Rotación de claves
¿Qué es Rotación de claves?
Rotación de clavesSustitución periódica de claves criptográficas por nuevas para limitar el volumen de datos protegidos por una sola clave y contener el impacto de un compromiso.
La rotación de claves es la práctica operativa de generar nuevas claves criptográficas con regularidad y retirar las antiguas, manteniendo un solapamiento suficiente para descifrar datos protegidos anteriormente. Limita la cantidad de texto cifrado o material firmado que un atacante puede comprometer con una clave robada, da soporte a las políticas de cryptoperiod (NIST SP 800-57), permite migrar a algoritmos más fuertes y es requerida por estándares como PCI DSS, FIPS 140-3 y SOC 2. Patrones habituales son el versionado de claves (v1, v2, ...), el cifrado de sobre con DEK rotativas bajo una KEK estable y la rotación automatizada con KMS como AWS KMS, Azure Key Vault o Google Cloud KMS. Debe combinarse con monitorización, destrucción segura de claves y un plan de rollback ante despliegues fallidos.
● Ejemplos
- 01
AWS KMS rota el material de clave subyacente de una CMK cada año manteniendo el mismo Key ID.
- 02
Rotar cada 90 días la clave HMAC de firma de una API, con un período de gracia de 7 días.
● Preguntas frecuentes
¿Qué es Rotación de claves?
Sustitución periódica de claves criptográficas por nuevas para limitar el volumen de datos protegidos por una sola clave y contener el impacto de un compromiso. Pertenece a la categoría de Criptografía en ciberseguridad.
¿Qué significa Rotación de claves?
Sustitución periódica de claves criptográficas por nuevas para limitar el volumen de datos protegidos por una sola clave y contener el impacto de un compromiso.
¿Cómo defenderse de Rotación de claves?
Las defensas contra Rotación de claves combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Rotación de claves?
Nombres alternativos comunes: Rotación de cryptoperiod, Renovación de clave.