ISO 27001

Criptografía y cifrado de datos según ISO 27001

Por Equipo GRC360 24 de March, 2026 11 min de lectura
Criptografía y cifrado de datos según ISO 27001 control A.8.24

La criptografía es el mecanismo técnico más efectivo para proteger la confidencialidad e integridad de la información. El control A.8.24 de ISO 27001:2022 exige que la organización defina y aplique reglas de uso de criptografía para proteger los activos de información. Sin embargo, muchas organizaciones implementan cifrado de forma incompleta — cifran algunos canales pero dejan datos sensibles en texto plano en otros puntos.

El control A.8.24: uso de criptografía

El control A.8.24 tiene un alcance amplio: cubre el cifrado de datos en reposo, el cifrado de datos en tránsito, la gestión de claves criptográficas, el uso de firmas digitales y los acuerdos sobre el uso de criptografía con proveedores y socios.

La implementación requiere una política de criptografía que defina cuándo es obligatorio el cifrado, qué algoritmos y tamaños de clave son aceptables, cómo se gestionan las claves y quién es responsable.

Cifrado en reposo

El cifrado en reposo protege los datos almacenados cuando no están siendo procesados. Es especialmente importante para datos en portátiles (que pueden robarse), discos duros de servidores, dispositivos de respaldo y almacenamiento en la nube.

Opciones de cifrado de disco completo

SoluciónSistema operativoUso recomendado
BitLockerWindowsPortátiles y equipos corporativos Windows
FileVault 2macOSEquipos Apple corporativos
LUKSLinuxServidores Linux
VeraCryptMultiplataformaContenedores cifrados para datos específicos

Cifrado de bases de datos

Para bases de datos con información confidencial o restringida, considera el cifrado a nivel de columna (para datos especialmente sensibles como números de documentos o datos de salud) o el cifrado de tablespace (más eficiente en rendimiento).

Cifrado de backups

Los respaldos son un objetivo frecuente de los atacantes porque suelen estar menos protegidos que los sistemas en producción. Todo backup de datos clasificados como confidencial o restringido debe cifrarse antes de almacenarse.

Dato importante: El cifrado solo protege si las claves están bien gestionadas. Un disco cifrado cuya clave está escrita en un post-it pegado al monitor no ofrece protección real. La gestión de claves es tan crítica como el cifrado en sí.

Cifrado en tránsito

El cifrado en tránsito protege los datos mientras se transfieren entre sistemas, ya sea dentro de la red interna o a través de internet.

TLS (Transport Layer Security)

TLS es el protocolo estándar para cifrar comunicaciones web (HTTPS), correo electrónico (SMTP con STARTTLS, IMAPS), transferencia de archivos (FTPS, SFTP) y APIs REST. Requisitos mínimos en 2026:

  • TLS 1.2 como mínimo; TLS 1.3 preferido
  • Deshabilitar protocolos obsoletos: SSL 3.0, TLS 1.0, TLS 1.1
  • Algoritmos de cifrado fuertes: AES-256-GCM, ChaCha20-Poly1305
  • Certificados con al menos SHA-256

VPN para acceso remoto

El acceso remoto a sistemas internos debe realizarse siempre a través de una VPN con cifrado fuerte. Esto es especialmente relevante con la normalización del teletrabajo.

Algoritmos recomendados

UsoAlgoritmo recomendadoTamaño de clave mínimo
Cifrado simétrico (datos en reposo)AES256 bits
Cifrado asimétrico (intercambio de claves)RSA / ECDSARSA 2048 bits / EC 256 bits
Hash (integridad)SHA-2 / SHA-3SHA-256 como mínimo
Firma digitalRSA-PSS / ECDSARSA 2048 bits / EC 256 bits
Algoritmos obsoletos: MD5 y SHA-1 son criptográficamente débiles y no deben usarse para funciones de seguridad. DES y 3DES están obsoletos para nuevas implementaciones. RC4 no debe usarse en ningún contexto de seguridad.

Gestión de claves criptográficas

La gestión de claves es el aspecto más complejo y crítico de cualquier implementación criptográfica. Una política de gestión de claves debe cubrir:

  • Generación: Uso de generadores de números aleatorios criptográficamente seguros (CSPRNG)
  • Almacenamiento: Las claves no deben almacenarse en texto plano junto a los datos que cifran
  • Distribución: Protocolos seguros para compartir claves entre partes autorizadas
  • Rotación: Periodicidad para cambiar claves (anual para la mayoría, más frecuente para claves de sesión)
  • Revocación: Procedimiento para invalidar claves comprometidas
  • Destrucción: Eliminación segura de claves que ya no se usan

Herramientas de gestión de claves

Para organizaciones de tamaño mediano, considera soluciones como HashiCorp Vault, AWS KMS, Azure Key Vault o servicios similares si operas en la nube. Para entornos más simples, un módulo de seguridad de hardware (HSM) o una solución de gestión de contraseñas corporativa puede ser suficiente.

Política de criptografía

La política de criptografía debe documentar:

  1. Cuándo es obligatorio el cifrado (por nivel de clasificación de la información)
  2. Los algoritmos y tamaños de clave aprobados
  3. Los algoritmos y protocolos prohibidos
  4. Las responsabilidades en la gestión de claves
  5. Los procedimientos de gestión del ciclo de vida de las claves
  6. Las excepciones y el proceso para solicitarlas

Gestiona el control A.8.24 con GRC360

GRC360 facilita la documentación de tu política de criptografía, el inventario de activos con sus controles criptográficos y el seguimiento del estado de implementación del control A.8.24.

Crear Cuenta Gratis

Relaciona este control con control de acceso, clasificación de la información y controles tecnológicos A.8.

SGSI Controles Criptografía
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis