- La criptografía transforma mensajes legibles en datos cifrados usando algoritmos y claves para garantizar confidencialidad.
- Los sistemas combinan cifrado simétrico (rápido) y asimétrico (gestión de claves y autenticación) en protocolos como https o ssh.
- Funciones hash y firmas digitales aportan integridad, autenticidad y no repudio sobre documentos y comunicaciones.
- La confianza en claves públicas se articula mediante redes de confianza entre usuarios y estructuras PKI con autoridades de certificación.
Hoy en día estamos rodeados de datos que viajan por la red a todas horas: mensajes de WhatsApp, compras online, acceso al banco, trámites con la administración… Detrás de todo eso hay una disciplina silenciosa pero crucial: la criptografía moderna que hace posible comunicarnos sin que cualquiera pueda cotillear o manipular lo que enviamos. Sin ella, Internet tal y como la conocemos sería un caos absoluto.
En las siguientes líneas vamos a hacer una introducción ordenada y muy completa a la criptografía, explicando sus conceptos básicos, tipos de algoritmos, firmas digitales y modelos de confianza. Todo ello con un lenguaje cercano, bajando las ideas teóricas a tierra para que puedas entender qué pasa «por debajo» cuando ves el candadito de tu navegador o firmas un documento digitalmente.
Qué es la criptografía y por qué importa tanto
La palabra criptografía viene del griego y se podría traducir como «escritura secreta», es decir, el arte de transformar un mensaje legible en algo incomprensible para cualquiera que no tenga la clave adecuada. Esa transformación es lo que llamamos cifrado o encriptación, y el proceso inverso se llama descifrado o desencriptación.
En esencia, la criptografía se apoya en algoritmos matemáticos que, combinados con una o varias claves, permiten convertir un texto claro en texto cifrado y viceversa. Lo que se busca es que, aunque un atacante pueda interceptar el mensaje, no sea capaz de entenderlo ni modificarlo sin ser detectado.
En un escenario típico participan tres actores: el emisor que quiere enviar información de forma segura, el receptor que desea recibirla intacta y uno o varios atacantes interesados en leer, alterar o borrar ese mensaje. Toda la teoría y práctica criptográfica gira en torno a cómo proteger esa comunicación frente a estos terceros no autorizados.
Históricamente, la criptografía se utilizaba sobre todo en contextos militares y diplomáticos, pero con la digitalización masiva ha pasado a ser una herramienta cotidiana que sostiene desde el comercio electrónico hasta las redes sociales y forma parte de la higiene digital. Cada vez que te conectas por https, te logueas en un servicio o verificas la descarga de un archivo, estás usando criptografía sin darte cuenta.
Elementos básicos de un sistema criptográfico
Para entender bien cómo funciona todo, conviene fijarse en las piezas fundamentales que aparecen siempre que hablamos de un sistema de cifrado real, tanto si se trata de un protocolo web como de un sistema de correo seguro.
En primer lugar tenemos el mensaje original o texto en claro, que es la información legible que el emisor quiere proteger antes de transmitirla. Puede ser un correo, un número de tarjeta, un contrato en PDF o cualquier tipo de dato digital.
Sobre ese texto se aplica un algoritmo de cifrado acompañado de una o varias claves, dando como resultado un texto cifrado o criptograma que a simple vista parece una ristra de símbolos sin sentido. Sin la clave adecuada, recuperar el mensaje original debería ser computacionalmente inviable.
El mismo esquema se repite a la inversa en el receptor, que utiliza un algoritmo de descifrado y la clave correspondiente para volver a obtener el mensaje en claro y poder leerlo. En ocasiones el algoritmo de cifrado y el de descifrado son el mismo; en otras, son operaciones matemáticas distintas pero relacionadas.
Además del emisor, el receptor y el atacante, en muchas aplicaciones modernas aparecen actores adicionales (como autoridades de certificación o servidores intermedios), pero la idea clave es que todo gira alrededor de cómo se usan las claves y cómo se protege su secreto.
Criptografía de clave simétrica
La criptografía de clave simétrica es la más antigua y directa: emisor y receptor comparten exactamente la misma clave secreta, que sirve tanto para cifrar como para descifrar los mensajes. Si uno de los dos filtra esa clave, todo el sistema se viene abajo.
El funcionamiento básico es sencillo: el emisor toma el texto en claro, aplica el algoritmo simétrico junto con la clave acordada y obtiene un texto cifrado que envía por el canal inseguro. Al otro lado, el receptor hace la operación contraria con la misma clave y recupera el contenido original.
