El cifrado de datos en AWS deja de ser un detalle técnico cuando trabajas en industrias reguladas como la banca. Aquí descubres cómo funcionan KMS y CloudHSM, los dos servicios que AWS ofrece para proteger tu información en tránsito y en reposo, y cuál conviene según tu nivel de cumplimiento.

¿Por qué el cifrado es obligatorio en industrias reguladas?

En sectores como el financiero, proteger los datos no es una decisión de producto sino una exigencia legal. En el caso de Nexiabank, todos los datos de los usuarios deben estar cifrados en tránsito y en reposo, sin importar dónde vivan, para evitar que cualquier persona sin autorización pueda leerlos [0:00].

AWS resuelve esta necesidad con dos servicios especializados: Key Management Service (KMS) y CloudHSM. Ambos cifran información, pero responden a niveles de control y cumplimiento distintos.

¿Qué significa cifrar datos en tránsito y en reposo? Cifrar en tránsito protege la información mientras viaja entre sistemas. Cifrar en reposo la protege cuando está almacenada en bases de datos o discos. Ambos son necesarios para cumplir con normativas financieras.

¿Qué es AWS KMS y cómo funciona?

KMS o Key Management Service es el servicio de cifrado más común dentro de AWS y el punto de partida para la mayoría de arquitecturas [0:30]. AWS administra todo: el software, el hardware y la infraestructura que crea y rota tus llaves de cifrado según las políticas que tú definas.

La gran ventaja de KMS es su integración nativa. Se conecta con la mayoría de servicios de AWS y cifra o descifra los datos de forma transparente para el usuario, sin que tengas que escribir lógica adicional en tu código.

¿Qué normativa cumple KMS?

KMS cumple con la normativa FIPS 140-2 nivel 2 [0:45], suficiente para la mayoría de cargas de trabajo empresariales que requieren cifrado certificado pero no el nivel más estricto de control sobre el hardware.

En la práctica, KMS almacena tus llaves de forma segura y cada vez que accedes a un servicio que lo utiliza, ejecuta el cifrado y descifrado por debajo. Tú solo defines las políticas de acceso y rotación.

¿Cuándo necesitas CloudHSM en lugar de KMS?

Cuando la regulación te obliga a tener control exclusivo sobre el hardware que cifra tus datos, KMS se queda corto. Ahí entra CloudHSM, un servicio donde AWS te entrega el hardware especializado (HSM) y tú lo administras por completo [1:15].

Con CloudHSM tú eres responsable de:

• Administrar la rotación de las llaves de cifrado.
• Implementar el cifrado y descifrado dentro del código de los servicios que lo consumen.
• Configurar y mantener el clúster de instancias HSM.

Este nivel de control existe porque CloudHSM se usa cuando debes cumplir con FIPS 140-2 nivel 3 [1:35], un estándar más estricto que exige que el hardware criptográfico esté bajo tu administración directa.

¿Cuál es la diferencia entre FIPS 140-2 nivel 2 y nivel 3? El nivel 2 valida el cifrado a nivel de software y hardware gestionado por el proveedor. El nivel 3 exige control físico y administrativo del hardware criptográfico por parte del cliente, ideal para banca y gobierno.

¿Cómo se ve un caso de uso real con CloudHSM?

Imagina dos zonas de disponibilidad en AWS. En cada una corren instancias con bases de datos Oracle que, por regulación, deben cifrar todos los datos con llaves administradas exclusivamente por el equipo del banco [1:50].

La solución es crear un clúster de CloudHSM con una instancia por cada zona de disponibilidad. De esa forma, las bases de datos Oracle cifran y descifran su información usando hardware dedicado, con redundancia entre zonas y bajo el control total del equipo de seguridad.

¿KMS o CloudHSM? Cómo decidir según tu caso

La elección depende de dos preguntas: qué nivel de cumplimiento necesitas y cuánto control quieres asumir. Si tu carga de trabajo acepta FIPS 140-2 nivel 2 y prefieres delegar la operación, KMS es la opción natural por su integración y simplicidad.

Si una auditoría te exige FIPS 140-2 nivel 3 o tu industria requiere que las llaves nunca salgan de un hardware bajo tu administración, CloudHSM es el camino, aunque implique más trabajo operativo.

¿Has tenido que elegir entre KMS y CloudHSM en algún proyecto? Cuéntame en los comentarios qué criterio usaste.