Seguridad & RGPD

Cifrado de datos: en tránsito y en reposo

Qué es el cifrado en tránsito y en reposo, por qué ambos son necesarios, cómo se gestionan las claves y qué papel juega en el cumplimiento del RGPD.

DLEquipo Data Layer 15 ago 2025 4 min de lectura
Cifrado de datos: en tránsito y en reposo

Claves del artículo

  • El cifrado en tránsito protege los datos mientras viajan; el cifrado en reposo, mientras se almacenan.
  • Ambos son necesarios: proteger uno y no el otro deja una brecha.
  • La gestión segura de claves es tan importante como el cifrado en sí.
  • El cifrado es una medida clave para cumplir el RGPD (artículo 32).
  • El cifrado de extremo a extremo es la referencia de buena práctica.

El cifrado es una de las medidas de seguridad más eficaces y, a la vez, peor entendidas. Muchos directivos asumen que «sus datos están cifrados» sin saber qué significa eso exactamente ni si la protección cubre todo el ciclo de vida del dato. Saber distinguir sus dos modalidades —en tránsito y en reposo— ayuda a valorar si la protección es real o solo parcial.

En este artículo explicamos qué es el cifrado, sus dos modalidades, por qué la gestión de claves es crítica y qué papel juega en el RGPD.

Qué es el cifrado

El cifrado transforma los datos en un formato ilegible para quien no posea la clave de descifrado. Aunque alguien acceda a los datos, sin la clave no puede leerlos. Se aplica en dos momentos del ciclo de vida del dato, y ambos son necesarios para una protección completa.

Las dos modalidades

En tránsito
Datos en movimientoProtocolos TLSApp ↔ API ↔ servidor
En reposo
Datos almacenadosDiscos, BBDD, backupsIlegibles sin clave
El cifrado en tránsito protege los datos mientras viajan; el cifrado en reposo, mientras se almacenan. Ambos son necesarios.

Cifrado en tránsito

Protege los datos mientras se mueven entre sistemas: de una aplicación a una API, entre un cliente y un servidor, o entre centros de datos. Se apoya en protocolos como TLS. Sin él, un atacante que intercepte la comunicación podría leer los datos en claro.

Cifrado en reposo

Protege los datos mientras están almacenados en discos, bases de datos o copias de seguridad. Si alguien accediera físicamente al almacenamiento o robara un soporte, los datos seguirían siendo ilegibles sin la clave.

La gestión de claves

El cifrado es tan fuerte como la protección de sus claves. Una gestión segura —almacenamiento en módulos dedicados, rotación periódica, control de acceso a las claves— es tan importante como el algoritmo. De poco sirve un cifrado robusto si las claves están mal custodiadas. Estándares de seguridad como la ISO/IEC 27001 dedican controles específicos a esta gestión.

Un cifrado fuerte con claves mal protegidas no sirve de nada: la custodia de claves es tan importante como el algoritmo.

Cifrado y RGPD

El RGPD menciona el cifrado como una de las medidas técnicas apropiadas para proteger los datos personales (artículo 32). Aunque no es obligatorio en todos los casos, su uso reduce el riesgo y, en caso de brecha, puede atenuar las obligaciones de notificación si los datos cifrados resultan ininteligibles. Por eso el cifrado de extremo a extremo se considera una buena práctica de referencia.

En resumen

El cifrado protege los datos haciéndolos ilegibles sin la clave, en tránsito (mientras viajan) y en reposo (mientras se almacenan). Ambas modalidades son necesarias: proteger una y descuidar la otra deja una brecha. La gestión segura de las claves es tan crítica como el propio cifrado. Y, más allá de la técnica, el cifrado es una medida clave para cumplir el RGPD y reducir el impacto de una posible brecha.

Fuentes y lecturas recomendadas

Preguntas frecuentes

¿Basta con cifrar los datos almacenados?

No. Hay que cifrar también los datos en tránsito. Proteger solo uno de los dos momentos deja una brecha por la que los datos podrían quedar expuestos.

¿El cifrado es obligatorio según el RGPD?

El RGPD lo cita como medida apropiada (art. 32) pero no lo impone en todos los casos. Es una de las mejores prácticas para reducir el riesgo y proteger los datos personales.

¿Qué es lo más crítico del cifrado?

La gestión de las claves. Un cifrado fuerte con claves mal protegidas no sirve de nada; por eso la custodia y rotación de claves es esencial.

¿Qué diferencia hay entre cifrado en tránsito y en reposo?

El cifrado en tránsito protege los datos mientras se mueven entre sistemas; el cifrado en reposo los protege mientras están almacenados en discos, bases de datos o backups.

¿El cifrado me protege en caso de brecha?

Reduce el impacto: si los datos comprometidos están cifrados y son ininteligibles, el RGPD puede atenuar las obligaciones de notificación. No evita la brecha, pero limita el daño.

¿Qué es el cifrado de extremo a extremo?

Aquel en el que los datos están cifrados durante todo su recorrido y solo se descifran en los extremos autorizados. Se considera la referencia de buena práctica.

Convierte estos datos en resultados

Cuéntanos qué quieres conseguir. Data Layer conecta, procesa y entrega el resultado funcionando, sin que gestiones infraestructura.

Solicita demo Habla con un experto
Volver al blog
Compartir

Sigue leyendo

Seguridad & RGPD

RGPD y datos: guía práctica para dirección

Qué exige el RGPD al explotar datos, qué responsabilidad recae en dirección y cómo trabajar con datos sensibles sin perder control ni cumplimiento.

Leer artículo
Seguridad & RGPD

Anonimización de datos: guía práctica para empresas

Anonimización, pseudonimización y enmascaramiento: qué son, cuándo usar cada una y cómo aprovechar datos sensibles para analítica e IA sin riesgo.

Leer artículo
Seguridad & RGPD

Datos sintéticos: qué son y para qué sirven

Los datos sintéticos reproducen las propiedades de tus datos reales sin exponer información personal. Para qué sirven en IA, testing y colaboración con terceros.

Leer artículo