Los algoritmos simétricos modernos, como AES y otros cifrados de bloque basados en operaciones booleanas, sustituciones y permutaciones de bits, están diseñados para ser extremadamente rápidos en hardware y software. Por eso se utilizan para proteger grandes volúmenes de datos y ayudar a proteger tus dispositivos.
La gran ventaja de esta aproximación es que la eficiencia es muy alta: cifrar y descifrar resulta mucho más barato en términos de tiempo de cómputo que con algoritmos asimétricos. Esto los hace ideales para cifrar el tráfico continuo de una conexión o el contenido completo de un disco.
El gran punto débil aparece cuando pensamos en la distribución de la clave: antes de poder comunicarse de forma segura, emisor y receptor deben ponerse de acuerdo y compartir esa clave secreta por algún medio en el que nadie más la pueda interceptar. Resolver este problema de forma práctica, sobre todo a gran escala, es lo que llevó al desarrollo de la criptografía asimétrica.
Criptografía de clave asimétrica o de clave pública
La criptografía asimétrica da un giro de tuerca a la idea de clave: en lugar de una única clave compartida, cada usuario genera un par de claves: una pública, que se puede difundir sin miedo, y una privada, que debe mantenerse en absoluto secreto. Las operaciones de cifrado y descifrado se reparten entre ambas.
Con este enfoque, cualquier persona puede tomar la clave pública de un destinatario y cifrar un mensaje de forma que únicamente la clave privada asociada a esa pública pueda descifrarlo. De este modo, solo el titular legítimo de la clave privada podrá leer el contenido.
Algoritmos como RSA o DSA son ejemplos clásicos de criptografía de clave pública que basan su seguridad en problemas matemáticos difíciles de resolver, como la factorización de números grandes o el logaritmo discreto. Aunque con el tiempo han ido apareciendo variantes y sistemas más modernos, la idea de fondo se mantiene.
Este tipo de criptografía no es tan ágil como la simétrica: las operaciones con claves públicas y privadas son mucho más costosas computacionalmente y, por tanto, menos eficientes si queremos cifrar grandes cantidades de información. Sin embargo, ofrecen ventajas esenciales para la gestión de claves y la autenticación.
Por eso, en los protocolos de seguridad que usamos a diario, lo habitual es combinar ambos mundos: se emplea la criptografía asimétrica para intercambiar o proteger una clave simétrica y, una vez establecida, se usa esa clave simétrica rápida para cifrar el tráfico real. Es justo lo que hacen protocolos como https o ssh: asimétrica para el arranque seguro y simétrica para el resto; este enfoque es clave para la ciberseguridad y acceso a cuentas.
Funciones hash y concepto de integridad
Además del cifrado puro y duro, la criptografía moderna usa con frecuencia otro tipo de herramienta: las funciones de resumen o funciones hash, que convierten un mensaje de longitud arbitraria en una cadena corta de tamaño fijo. Esta cadena suele llamarse huella digital o simplemente hash.
Una función hash criptográfica bien diseñada tiene varias propiedades muy deseables: pequeños cambios en la entrada producen grandes cambios en la salida, es inviable reconstruir el mensaje original a partir del hash y resulta extremadamente difícil encontrar dos entradas distintas con el mismo resumen. Todo esto las hace perfectas para verificar integridad.
En la práctica, si conocemos de antemano el hash de un archivo, podemos descargarlo, calcular nosotros mismos el resumen con el mismo algoritmo y comparar ambos valores para saber si el fichero se ha corrompido o ha sido manipulado. Si los dos hashes coinciden, tenemos una garantía fuerte de que el contenido es íntegro.
Algoritmos como MD5 o SHA-1 han sido muy utilizados históricamente como funciones hash criptográficas, aunque con el tiempo se han encontrado debilidades en algunos de ellos y se recomiendan alternativas más robustas como las variantes de SHA-2 o SHA-3. Aun así, el concepto básico que manejan sigue siendo el mismo.
Estas funciones también son la base de otros mecanismos de seguridad más avanzados, como las firmas digitales, los certificados o ciertos esquemas de autenticación de mensajes que van mucho más allá de comprobar simplemente si un archivo se ha descargado bien.
Firma digital: autenticidad, integridad y no repudio
Cuando no solo queremos confidencialidad, sino también saber quién ha enviado un mensaje, asegurarnos de que no se ha cambiado y evitar que el emisor pueda negar que lo envió, entra en juego la firma digital. Su función es análoga a la de una firma manuscrita, pero en el mundo electrónico.
En un esquema típico de firma, el usuario que firma utiliza su clave privada para generar una firma sobre el contenido, de forma que cualquier persona que disponga de la correspondiente clave pública pueda verificar esa firma y comprobar que realmente procede de ese emisor. Si la firma es válida, hay un fuerte vínculo entre mensaje y firmante y con ello se verifica también su identidad digital.
Firmar directamente mensajes muy largos con la clave privada resultaría poco práctico, así que normalmente se recurre a una combinación inteligente: primero se calcula el hash del documento mediante una función de dispersión y, a continuación, se cifra ese hash con la clave privada del firmante. Lo que viaja como firma es ese resumen cifrado.
El proceso de verificación en el receptor sigue la lógica inversa: se recalcula el hash del documento recibido con la misma función, se descifra la firma digital con la clave pública del emisor para obtener el resumen original y se comparan ambos valores de hash. Si coinciden, se considera que el documento es auténtico y no ha sido alterado.
Gracias a este mecanismo, la firma digital aporta tres garantías muy potentes: autenticidad del origen, integridad del contenido y no repudio por parte del firmante, que no puede negar de forma verosímil que esa firma fue generada con su clave privada. Por eso es tan usada en contratos, trámites administrativos y sistemas de certificación.
Cómo se valida y se usa una firma digital en la práctica
Si analizamos con más calma el flujo completo de una firma digital, veremos que hay varias opciones en cuanto a cómo se envía y se gestiona la información. Partimos siempre de un documento que se desea firmar y que puede viajar junto con la firma o por separado.
El primer paso es calcular el hash del documento aplicando una función de dispersión previamente acordada, como si condensáramos todo su contenido en una huella breve pero única. Ese resumen será la base sobre la que se hará la firma propiamente dicha.
Después, el firmante utiliza su clave privada para cifrar ese hash, obteniendo así la firma digital, que se puede adjuntar al documento, enviarse en un archivo aparte o incluso transmitirse sola si el receptor ya tiene el original por otra vía. La flexibilidad en este punto permite adaptarse a diferentes escenarios.
Cuando el receptor recibe el documento y la firma, el procedimiento habitual tiene varias posibilidades: puede validar únicamente la firma para asegurarse de que el documento no ha sido manipulado y que procede del firmante esperado, o bien validar y, además, recuperar el contenido asociado si llega todo empaquetado.
Durante la verificación se repiten los pasos clave: se vuelve a calcular el hash del documento, se descifra la firma con la clave pública del emisor para recuperar el hash firmado y se comparan ambos valores; si son idénticos, la validación tiene éxito y el receptor puede confiar en la autenticidad e integridad del mensaje. Si hay diferencias, la firma se considera inválida.
La necesidad de confianza en la criptografía asimétrica
Todo lo anterior se sostiene sobre un supuesto que a veces se da por hecho: que la clave pública que usamos realmente pertenece a la persona o entidad que creemos. Aquí es donde aparecen los problemas de confianza y donde la teoría se cruza con el mundo real.
En un mundo ideal, cada usuario podría intercambiar personalmente sus claves públicas con todo aquel con quien desee comunicarse y verificar en persona su identidad. Sin embargo, en Internet eso es inviable: tratamos con desconocidos, con sitios web a los que nunca hemos visto y con organizaciones dispersas por todo el planeta.
Si un atacante logra colar su propia clave pública haciéndose pasar por otra persona o un servicio legítimo, podría leer o modificar mensajes cifrados, interceptar firmas digitales o incluso montar ataques de intermediario entre emisor y receptor. Por eso, establecer mecanismos de confianza en las claves públicas es absolutamente crítico.
Con el tiempo se han desarrollado distintos modelos de confianza que tratan de dar respuesta a esta necesidad: algunos se basan en relaciones entre personas que se conocen, y otros en entidades externas que actúan como autoridades de referencia. Cada enfoque tiene sus ventajas, sus inconvenientes y sus contextos de uso preferentes.
Aunque en la práctica se puede mezclar más de un modelo, suelen destacarse dos grandes familias conceptuales: las redes de confianza descentralizadas y las infraestructuras de clave pública gestionadas por autoridades de certificación. Ambas persiguen el mismo objetivo, pero lo hacen de formas muy distintas.
Red de confianza: un modelo distribuido entre usuarios
En el modelo de red de confianza, muy asociado a herramientas como PGP o GnuPG, son los propios usuarios quienes validan las claves públicas de otros usuarios y expresan su grado de confianza en ellas. No existe una única autoridad central que lo controle todo.
La idea básica es que, cuando un usuario ha verificado por medios propios la identidad de otra persona, puede firmar digitalmente la clave pública de ese tercero, certificando que cree que la clave privada correspondiente pertenece realmente a ese usuario. Esa firma sobre la clave se convierte en un aval dentro de la red.
Con el tiempo, se pueden organizar eventos específicos, como reuniones de firmas en las que varios usuarios se juntan, comprueban sus documentos oficiales y validan mutuamente sus claves públicas para ir ampliando de forma paulatina su círculo de confianza. Esta práctica fortalece mucho el tejido de la red.
Un aspecto interesante es que no es necesario que dos personas se conozcan directamente para confiar en sus claves. Si existe una cadena de firma entre usuarios de confianza, A puede aceptar la clave pública de D aunque nunca haya visto a D en persona, siempre que la clave de D esté firmada por alguien en quien A confía, quizá a través de varios eslabones intermedios.
Este enfoque tiene un marcado carácter comunitario y distribuye la responsabilidad, pero también exige cierta implicación y criterio por parte de los usuarios, que deben gestionar a quién otorgan su confianza y en qué grado. No es tan transparente para el usuario final como el modelo basado en autoridades, pero ofrece mucha flexibilidad.
Infraestructura de clave pública (PKI) y autoridades de certificación
El otro gran modelo para gestionar la confianza en las claves públicas es la infraestructura de clave pública o PKI, donde entran en juego las llamadas autoridades de certificación o CA (Certification Authority). Estas entidades actúan como terceros de confianza reconocidos.
En este esquema, una CA comprueba determinados datos de identidad de un usuario o de una organización y, si todo es correcto, firma con su propia clave privada un conjunto de atributos que incluyen la clave pública del sujeto, generando así un certificado digital. Ese certificado vincula de forma formal la identidad con la clave.
Los sistemas operativos, navegadores y muchas aplicaciones incluyen ya listados de autoridades de certificación consideradas de confianza, de modo que cuando nos conectamos a una web o verificamos una firma respaldada por un certificado emitido por una de ellas, el software puede validarlo automáticamente. De ahí que veamos el candado de https sin tener que hacer nada extra.
En un certificado típico se incluyen datos como el nombre del sujeto, información de la entidad emisora, fechas de validez, la clave pública, el algoritmo empleado y la firma digital de la CA que garantiza que todo ese contenido no ha sido manipulado. Si algo no cuadra, el navegador suele mostrarnos advertencias claras.
Las empresas del sector editorial, educativo, de seguros, banca, telecomunicaciones, viajes, tecnología, consumo general o joyería, entre otros, hacen un uso intensivo de este modelo PKI para asegurar tanto las comunicaciones con sus clientes como la firma de documentos y transacciones sensibles. Es una pieza fundamental en la confianza digital actual.
Criptografía en protocolos y servicios cotidianos
Todo este entramado teórico no se queda en los libros: forma parte de las tecnologías que utilizamos día sí y día también, muchas veces sin ser conscientes de ello. La criptografía está embebida en casi cualquier servicio digital moderno.
Cuando visitas una web segura, el protocolo https pone en marcha un mecanismo asimétrico para acordar una clave simétrica de sesión y, a partir de ahí, usa cifrado simétrico rápido para todas las páginas, formularios y datos que intercambias. El certificado del sitio y la CA que lo ha emitido te ayudan a saber con quién estás hablando.
En conexiones remotas tipo ssh sucede algo muy similar: tras un intercambio inicial más pesado, se establece una clave de sesión que protege el resto del tráfico con algoritmos simétricos eficientes, mientras que las claves públicas del servidor y del cliente se usan para autenticación y verificación. Esto es vital para administrar sistemas de forma segura.
Las firmas digitales aparecen en contextos como la presentación de impuestos, la firma de contratos laborales, la autorización de operaciones bancarias o la validación de software descargado, donde la integridad y el origen del contenido son tan importantes como la confidencialidad. Sin estos mecanismos, la suplantación sería trivial.
Por debajo de todo, proveedores de formación, grupos empresariales y entidades de muy distintos sectores se apoyan en políticas de protección de datos y sistemas criptográficos para gestionar información personal, hábitos de navegación, perfiles comerciales y cesiones de datos respetando los marcos legales aplicables. La criptografía es una de las herramientas que hace posible este manejo responsable.
Después de recorrer los conceptos clave —desde el cifrado simétrico y asimétrico hasta las funciones hash, las firmas digitales y los modelos de confianza— podemos ver que la criptografía no es solo una colección de fórmulas abstractas, sino el andamiaje técnico que sostiene la privacidad, la autenticidad y la seguridad de prácticamente todo lo que hacemos en el mundo digital; entender sus principios básicos nos permite valorar mejor los riesgos, interpretar las señales de seguridad que muestran nuestras aplicaciones y tomar decisiones más informadas a la hora de proteger nuestros datos y comunicaciones.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.