Si vas camino a la certificación CompTIA Security+, el módulo de criptografía es el corazón técnico del examen. Aquí te explico qué temas dominar a alto nivel, qué ataques reconocer y qué detalles puedes dejar fuera para enfocar tu estudio sin perder tiempo en lo que no preguntan.

¿Qué temas de criptografía entran en el examen Security+?

El examen evalúa tu comprensión conceptual, no tu capacidad matemática. Necesitas distinguir entre familias de algoritmos, entender flujos de comunicación segura y reconocer la infraestructura que sostiene la confianza digital.

Estos son los bloques que debes dominar [00:08]:

• Diferencias entre cifrado simétrico y cifrado asimétrico, y qué llave usa cada parte al enviar o firmar un mensaje.
• Funcionamiento del protocolo TLS y del Three Way Handshake que da base a HTTPS.
• Infraestructura PKI (Public Key Infrastructure), incluyendo entes certificadores y verificación de certificados.
• Algoritmos de hash y su uso real frente a cifrado o firma digital.
• Módulos de hardware como el TPM (Trusted Platform Module) presentes en laptops y dispositivos móviles.

¿Cómo elegir la llave correcta en cifrado asimétrico?

Una pregunta típica te plantea a dos personas, por ejemplo David y Carlos, comunicándose con un método asimétrico [00:20]. La clave está en recordar dos reglas simples.

¿Qué llave uso para cifrar un mensaje a otra persona? Usas la llave pública del destinatario. Solo él podrá descifrarlo con su llave privada.

¿Qué llave uso para firmar un mensaje? Usas tu propia llave privada. Cualquiera podrá verificar la firma con tu llave pública.

En cifrado simétrico la lógica cambia: ambas partes comparten la misma llave, así que el reto es cómo intercambiarla de forma segura.

¿Cómo funcionan TLS y la infraestructura PKI?

TLS es la base de la comunicación segura en la web. No te van a pedir el detalle byte por byte, pero sí necesitas explicar a alto nivel cómo cliente y servidor establecen confianza mediante el Three Way Handshake y el intercambio de certificados [01:08].

Sobre PKI, tienes que ubicar varios elementos en su lugar:

• Entes certificadores y sus distintos niveles de jerarquía.
• Mecanismos para validar si un certificado sigue siendo auténtico.
• Protocolos de verificación como OCSP y CRL, y técnicas como certificate pinning y certificate stapling.

¿Qué es certificate stapling? Es una técnica donde el servidor adjunta una respuesta OCSP ya firmada al certificado, permitiendo al cliente validarlo localmente sin contactar al ente certificador.

¿Qué ataques criptográficos debes reconocer?

El examen te puede presentar escenarios donde un sistema usa algoritmos viejos o mal configurados [01:50]. Reconoce al menos estos:

• Downgrade attack: el atacante fuerza al sistema a usar una versión más débil del protocolo.
• Birthday attack: explota colisiones en funciones de hash.
• Riesgos asociados al uso de algoritmos deprecated.

Un dato que debes memorizar: SSL ya se considera deprecado, y el estándar mínimo aceptable es TLS 1.1 en adelante [02:05].

¿Qué temas de criptografía NO entran en el examen?

Aquí está la buena noticia para tu plan de estudio. El examen deja fuera todo lo que sea implementación profunda o matemática avanzada [02:50].

No vas a encontrar:

• Preguntas matemáticas sobre cómo funcionan internamente los algoritmos.
• Defensas técnicas sobre por qué un algoritmo garantiza el no repudio.
• Comparaciones de tamaño de llave tipo elegir entre AES 256 o AES 512.
• Detalles de configuración a nivel de procesador para módulos como TPM.

Lo que sí necesitas es saber cuándo se elige cada algoritmo y para qué sirve. Ese enfoque conceptual es el que aprueba el examen.

¿Qué hace un algoritmo de hash y para qué se usa? Genera una huella única de longitud fija a partir de cualquier dato. Sirve para verificar integridad, no para cifrar ni descifrar información.

¿Cómo se ve una pregunta real del examen?

En la clase aparece este caso [03:30]: Kevin configura un servidor web con certificados digitales y busca una tecnología que permita a los clientes confirmar el estado de esos certificados swiftly sin contactar un servidor remoto. Las opciones son certificate pinning, certificate stapling, OCSP y CRL.

El análisis correcto descarta OCSP y CRL porque ambos requieren comunicación externa. Certificate pinning se descarta porque sirve para comparar un certificado guardado contra uno entrante, no para verificar estado. La respuesta válida es certificate stapling, porque adjunta la respuesta OCSP ya verificada y permite la validación local.

Este tipo de preguntas mide algo concreto: tu capacidad de leer el escenario, identificar la restricción clave (en este caso, sin servidor remoto) y descartar opciones que suenan parecidas pero hacen cosas distintas.

¿Qué algoritmo o protocolo te cuesta más recordar al estudiar criptografía? Déjalo en los comentarios y resolvemos juntos las dudas más comunes.