¿Qué es el cifrado AES? Todo lo que necesita saber

Por Tibor Moes / Actualizado: Julio de 2023

¿Qué es el cifrado AES? Todo lo que necesita saber (2023)

¿Qué es el cifrado AES? 

Cualquier industria que se tome en serio la ciberseguridad aplica el estándar de cifrado avanzado (AES). Ayuda a evitar que los piratas informáticos accedan a datos sensibles, permitiendo a los visitantes explorar diversas plataformas de forma segura.

Pero, ¿cómo funciona exactamente esta norma de encriptación y cómo protege los datos almacenados en determinadas redes? La siguiente guía de encriptación AES le proporcionará las respuestas.

Resumen

  • AES (Advanced Encryption Standard) es un estándar de cifrado simétrico adoptado mundialmente, famoso por su robustez y alto nivel de seguridad, que utiliza claves de 128, 192 o 256 bits.
  • Funciona transformando el texto plano en texto cifrado a través de varias rondas de sustituciones, permutaciones y mezclas, y cada paso depende de la clave de cifrado, lo que garantiza que sólo quienes posean la clave puedan descifrar la información.
  • A pesar de su complejidad, el AES es eficaz y versátil, y se utiliza ampliamente para proteger datos confidenciales en diversos sectores, como el gubernamental, el financiero y el tecnológico, gracias a su capacidad para manejar grandes volúmenes de datos con una sobrecarga computacional mínima.

No se convierta en víctima del cibercrimen. Proteja sus dispositivos con el mejor antivirus y su privacidad con la mejor VPN.

¿Cómo funciona el algoritmo de cifrado AES?

El algoritmo de cifrado AES utiliza cifradores de bloque tanto para cifrar como para descifrar la información. El procedimiento crea texto cifrado, una versión ilegible del texto en claro. El mensaje real no puede revelarse hasta que un usuario utiliza una clave secreta para descifrarlo.

El proceso utilizado para descifrar mensajes puede tener longitudes de clave de 256, 192 y 128 bits.

En la comunicación AES, los remitentes y los destinatarios comparten la misma clave secreta. Utilizan esta información para convertir el texto cifrado en texto legible. Los piratas informáticos pueden interceptar la clave, pero no podrían leer el mensaje ya que no hay forma de descifrarlo. Por eso sólo los remitentes y los destinatarios deben conocer las claves criptográficas.

Esta es la explicación básica de la norma de encriptación avanzada, pero vamos a desglosarla para que la entienda mejor.

Inicialmente, el sistema divide la información sensible en bloques. Existen múltiples formas de organizar los datos, pero la mayoría de las redes utilizan el tamaño de clave de 128 bits.

Tras la división, los datos sufren varias modificaciones:

Ampliación clave

Este proceso desarrolla un nuevo tipo de clave: una clave redonda. Cada ronda crea otra clave redonda utilizando un sistema especial llamado programa de claves de Rijndael.

Independientemente de su frase inicial, el programa de claves la convierte en una serie de números y caracteres desordenados. Sin embargo, los caracteres no son totalmente aleatorios porque el sistema utiliza un proceso específico para codificar cada símbolo. El proceso de encriptación no necesitará esta programación por el momento, pero será crucial más adelante.

Integración de la llave redonda

Durante esta etapa, el sistema inserta la clave original de la ronda en la mezcla de datos que se ha dividido. También es la primera instancia de encriptación.

Aquí, los algoritmos añaden la clave original a la frase, que ya estaba transformada en un bloque. Incluir dos bloques de texto más puede parecer imposible, pero no es el caso en este sistema.

Recuerde que la encriptación AES utiliza código binario. Lo que ve en la pantalla en esta fase es sólo una representación visual del proceso binario. Por lo tanto, el procedimiento emite otro conjunto de cifrados después de incorporar el par de bloques.

