Rotación de claves (Key Rotation): definición
La rotación de claves, es decir, la sustitución periódica de claves criptográficas, es un proceso controlado mediante el cual la clave utilizada hasta ese momento se reemplaza por una nueva según un ciclo definido o tras producirse un evento determinado. En la práctica, su objetivo es limitar el tiempo durante el cual una misma clave de cifrado permanece activa y reducir el impacto de una posible divulgación, robo o configuración incorrecta.
En el contexto de la anonimización de fotos y vídeos, la rotación de claves se refiere principalmente a la protección de los materiales originales, los archivos ya anonimizados, las copias de trabajo, los metadatos, las exportaciones y la configuración del sistema. No es un mecanismo de difuminado de rostros o matrículas en sí mismo, sino un elemento esencial de la seguridad de todo el proceso de tratamiento. Si una organización almacena imágenes o grabaciones antes de su anonimización, las claves utilizadas para cifrar esos datos deben renovarse periódicamente de acuerdo con la política de seguridad.
Desde la perspectiva de las normas y las buenas prácticas, este concepto está vinculado a la gestión del ciclo de vida de la clave criptográfica. NIST define este ámbito en la publicación NIST SP 800-57 Part 1 Rev. 5 de 2020, donde se describen la generación, distribución, uso, archivado, retirada y destrucción de claves. Por su parte, NIST SP 800-38D establece los requisitos para el modo AES-GCM, incluidos los riesgos relacionados con el uso inadecuado de parámetros como nonce/IV. En entornos corporativos, la rotación de claves también forma parte del cumplimiento de ISO/IEC 27001:2022 e ISO/IEC 27002:2022, que exigen controles criptográficos y reglas formales de gestión de claves.
El papel de la rotación de claves en la anonimización de fotos y vídeos
En los sistemas destinados a la anonimización de material visual, las claves criptográficas no se encargan de detectar rostros ni matrículas. Estas tareas las realizan modelos de detección, normalmente basados en deep learning, que localizan objetos dentro de la imagen. La rotación de claves, en cambio, protege los datos procesados por ese sistema.
En la práctica, esto abarca varias capas de protección.
- cifrado de archivos de entrada: materiales antes del difuminado que contienen datos personales,
- cifrado de archivos de salida: cuando el resultado aún puede contener información confidencial o requiere protección operativa,
- protección de bases de datos y metadatos: por ejemplo, identificadores de tareas, estados de procesamiento o rutas de archivos,
- protección de copias de seguridad: porque el backup suele conservar los datos durante más tiempo que el sistema de producción,
- protección de secretos del sistema: por ejemplo, claves API, contraseñas de servicio o claves para almacenes de objetos.
En un entorno on-premise, la rotación de claves tiene una importancia especial, ya que la propia organización es responsable de la infraestructura, el almacenamiento de materiales y la configuración de los módulos de cifrado. Si el sistema procesa grabaciones de videovigilancia, material probatorio, documentación de incidentes o fotografías de auditorías de campo, reducir la exposición de una única clave se traduce directamente en una disminución del riesgo de vulneración de la confidencialidad.
Cómo funciona la rotación de claves en la práctica
La rotación de claves puede implementarse de varias formas. Las diferencias dependen de si se sustituye la clave de cifrado de datos, la clave maestra que protege otras claves o ambos tipos a la vez. En los sistemas que procesan fotos y vídeos suele aplicarse un enfoque por capas.
Los elementos más habituales son:
- DEK - Data Encryption Key: clave que cifra un archivo concreto, un paquete de archivos o un volumen de datos,
- KEK - Key Encryption Key: clave utilizada para cifrar o encapsular las claves DEK,
- master key: clave principal almacenada normalmente en un HSM, un KMS u otro componente aislado.
En el modelo de cifrado por envoltura, la rotación puede afectar solo a la KEK, sin volver a cifrar todos los archivos originales. Esto reduce el coste operativo. Sin embargo, si la política de seguridad exige un cambio completo del material criptográfico, se realiza un re-encryption, es decir, un nuevo cifrado de los datos con una nueva DEK. Este proceso es más costoso y requiere control de integridad.
Una representación simplificada de la relación es la siguiente:
Datos cifrados = Encrypt(DEK, archivo)
DEK protegida = Wrap(KEK, DEK)
Tras la rotación de la KEK, el sistema descifra la DEK previamente encapsulada y la protege de nuevo con una nueva KEK. Tras la rotación de la DEK, es necesario volver a cifrar los propios datos.
Parámetros y métricas clave de la rotación de claves
La evaluación de una rotación correcta no debería limitarse a comprobar que la clave ha sido cambiada. En un entorno que procesa imágenes y grabaciones, son importantes los parámetros técnicos, temporales y operativos.
