Volver al inicio

Protección de datos clasificados en bases de datos HSM

El artículo analiza el almacenamiento de datos clasificados (PAN, datos personales) con protección contra fugas de backups y administradores. Cubre HSM, esquema de Shamir, hashes criptográficos para búsqueda, riesgos de Vault y Kubernetes. Se propone una arquitectura de consenso con auditoría y rotación de claves.

HSM y encriptación de datos: protección contra administradores y backups
Advertisement 728x90

Soluciones arquitectónicas para proteger datos sensibles en bases de datos

Los datos sensibles como números de tarjetas de pago (PAN) e información personal identificable (PII) requieren una protección robusta contra filtraciones a través de copias de seguridad de bases de datos y accesos de administradores. Los principales desafíos incluyen almacenar datos encriptados permitiendo búsquedas, gestión segura de claves y minimizar riesgos de brechas. El análisis muestra una división: PCI DSS para PAN y leyes como 152-FZ/RGPD para PII debido a requisitos distintos, como la eliminación total de datos bajo demanda.

Un número de tarjeta no es un secreto absoluto: los primeros 6-8 dígitos son el BIN del banco, el último es un checksum, dejando 7-9 dígitos para fuerza bruta (10-1000 millones de combinaciones por BIN). Almacenar hashes de PAN con sal en la base de datos es vulnerable a ataques con GPU si la sal se expone.

Opciones de encriptación de datos y HSM

El HSM (Hardware Security Module o Módulo de Seguridad de Hardware) es un dispositivo para almacenar claves de forma segura y realizar operaciones criptográficas. Los HSM de hardware protegen físicamente las claves contra extracción; los de software dependen de controles de acceso.

Google AdInline article slot

Los HSM de software usan el esquema de Shamir's Secret Sharing: la clave maestra se divide en N fragmentos, necesitando K de N para reconstruirla (K < N). Ejemplo: 5 fragmentos, 3 para activar. Es un equilibrio: traslada el riesgo a tu organización, pero reduce costos.

Opciones para buscar datos encriptados:

  • TDE (Transparent Data Encryption o Encriptación transparente de datos): Encripta archivos en disco, pero los datos son texto plano en memoria. Protege contra discos robados, no contra administradores de BD.
  • Hash con sal: Almacena hash de PAN + sal del HSM, indexado por hash. La sal queda fuera de la BD para bloquear fuerza bruta.
  • Encriptación determinista: Sin IV, el mismo texto plano genera el mismo cifrado. Permite indexación, pero es riesgosa si las claves se filtran.

Mejor enfoque: La BD guarda PAN encriptado, crypto-hash y ID de clave (para rotación). Búsqueda por hash; los servicios solo ven hashes. PCI DSS limita hashes en el entorno de datos del titular de tarjeta: usa tokens en un almacén separado.

Google AdInline article slot

Gestión de claves: Vault y sus límites

Herramientas como HashiCorp Vault, Azure Key Vault y AWS Secrets Manager manejan secretos bien, pero fallan con claves criptográficas. Protegen contra:

  • Secretos subidos a git.
  • Fugas de variables de entorno.
  • Lecturas no autorizadas.

No protegen contra:

  • Administradores de Vault.
  • Administradores de servidores (volcados de memoria).
  • Propietarios de certificados mTLS.

Refuerza con mTLS usando claves de hardware, límites de tasa y auditoría. Vault no es un HSM. Azure Key Vault Premium aprovecha HSM de centros de datos de Microsoft con claves no exportables y operaciones por API.

Google AdInline article slot

Secretos de Kubernetes: Riesgos de contenedorización

Los Secrets de Kubernetes están codificados en base64 en etcd (sin encriptar). El acceso al servidor API expone todos los secretos. Los contenedores son vulnerables a:

  • Root del host leyendo el FS del contenedor.
  • nsenter en procesos.
  • Volcados de memoria.
  • Sniffing de tráfico de red.

Inaceptable para servicios criptográficos. Mitigaciones como gVisor, Kata Containers o Confidential Computing ayudan, pero añaden complejidad.

Soluciones en la nube y responsabilidad compartida

Nubes como AWS y Azure están certificadas PCI DSS para infraestructura (centros de datos, encriptación de discos), pero tú eres responsable de claves y accesos. El tráfico en la nube va por redes virtuales: administradores del proveedor podrían espiar. Recomendación: Servicio criptográfico dedicado con aislamiento físico (cableado separado); en la nube, usa HSM aislados.

Arquitectura consensuada

  • Servicio criptográfico dedicado fuera de contenedores, interfaces mínimas.
  • Claves no extraíbles en HSM (hardware/software/nube).
  • Esquema de Shamir sin HSM de hardware.
  • Crypto-hash para búsquedas, sal del HSM.
  • Manejo separado de PAN/PII.
  • Auditoría completa.
  • Rotación de claves.

Lecciones clave:

  • Mantén sales/claves fuera de la BD: usa HSM.
  • Busca vía crypto-hashes o tokens; evita encriptación determinista.
  • Equilibrios organizacionales (Shamir) ahorran dinero.
  • Vault para secretos, HSM para claves.
  • Separa PCI DSS y PII por regulaciones.

— Editorial Team

Advertisement 728x90

Leer después