Sustitución de bytes

Es entonces cuando cada byte se sustituye por uno nuevo, en función de la casilla de sustitución de la red. Aquí también se utiliza la programación de claves de Rijndael, ya que proporciona una matriz preestablecida para la sustitución.

Cambio de filas

Esta etapa consiste en desplazar las filas de la información dividida para dejar paso a la nueva información. La primera permanece en su sitio, pero las demás se reajustan.

Por ejemplo, el algoritmo desplaza la segunda fila un byte a la izquierda, mientras que la tercera se desplaza dos bytes a la izquierda. La última fila se desplaza tres bytes hacia el mismo lado.

Columnas de mezcla

El sistema utiliza una matriz predeterminada para crear nuevos bloques de código. La acción multiplica la columna por la matriz para proporcionar otro bloque de código. Es un proceso complejo que implica matemáticas avanzadas.

Integración de la llave redonda

La red introduce una clave redonda más en las columnas. Sin embargo, no produce la clave desde cero, sino que se limita a aplicar la clave creada en la sección de expansión.

La clave se incorpora al bloque después de que el sistema se haya mezclado según la matriz. Esto proporciona al administrador más código, que se somete a nuevas modificaciones.

Repetición

Cada cifrado AES implica los pasos anteriores, pero el procedimiento aún no ha terminado. Es necesario repetirlo varias veces.

A continuación le indicamos cuántas veces reitera el sistema este proceso, en función de la longitud de la clave de encriptación:

– Claves de 128 bits – 9 veces

– Claves de 192 bits – 11 veces

– Claves de 256 bits – 13 veces

También hay un número específico de rondas de transformación. De nuevo, depende de la longitud de la clave de encriptación:

– Claves de 128 bits – 10 rondas

– Claves de 192 bits – 12 rondas

– Claves de 256 bits – 14 rondas

Los administradores también pueden combinar el cifrado AES con otras combinaciones de claves criptográficas para reforzar sus métodos de cifrado. Esto crea una clave secreta prácticamente impenetrable que frustra a los actores maliciosos. Lo utilizan la Agencia de Seguridad Nacional (NSA) y otras organizaciones de alto nivel.

Tipos de cifrado AES

Como ya hemos comentado, existen tres tipos de encriptación AES: los sistemas de 256 bits, 192 bits y 128 bits. Analicemos cada procedimiento en detalle.

Cifrado de 128 bits

La encriptación AES de 128 bits oculta datos de texto plano con claves de 128 bits de longitud. Presenta 10 transformaciones para transformar texto estándar en texto cifrado. El proceso también puede describir tamaños de bloque fijos de este algoritmo de cifrado.

Aunque las longitudes de las claves varían (128,192, 256), los tamaños de los bloques son siempre de 128 bits.

Como el sistema cuenta con menos rondas de cifrado, es menos seguro que sus homólogos de 192 y 256 bits. Sin embargo, esto no significa que no pueda proteger la información adecuadamente. Este código aún no ha sido descifrado y es utilizado por el gobierno para ocultar datos clasificados. Por lo tanto, es básicamente impenetrable y se tarda años en descifrarlo mediante ataques de fuerza bruta.

Cifrado de 192 bits

Cifrar información con una codificación de 192 bits requiere que el administrador oculte el texto sin formato con una clave de 192 bits. Este proceso presenta 12 transformaciones y suele ser utilizado por las agencias nacionales para blindar los datos gubernamentales.

El sistema es más seguro que la encriptación de 128 bits. Junto con las versiones de 256 bits, es la única longitud de clave aprobada para proteger información de alto secreto.

La mayoría de los usuarios se conforman con una codificación de 128 bits a la hora de blindar sus datos, pero los organismos que se enfrentan a constantes amenazas de pirateo optan por longitudes de clave superiores. La versión de 192 bits es un sistema de codificación fiable que reduce aún más el riesgo de violación de datos. Requiere que los atacantes por fuerza bruta profundicen más, y rara vez disponen de la tecnología necesaria para descifrar los bloques con la suficiente rapidez.