Parámetro | Significado | Contexto práctico
|
|---|---|---|
Cryptoperiod | Tiempo de uso permitido de la clave | NIST SP 800-57 recomienda definir el periodo de uso según el tipo de clave, el valor de los datos y el riesgo |
Mean time to rotate (MTTRotation) | Tiempo medio necesario para realizar la rotación | Afecta a la ventana de exposición tras un incidente o un cambio de política |
Re-encryption throughput | Cantidad de GB o TB procesados por hora | Relevante en grandes archivos de vídeo |
Key version count | Número de versiones activas y archivadas de una clave | Influye en la posibilidad de descifrar materiales antiguos |
Failure rate | Porcentaje de operaciones de rotación fallidas | Debe supervisarse en copias de seguridad, repositorios y exportaciones |
Recovery time | Tiempo necesario para restablecer el acceso tras un error de rotación | Crítico para la continuidad operativa y la auditoría |
No existe un único periodo de rotación válido para todos los sistemas. NIST señala que la duración del cryptoperiod depende del algoritmo, la longitud de la clave, el entorno de amenazas, el número de operaciones y el valor de la información protegida. Esto significa que la política de rotación para un archivo de fotografías de corta duración puede ser distinta de la de un repositorio de grabaciones de vídeo de varios años y alta sensibilidad.
Tecnologías y estándares relacionados con la rotación de claves
La rotación de claves debe basarse en algoritmos probados y en procedimientos sólidos de gestión de claves. En la práctica, para proteger archivos de vídeo e imágenes se utiliza cifrado simétrico, mientras que el propio proceso de gestión de claves puede llevarse a cabo de forma local o mediante un módulo dedicado.
Las referencias técnicas más habituales son:
- AES: estándar FIPS 197, actualizado editorialmente por NIST en 2023,
- AES-GCM: modo de cifrado autenticado descrito en NIST SP 800-38D de 2007,
- NIST SP 800-57 Part 1 Rev. 5: gestión de claves criptográficas, 2020,
- ISO/IEC 27001:2022 y ISO/IEC 27002:2022: requisitos y medidas de seguridad para organizaciones,
- FIPS 140-3: requisitos para módulos criptográficos; el estándar se publicó en 2019 y sustituyó a FIPS 140-2 en los procesos de validación CMVP.
Si el entorno utiliza un HSM o un sistema KMS, la rotación puede automatizarse parcialmente y ser auditable. En un sistema on-premise, es importante separar los roles administrativos, el almacenamiento de claves y el acceso a los propios materiales de vídeo. Cifrar los datos sin una política de rotación y sin un registro de las versiones de clave no cumple el objetivo de seguridad operativa.
Retos y limitaciones de la rotación de claves
La rotación de claves mejora la seguridad, pero si está mal diseñada puede aumentar el riesgo de pérdida de disponibilidad de los datos. Esto afecta especialmente a los archivos de vídeo, que suelen ser grandes, conservarse durante largos periodos y estar sujetos con frecuencia a obligaciones probatorias o de control.
Los problemas más comunes son los siguientes:
- falta de trazabilidad sobre qué archivo se cifró con qué clave y en qué versión,
- rotación incompleta que solo abarca el sistema de producción, sin incluir copias de seguridad ni entornos de prueba,
- re-encryption realizado sin validar la integridad de los archivos tras la operación,
- mantenimiento de claves antiguas en uso activo a pesar de haberse efectuado formalmente la rotación,
- ausencia de un procedimiento de emergencia para materiales relevantes desde el punto de vista de una auditoría o una investigación.
En un entorno de procesamiento de imágenes también hay que diferenciar la protección de datos del funcionamiento de los modelos de IA. Un modelo que detecta rostros o matrículas no sustituye a los controles criptográficos. Si el material de entrada se almacena sin una protección adecuada de claves, el simple difuminado posterior no elimina el riesgo previo de violación de la confidencialidad.
Importancia para el cumplimiento del RGPD y la seguridad de los datos
El RGPD no impone un algoritmo concreto ni un calendario rígido de rotación de claves, pero sí exige la aplicación de medidas técnicas y organizativas adecuadas. Aquí son clave el artículo 5, apartado 1, letra f), y el artículo 32 del RGPD, que se refieren a la integridad, la confidencialidad y la seguridad del tratamiento. En la práctica, la rotación de claves es uno de los mecanismos que permiten cumplir estos objetivos, especialmente cuando la organización almacena materiales antes de su anonimización.
Para el Delegado de Protección de Datos, es importante que la política de rotación esté documentada y vinculada a un análisis de riesgos. Como mínimo, debería indicar:
- qué categorías de datos están cubiertas por el cifrado,
- qué tipos de claves se utilizan,
- cuándo tiene lugar la rotación planificada y la rotación por incidente,
- quién aprueba y ejecuta la operación,
- cómo se documentan la versión de la clave y el resultado de la operación.
En sistemas como Gallio PRO, la rotación de claves afecta a la seguridad del entorno de procesamiento y almacenamiento de archivos. Esto no cambia el hecho de que la detección automática se refiere a rostros y matrículas, mientras que otros elementos de la imagen pueden requerir trabajo manual en el editor. Desde el punto de vista de la protección de la privacidad, ambas áreas son complementarias: la anonimización reduce la posibilidad de identificación en el material, y la rotación de claves limita el riesgo de acceso no autorizado a los datos antes y después del tratamiento.