguen las normas criptográficas de la industria, como TLS/SSL y AES, para proteger la confidencialidad e integridad de los datos del cliente.

En algunos casos, usamos cifrado de nivel de archivos. Por ejemplo, cuando los participantes de una reunión cargan archivos y presentaciones, este contenido se cifra mediante cifrado AES. OneDrive y SharePoint Online también utilizan el cifrado de nivel de archivos para cifrar los datos en reposo. Office 365 no se conforma con utilizar una única clave de cifrado por disco, sino que proporciona una clave de cifrado única para que todos los archivos almacenados en SharePoint Online, incluidas las carpetas de OneDrive, se cifren con su propia clave. Los archivos de su organización se reparten entre varios contenedores de Azure Storage, cada uno de ellos con distintas credenciales, en lugar de almacenarse todos en la misma base de datos. El hecho de repartir los archivos cifrados por distintas ubicaciones de almacenamiento, cifrar la propia asignación de las ubicaciones de los archivos y separar físicamente las claves maestras de cifrado tanto del contenido como de la asignación de archivos convierten a OneDrive y SharePoint Online en un entorno de alta seguridad para los archivos almacenados.

Para los datos en tránsito, todos los servidores orientados a los clientes adelantan una sesión segura mediante TLS/SSL con los equipos cliente para proteger los datos de los clientes. Esto es aplicable a los protocolos o los dispositivos utilizados por los clientes, como Skype Empresarial Online, OneDrive, Outlook y Outlook en la web.

Para los datos en reposo, Office 365 implementa BitLocker con cifrado AES de 256 bits en los servidores que almacenan todos los datos de mensajería, incluidos mensajes de correo electrónico y conversaciones de mensajería instantánea, así como el contenido almacenado en SharePoint Online y OneDrive. El cifrado de volumen de BitLocker se ocupa del riesgo que entraña que, tras la pérdida, el robo o la retirada inadecuada de un equipo o un disco, los datos se vean expuestos o sean sustraídos.

Obtenga más información sobre el cifrado de datos en OneDrive for Business y SharePoint Online

Para los datos en tránsito, todos los datos que se solicitan y transfieren en Power BI se cifran en tránsito utilizando HTTPS para conectar el origen de datos con el servicio Power BI. Antes de que los datos puedan atravesar la red, se establece una conexión segura con el proveedor de los datos.

Para los datos en reposo, Power BI cifra algunos datos clave cuando están en reposo, como los conjuntos de datos de Direct Query y los informes de Power BI Desktop y Excel. Otra información, como la extracción, transformación y carga de datos (ETL, por sus siglas en inglés), no suele cifrarse.

Para los datos en tránsito, Visual Studio Team Services (Team Services) cifra los datos en tránsito entre el usuario y el servicio a través de HTTPS/SSL y cifra todas las conexiones con Azure Storage y las bases de datos SQL para conservar la integridad de los datos.

Para los datos en reposo, Team Services utiliza Azure Storage como repositorio principal para los metadatos de los servicios y los datos del cliente. En función del tipo de datos y de las necesidades de almacenamiento y recuperación, Microsoft usa el almacenamiento de datos de Azure SQL para los metadatos de los proyectos, como la estructura de los archivos, los detalles del conjunto de cambios y los campos de elementos de trabajo. Microsoft utiliza Azure Blob Storage (los blobs son objetos binarios grandes) para el almacenamiento no estructurado de información, como los datos adjuntos de los elementos de trabajo y el contenido de los archivos. Team Services utiliza la compatibilidad con el cifrado de datos transparente (TDE) de SQL como medida de protección contra posibles actividades malintencionadas, que se encarga de cifrar en tiempo real la base de datos, las copias de seguridad asociadas y los archivos de registro de transacciones en reposo.

Windows Server 2016 dispone de tecnologías de cifrado conocidas para proteger los datos en reposo, como el cifrado de volumen completo de BitLocker y el cifrado de nivel de archivos del Sistema de cifrado de archivos (EFS, por sus siglas en inglés). Los protocolos de VPN más frecuentes y las sesiones cifradas con TLS/SSL permiten proteger los datos en tránsito.

Los centros de datos actuales cuentan con máquinas virtuales, y los ciberataques más modernos normalmente tienen como objetivo el entorno y el tejido de virtualización. Windows Server 2016 Hyper-V permite configurar un TPM virtual para cifrar las máquinas virtuales con BitLocker. Windows Server 2016 también cuenta con un modo de “cifrado admitido” y un modo “blindado” para proteger las máquinas virtuales a través de TPM, el cifrado de discos y el cifrado del tráfico de migración en vivo. El cifrado es solo uno de los múltiples mecanismos de seguridad (incluido el tejido protegido) que se utilizan para proteger las máquinas virtuales blindadas.

Obtenga más información sobre las máquinas virtuales blindadas