Cifrado de 256 bits

Al igual que las dos versiones anteriores, la encriptación de 256 bits utiliza una longitud de clave específica para ocultar los datos en texto plano. En este caso, las claves tienen una longitud de 256 bits.

Este es el procedimiento más grande y complejo, por lo que es el más difícil de descifrar. Consta de 14 transformaciones, por lo que es casi imposible de descifrar.

Debido a tal complejidad, algunas personas se refieren a este cifrado como una exageración. Según algunas estimaciones, se pueden tardar miles de millones de años en descifrar este bloque con ataques regulares.

¿Cuáles son las características del proceso de encriptación AES?

Un algoritmo de encriptación AES puede tener estructuras variables. Sin embargo, todos los códigos comparten ciertas características:

– Red de proveedores de servicios (SP) – El cifrado y el descifrado utilizan una red SP robusta en lugar de cifradores Feistel.

– Ampliación de claves – La red cuenta con una clave inicial y posteriormente la amplía a varias claves.

– Datos en bytes – Los algoritmos operan con datos en bytes y no en bits. Por lo tanto, trata la longitud de la clave AES de 128 bits como 16 bytes durante todo el procedimiento.

– Longitud de la clave – El sistema necesita realizar un número determinado de rondas. Depende de la longitud de las claves utilizadas para el cifrado de los datos.

Ejemplos de cifrado AES

Muchas aplicaciones, redes y dispositivos utilizan el cifrado AES para codificar la información. Uno de los ejemplos más populares es la unidad SSD SATA MX500. Este hardware de Crucial utiliza un tamaño de bloque de 256 bits para proporcionar un cifrado fiable y mantener a raya a los ciberdelincuentes.

Otro ejemplo famoso es la unidad SSD Samsung 860 EVO. Al igual que el dispositivo anterior, este hardware incorpora un cifrado por bloques de 256 bits para salvaguardar la información.

Los mensajes de WhatsApp también son dignos de mención. La aplicación recibe muchos elogios por su comunicación segura, ya que está cifrada con un bloque de cifrado de 256 bits.

Google Cloud es igual de seguro. Todos los datos están protegidos con un sistema de 256 bits, ya que el NIST lo recomienda para garantizar la máxima satisfacción del cliente.

He aquí algunos otros casos de encriptación AES:

– BitLocker (de Microsoft Windows) – Cifrados de 256 y 128 bits

– Trusted Computing Group – longitud de 256 bits

– NSA – Bloques de 256 bits

– Gestores de contraseñas (por ejemplo, LastPass) – Cifrados de 256 bits

– VPN – El principal cometido de las VPN es establecer una conexión segura con los servidores en línea. Como consecuencia, necesitan protegerle de los piratas informáticos y otras amenazas, por lo que refuerzan su sistema con el cifrado AES. La mayoría de las plataformas utilizan la versión de 256 bits (por ejemplo, ExpressVPN, Surfshark y NordVPN).

– Wi-Fi – Las conexiones inalámbricas también se basan en algoritmos AES. Normalmente acoplados a WPA2, le permiten conectar su dispositivo a una red Wi-Fi con mayor confianza. No es la única protección que utilizan los proveedores, pero sí la más fiable.

– Herramientas de compresión y archivado – Los mejores programas de compresión y archivado de archivos evitan las fugas de datos con AES, incluidos WinZip, RAR y 7z. Suelen utilizar bloques de 256 bits.

– Aplicación móvil – Facebook, Messenger, Snapchat y otras aplicaciones populares envían su información de forma segura a través de un sistema basado en AES. De lo contrario, prácticamente cualquiera podría hacerse con sus mensajes e imágenes.

– Bibliotecas de lenguajes de programación – C++, Python, Java y la mayoría de las bibliotecas de lenguajes de codificación implementan AES para protegerse contra el robo de información.

– Partes del sistema OE – Los sistemas de archivos y otras partes de su sistema operativo añaden una capa de seguridad a través de AES.

