Gestión de secretos: definición
La gestión de secretos (Secrets Management) es un conjunto de procesos, políticas y mecanismos técnicos destinados a crear, almacenar, distribuir, rotar, usar y retirar de forma segura datos confidenciales de autenticación. Entre los secretos se incluyen, entre otros, contraseñas, claves API, claves de cifrado, certificados, tokens de acceso, datos de cuentas de servicio y credenciales para bases de datos y sistemas de archivos. Desde una perspectiva normativa, forma parte de un ámbito más amplio de gestión de identidades, control de acceso y criptografía, descrito, entre otros, en ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-57 Part 1 Rev. 5 de 2020 y NIST SP 800-63B de 2020.
En el contexto de la anonimización de fotos y vídeos, este concepto tiene una importancia práctica. Un sistema de detección y difuminado automático de rostros y matrículas suele utilizar múltiples secretos técnicos. Pueden ser claves para cifrar soportes de almacenamiento, credenciales para repositorios de modelos de IA, certificados TLS para el panel de administración, datos de acceso a servicios de colas de tareas, registros de imágenes de contenedores, copias de seguridad o sistemas de gestión de identidades. Si un secreto se ve comprometido, el riesgo no afecta solo a la infraestructura. También incluye el acceso no autorizado a materiales fuente que contienen la imagen de personas y números de matrícula, es decir, a datos personales tratados antes de la anonimización.
Para el Delegado de Protección de Datos, es importante entender que la gestión de secretos no es un complemento administrativo, sino una de las medidas de seguridad implantadas de conformidad con el art. 5, apdo. 1, letra f), el art. 25 y el art. 32 del RGPD. En la práctica, determina si el proceso de anonimización de fotos y vídeo se realiza en un entorno controlado, con privilegios mínimos y con limitación del impacto de un incidente.
El papel de la gestión de secretos en la anonimización de fotos y vídeos
En los sistemas que procesan imágenes y vídeo, un secreto no es un fin en sí mismo. Es un medio para proteger las distintas etapas del trabajo con archivos, modelos de IA y resultados de anonimización. Esto se aplica tanto a instalaciones on-premise como a entornos híbridos. En el caso de Gallio PRO, esto es especialmente importante, ya que el software opera en el ámbito de la protección de la privacidad y automatiza el difuminado de rostros y matrículas.
En una cadena de procesamiento típica, el material puede pasar por la importación del archivo, la decodificación de fotogramas, la detección de rostros y matrículas, la aplicación del desenfoque, el guardado de la versión resultante y la eliminación de los datos al finalizar el periodo de retención. En varias de estas etapas se utilizan secretos.
- secretos de acceso a almacenamientos de archivos con el material fuente y el material resultante,
- claves de cifrado de datos en reposo y en tránsito,
- credenciales de cuentas de servicio que ejecutan el pipeline de procesamiento,
- certificados para la autenticación de servicios internos,
- secretos para firmar tokens de sesión de operadores y administradores,
- credenciales para sistemas de copias de seguridad y repositorios de modelos.
Si la gestión de secretos es deficiente, el operador puede no ser capaz de demostrar quién accedió al material fuente, cuándo lo hizo y con qué fundamento. En la práctica, esto pone en cuestión la trazabilidad y la rendición de cuentas. Esto es especialmente relevante cuando el material previo a la anonimización contiene datos personales y el difuminado de rostros o matrículas se realiza por lotes y no en tiempo real.
Tecnologías utilizadas en la gestión de secretos
La gestión de secretos puede implantarse en varios niveles. La base es un almacén de secretos dedicado, con control de acceso, auditoría de uso y rotación. En entornos con requisitos más exigentes también se utilizan módulos de seguridad hardware y sistemas KMS. Su función es proteger el material criptográfico y limitar el acceso directo de los administradores a las claves maestras.
En la práctica, se encuentran los siguientes enfoques técnicos:
- Vault o almacén centralizado de secretos: almacena los secretos, los entrega a los procesos tras la autenticación y aplica políticas de acceso.
- KMS - Key Management Service: gestiona claves criptográficas, a menudo con función de envelope encryption.
- HSM - Hardware Security Module: protege las claves en un dispositivo resistente a la manipulación. Los requisitos de seguridad para módulos criptográficos se describen en FIPS 140-3, publicado por NIST en 2019.
- PKI y certificados X.509: se utilizan para la autenticación de servicios y el cifrado de conexiones.
- Credenciales just-in-time: credenciales de corta duración emitidas para una tarea concreta, en lugar de contraseñas permanentes.
- Inyección de secretos: entrega del secreto al proceso en tiempo de ejecución, sin almacenarlo en el código fuente ni en la imagen del contenedor.
