Skip to content

¿Protege HTTPS los datos almacenados en la base de datos (datos en reposo)?

Respuesta breve

No. TLS/HTTPS asegura los datos en tránsito entre cliente y servidor; una vez recibidos, la aplicación los descifra y los maneja en texto plano, y luego se almacenan según cómo esté configurada la base de datos. Proteger los datos en reposo es un asunto aparte — cifrado de disco/columna, un KMS y control de acceso. Confundir «usamos HTTPS» con «nuestros datos almacenados están cifrados» es una idea errónea común y peligrosa.

«Estamos cifrados — usamos HTTPS» es una de las medias verdades más comunes en seguridad. HTTPS es esencial, pero resuelve exactamente un problema, y los datos almacenados no son ese.

Qué protege realmente HTTPS/TLS

TLS establece un canal cifrado entre dos extremos — normalmente un navegador y un servidor web. Proporciona confidencialidad e integridad de los datos en tránsito, más la autenticación del servidor mediante certificados. Mientras los bytes viajan por la red, un atacante en el cable (Wi-Fi público, un proxy malicioso, un ISP) solo ve texto cifrado. Esa es toda su función: proteger la conversación entre cliente y servidor.

Dónde termina la protección

TLS se termina en el servidor (o en un balanceador de carga / proxy inverso delante de él). En esa frontera, la clave de sesión descifra la petición de vuelta a texto plano, y la aplicación la procesa en claro: parseando JSON, ejecutando lógica de negocio, construyendo SQL. Cuando la app escribe en la base de datos, lo que aterriza en el disco depende por completo de cómo esté configurado ese almacenamiento — por defecto, texto plano. La clave de sesión TLS nunca llega al disco; era efímera y desaparece al cerrarse la conexión.

Los datos en reposo son un control aparte

Proteger los datos almacenados exige sus propios mecanismos:

  • Cifrado de disco o de volumen (LUKS, BitLocker) contra discos robados.
  • Transparent Data Encryption (TDE) o cifrado de columna/campo en la base de datos.
  • Un servicio de gestión de claves (KMS) o HSM para que las claves no estén junto a los datos.
  • Control de acceso y mínimo privilegio para que solo los actores correctos lean las filas.

Defienden contra amenazas distintas a las de TLS: una copia de seguridad robada, una cuenta de DBA comprometida, un atacante que ya tiene un shell en la máquina.

Por qué la idea errónea es peligrosa

Las respuestas seductoras pero falsas imaginan que la clave TLS de algún modo «sigue» a los datos hasta el disco, o que el certificado los sigue protegiendo en reposo. No es así — TLS es punto a punto y efímero. Los equipos que confunden seguridad de transporte con seguridad de almacenamiento se saltan por completo el cifrado en reposo y luego filtran bases de datos en texto plano. El modelo mental correcto: HTTPS protege el trayecto; el cifrado en reposo protege el destino. Necesitas ambos.

Posibles preguntas de seguimiento

  • ¿Qué tecnologías protegen realmente los datos en reposo, y dónde vive la clave?
  • ¿En qué punto del ciclo de vida de la petición ocurre el descifrado TLS?
  • ¿En qué se diferencia el cifrado de extremo a extremo del cifrado de transporte como HTTPS?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.