¿Cuál es la diferencia entre la encriptación de 128 y 256 bits?

AES se considera seguro contra la mayoría de los intentos de pirateo. Un delincuente puede utilizar numerosas combinaciones de claves, pero este proceso lleva demasiado tiempo. Las claves de cifrado son demasiado largas para ser descifradas por ordenadores, incluso si los actores maliciosos utilizaran procesadores avanzados con una velocidad sin igual.

Dicho esto, no todas las encriptaciones AES ofrecen el mismo nivel de protección. Más concretamente, las versiones de 256 bits son mucho más difíciles de descifrar que sus homólogas de 128 bits.

El único inconveniente de las claves de 256 bits es que requieren una enorme capacidad de procesamiento para generarlas y gestionarlas. Ejecutarlas es un reto aún mayor.

Por lo tanto, si las organizaciones tienen una potencia limitada en sus pequeños dispositivos o se enfrentan a problemas recurrentes de latencia, las claves de 128 bits podrían ser una mejor opción. Son más fáciles de configurar y requieren un mínimo de recursos.

No obstante, ambos tipos tienen algo en común: son prácticamente imposibles de descifrar. Incluso si se utiliza la versión más corta, los atacantes necesitarán una cantidad inimaginable de potencia informática que no podrá alcanzarse en un futuro previsible. En otras palabras, necesitarían la computación cuántica, que aún está por desarrollar.

¿Significa esto que su sistema es 100% seguro después de implementar la encriptación AES? Desgraciadamente, la respuesta es no.

Los ciberdelincuentes aún pueden penetrar en su red. Saben que no pueden abrirse camino hasta su sistema apuntando a su cifrado AES, pero pueden utilizar otras puertas de enlace. Por eso necesita asegurarse de que el resto de su software funciona correctamente. Debe tener funciones robustas para proteger sus datos y parchear cualquier punto débil.

Además, no puede tener ninguna incertidumbre o zona gris sobre el manejo y almacenamiento de sus datos. Por ejemplo, si su información se encuentra en una plataforma basada en la nube, debe conocer su ubicación exacta. No debe compartirla con terceros y, si es posible, debe protegerla con una contraseña.

Por último, otros componentes de la ciberseguridad (VPN, antivirus, etc.) deben ser fáciles de usar. Esto garantiza que todos los miembros de su red sepan cómo aplicar estos sistemas para disuadir a los piratas informáticos.

¿Cuál es la diferencia entre RSA y AES?

AES no es el único algoritmo de encriptación que utilizan las organizaciones para proteger los datos almacenados en su red. También puede encontrarse con el arreglo Rivest-Shamir-Adleman (RSA).

Por un lado, los administradores suelen utilizar AES para proteger su información en reposo. Las aplicaciones más frecuentes incluyen el cifrado de almacenamiento, el cifrado de bases de datos y el autocifrado de unidades de disco. También utiliza un cifrado simétrico por bloques (una sola clave cifra y descifra los mensajes).

Por otro lado, el RSA se utiliza generalmente para asegurar las conexiones a sitios web, VPN y aplicaciones similares. Este estándar de cifrado se encuentra en el núcleo de la mayoría de los acuerdos de cifrado asimétrico. Implica dos claves para hacer frente a posibles intentos de intrusión.

Las dos claves no son iguales. Una de ellas es privada y la otra pública. Si forman parte de una red pública, sólo podrá descifrar el mensaje con la clave pública correspondiente y viceversa. En la mayoría de los casos, los administradores configuran el cifrado RSA si la red tiene dos extremos.

Aunque los algoritmos RSA funcionan muy bien para blindar la transferencia de datos a través de diversas fronteras geográficas, su rendimiento es deficiente. La solución es sencilla: combinarlos con modelos AES para aprovechar las ventajas de ambos sistemas. Al generar claves AES temporales y blindarlas con el cifrado RSA, los administradores consiguen una red de alto rendimiento pero segura.