En los sistemas de IA que procesan imágenes, los secretos no deberían estar incrustados en los modelos, en los archivos de configuración del repositorio ni en los scripts por lotes. Esto también se aplica a los pipelines que utilizan modelos de deep learning para la detección de rostros. El deep learning es necesario para construir y ejecutar modelos que detectan objetos en la imagen, pero la seguridad del modelo y la seguridad de los secretos son dos ámbitos distintos. El modelo es responsable de la eficacia de la detección, mientras que la gestión de secretos se encarga del control de acceso a los datos y a la infraestructura.
Parámetros y métricas clave de la gestión de secretos
Evaluar la madurez de la gestión de secretos requiere parámetros medibles. En un entorno de anonimización de fotos y vídeos, las métricas más importantes son las relacionadas con la exposición de los datos, el tiempo de respuesta y el control de privilegios. Algunos indicadores son organizativos y otros estrictamente técnicos.
Parámetro | Significado | Ejemplo de interpretación
|
|---|---|---|
TTL del secreto | Tiempo de vida del secreto | Cuanto más corto sea el TTL de las credenciales de una tarea, menor será el impacto de una filtración |
MTTR de rotación | Tiempo necesario para sustituir un secreto comprometido | Un MTTR bajo reduce la ventana de abuso tras un incidente |
Cobertura de rotación | Porcentaje de secretos sometidos a rotación automática | Un 100% para cuentas de servicio es un objetivo más maduro que la rotación manual |
Granularidad de permisos | Nivel de precisión en la asignación de accesos | Secretos separados para importación de archivos, procesamiento y exportación de resultados |
Latencia de recuperación del secreto | Tiempo que tarda un servicio en obtener un secreto | Una latencia demasiado alta puede ralentizar el procesamiento por lotes de vídeo |
Capacidad de auditoría | Posibilidad de vincular el uso de un secreto a una identidad y a un evento | Importante para la trazabilidad y el análisis de incidentes |
En el análisis de riesgos puede utilizarse una relación auxiliar sencilla:
Exposición del secreto = tiempo de validez x alcance de permisos x número de recursos accesibles mediante el secreto
No se trata de una fórmula normativa, pero sí de un método comparativo útil. En la práctica, los secretos más peligrosos son los de larga duración, con permisos amplios y acceso a múltiples repositorios de materiales fuente.
Retos y limitaciones de la gestión de secretos
Una gestión de secretos eficaz no elimina todas las amenazas. Sin embargo, reduce su alcance y facilita la respuesta. En los entornos de procesamiento de imágenes, un problema frecuente es la dispersión de componentes: estaciones de trabajo de los operadores, servidores de procesamiento, repositorios de archivos, copias de seguridad y herramientas administrativas. Cada uno de estos elementos puede requerir un modelo de acceso independiente.
Los problemas más habituales son los siguientes:
- secretos guardados en scripts, archivos de configuración o historial de comandos,
- falta de separación entre el entorno de pruebas y el de producción,
- permisos excesivos de las cuentas de servicio,
- ausencia de rotación tras cambios de personal o después de un incidente,
- auditoría insuficiente del uso de secretos,
- dificultades de integración con sistemas heredados.
En el contexto de la anonimización de materiales visuales, también es importante distinguir entre secretos y datos personales. Un secreto no es un dato personal en sí mismo, pero su divulgación puede permitir el acceso a fotos y grabaciones que contengan rostros o matrículas. Por ello, la evaluación de riesgos debe abarcar tanto la capa criptográfica como el propio proceso de tratamiento de imágenes.
Referencias normativas y práctica de cumplimiento
La gestión de secretos debe vincularse a requisitos de seguridad concretos y no solo a buenas prácticas administrativas. En un entorno que procesa fotos y grabaciones con fines de anonimización, son especialmente relevantes las normas relacionadas con el control de acceso, la criptografía, el registro de eventos y la gestión de vulnerabilidades.
- RGPD - Reglamento (UE) 2016/679, en particular el art. 25 y el art. 32: protección de datos desde el diseño y seguridad del tratamiento.
- ISO/IEC 27001:2022: sistema de gestión de la seguridad de la información.
- ISO/IEC 27002:2022: directrices sobre controles de seguridad, incluido el control de acceso y el uso de criptografía.
- NIST SP 800-57 Part 1 Rev. 5, 2020: recomendaciones para la gestión de claves criptográficas.
- NIST SP 800-63B, 2020: requisitos para la autenticación y los secretos de autenticación.
- FIPS 140-3, 2019: requisitos de seguridad para módulos criptográficos.
- OWASP Secrets Management Cheat Sheet: documento práctico, no normativo, pero ampliamente utilizado como referencia de implementación.
En la práctica del cumplimiento, también es importante que el sistema de anonimización no recopile registros excesivos que contengan datos personales. Si la solución no guarda logs de detección de rostros y matrículas ni conserva datos personales en los registros administrativos, se reduce el volumen de datos auxiliares que también tendrían que protegerse y someterse a retención.