¿Cuál es la diferencia entre DES y AES?

El estándar de encriptación de datos (DES) se desarrolló hace casi 50 años. Ayudó al gobierno a garantizar que todos los sistemas presentaban los mismos algoritmos de seguridad cuando se conectaban entre sí.

DES fue el principal método criptográfico hasta finales del siglo XX, cuando los investigadores utilizaron un avanzado sistema informático para descifrar la clave de 56 bits. El gobierno cambió a AES en 2000 para proteger mejor los datos clasificados. Sin embargo, a veces seguían utilizando DES para comprobar la compatibilidad con versiones anteriores.

DES y AES son tecnologías de cifrado simétrico, pero esta última es más eficaz gracias a las distintas longitudes de clave. Tanto si una organización utiliza la opción de 128, 192 o 256 bits, se tarda mucho tiempo en descifrarla. Por el contrario, los piratas informáticos pueden descifrar el cifrado DES de 56 bits con mucha más facilidad. Esto hace que AES sea la solución más robusta.

Además, AES es más rápido que el cifrado DES. Por eso las organizaciones prefieren este cifrado para el hardware, el firmware y las aplicaciones que necesitan un funcionamiento de baja latencia.

El NIST no utiliza ni recomienda DES para proteger la información desde 2005. Se ha retirado y ha sido sustituido por AES como el patrón oro del cifrado moderno.

Incluso si utiliza triple DES (el hermano mayor supuestamente extra seguro de DES), su red estará más amenazada que con el cifrado AES. Por esta razón, el NIST retirará oficialmente el triple DES en 2023.

¿Cuáles son los riesgos asociados al AES?

AES es un método de cifrado robusto, pero no es perfecto. Aunque no ha habido ningún intento con éxito de romper esta capa, los avances tecnológicos podrían permitir a los piratas informáticos penetrar en el sistema en breve.

Además, es fácil que se produzcan errores durante la implementación. Pueden ser puntos de entrada ideales para los ciberdelincuentes.

Los piratas informáticos pueden comprometer las claves de cifrado AES de varias maneras:

Brechas relacionadas

Existen muchas técnicas de violación de contraseñas, siendo los ataques de fuerza bruta el tipo más común. Consiste en que un pirata informático envíe numerosas frases de contraseña o contraseñas, con la esperanza de que finalmente las adivine correctamente. El agresor aplica poca o ninguna planificación, por lo que se conoce como ataque de fuerza bruta.

Por el contrario, los ataques de clave relacionada asaltan la propia clave de cifrado. Requieren menos tiempo y tienen más probabilidades de éxito.

Un ataque con claves relacionadas es eficaz si el actor malicioso conoce la relación entre las dos claves.

Los sistemas AES han sido blanco de ataques de clave relacionada en varias ocasiones. El intento más significativo se descubrió hace casi 15 años. Desde entonces, los criptógrafos han mejorado los programas de claves para minimizar el riesgo de violación de datos.

Ataques de canal lateral

El cifrado AES no le protege de los ataques de canal lateral si lo configura de forma incorrecta. Estos asaltos son exploits de seguridad diseñados para recopilar datos o influir en los programas de su sistema midiendo algunos de sus sistemas indirectos.

En términos más sencillos, no se dirigen directamente a su código o programa, sino que pretenden extraer claves criptográficas u otra información sensible a través de fugas de hardware. El otro nombre que reciben los intentos de pirateo son ataques de implementación o laterales.

Ataques de distinción de claves conocidas

Los ataques de distinción de clave conocida son un modelo que tiene como objetivo los cifrados simétricos. El pirata informático conoce una de las claves de la propiedad estructural del sistema, pero sólo si la transformación en texto cifrado no es aleatoria.

El ataque de distinción de claves más famoso que se conoce tuvo lugar en 2009. El autor intentó descifrar AES 128 pero no tuvo éxito. Descifró la versión de octavo bloque, pero como ya se ha indicado, estas longitudes de clave se someten a 10 rondas de cifrado. Por lo tanto, la intrusión no supuso una amenaza significativa.

Es poco probable que su sistema sea víctima de estos ataques por una sencilla razón: el atacante necesita conocer su clave secreta. Si no la comparte con terceros, su red será inmune a estos intentos.

Ataques de recuperación de claves

Otro riesgo al que se enfrenta el cifrado AES es la exposición a ataques de recuperación de claves. El adversario puede intentar recuperar su clave criptográfica para acceder a su sistema. Aun así, necesitarán obtener al menos un mensaje cifrado y descifrado, lo que es poco probable.

Un ciberdelincuente intentó descifrar el cifrado AES en 2011 con un ataque de recuperación de claves, pero no lo consiguió. Aunque el método es más rápido que la fuerza bruta, sigue llevando demasiado tiempo.

La encriptación AES garantiza su tranquilidad

Ninguna encriptación es completamente segura, pero la encriptación AES está por encima del resto. Los piratas informáticos no tienen tiempo de intentar todas las combinaciones de claves posibles para descifrar el código, y la tecnología que aceleraría el proceso aún no existe.

Por tanto, si dirige una organización que debe proteger la información crucial de sus clientes, no se arriesgue con un cifrado de baja calidad. AES es su mejor apuesta.

Cómo mantenerse seguro en línea:

  • Utilice contraseñas seguras: Utilice una contraseña única y compleja para cada cuenta. Un gestor de contraseñas puede ayudarle a generarlas y almacenarlas. Además, active la autenticación de dos factores (2FA) siempre que esté disponible.
  • Invierta en su seguridad: Comprar el mejor antivirus para Windows 11 es clave para su seguridad en línea. Un antivirus de alta calidad como Norton, McAfee o Bitdefender salvaguardará su PC de varias amenazas en línea, incluyendo malware, ransomware y spyware.
  • Tenga cuidado con los intentos de phishing: Sea precavido cuando reciba comunicaciones sospechosas que le pidan información personal. Las empresas legítimas nunca le pedirán datos confidenciales por correo electrónico o mensaje de texto. Antes de hacer clic en cualquier enlace, asegúrese de la autenticidad del remitente.
  • Manténgase informado: En nuestro blog cubrimos una amplia gama de temas de ciberseguridad. Y hay varias fuentes creíbles (en inglés) que ofrecen informes y recomendaciones sobre amenazas, como NIST, CISA, FBI, ENISA, Symantec, Verizon, Cisco, Crowdstrike y muchas más.

¡Manténgase seguro en Internet!

Preguntas más frecuentes

A continuación encontrará las preguntas más frecuentes.

¿Hasta qué punto es segura la encriptación AES?

Los sistemas AES son prácticamente impermeables a los intentos de fuerza bruta, ya que descifrarlos lleva miles de millones de años. Aun así, puede haber algunos riesgos si implementa el cifrado de forma inadecuada.

¿Por qué se utiliza el cifrado AES?

AES se ha convertido en el estándar de la industria del cifrado, ya que protege todo tipo de datos digitales. Innumerables plataformas confían en ella, como las VPN, las redes inalámbricas, los videojuegos y los gestores de contraseñas.

¿Cómo se generan las claves de cifrado AES?

Hay varias formas de generar una clave AES. Pero en la mayoría de los casos, los números se proporcionan con un generador de números aleatorios o una función de derivación de claves.

Autor: Tibor Moes

Autor: Tibor Moes

Fundador y redactor jefe de SoftwareLab

Tibor ha probado 39 programas antivirus y 30 servicios VPN, y posee un certificado de posgrado en ciberseguridad de la Universidad de Stanford.

Utiliza Norton para proteger sus dispositivos, CyberGhost para su privacidad y Dashlane para sus contraseñas.

Puede encontrarle en LinkedIn o ponerse en contacto con él aquí.