Cifrado en crisis: las empresas del Reino Unido se enfrentan a una reestructuración de la seguridad con la reforma propuesta a la Ley de Poderes de Investigación.

Por Nicholas Fearn • 25 de marzo de 2025

El Gobierno del Reino Unido está impulsando cambios en la Ley de Poderes de Investigación, su régimen de espionaje en internet, que permitirá a las fuerzas del orden y a los servicios de seguridad eludir el cifrado de extremo a extremo de los proveedores de servicios en la nube y acceder a las comunicaciones privadas con mayor facilidad y alcance. Afirma que estos cambios benefician al público, ya que la ciberdelincuencia se descontrola y los enemigos de Gran Bretaña buscan espiar a sus ciudadanos.

Sin embargo, los expertos en seguridad opinan lo contrario, argumentando que las enmiendas crearán puertas traseras de cifrado que permitirán a ciberdelincuentes y otras partes maliciosas aprovecharse de los datos de usuarios desprevenidos. Instan a las empresas a tomar las riendas del cifrado para proteger a sus clientes y su reputación, ya que los servicios en la nube de los que solían depender ya no están a salvo del espionaje gubernamental. Esto se desprende de la decisión de Apple de dejar de ofrecer su herramienta de Protección Avanzada de Datos en Gran Bretaña tras las demandas de los legisladores británicos de acceso a los datos por puertas traseras, a pesar de que el gigante tecnológico con sede en Cupertino ni siquiera puede acceder a ellos.

Mejorando la seguridad pública

El gobierno espera mejorar la seguridad pública y nacional con estos cambios. Esto se debe a que el mayor uso y la sofisticación del cifrado de extremo a extremo dificultan la interceptación y el monitoreo de las comunicaciones por parte de las agencias de inteligencia y seguridad. Los políticos argumentan que esto impide a las autoridades hacer su trabajo y permite que los delincuentes se salgan con la suya, poniendo en peligro al país y a su población.

Matt Aldridge, consultor principal de soluciones en OpenText Security Solutions, explica que el gobierno quiere abordar este problema otorgando a la policía y a los servicios de inteligencia más poderes y alcance para obligar a las empresas tecnológicas a eludir o desactivar el cifrado de extremo a extremo si sospechan de un delito.

De esta manera, los investigadores podrían acceder a los datos sin procesar que poseen las empresas tecnológicas. Pueden usar esta información para facilitar sus investigaciones y, en última instancia, combatir la delincuencia.

Alridge declaró a ISMS.online: «El argumento es que, sin esta capacidad adicional para acceder a comunicaciones o datos cifrados, los ciudadanos del Reino Unido estarán más expuestos a actividades delictivas y de espionaje, ya que las autoridades no podrán utilizar la inteligencia de señales ni las investigaciones forenses para recopilar pruebas cruciales en tales casos».

El gobierno intenta mantenerse al día con los delincuentes y otras amenazas ampliando sus poderes de espionaje de datos, afirma Conor Agnew, director de cumplimiento de Closed Door Security. Agnew afirma que incluso está presionando a las empresas para que incorporen puertas traseras en su software, lo que permite a los funcionarios acceder a los datos de los usuarios a su antojo. Esta medida corre el riesgo de "desechar el uso del cifrado de extremo a extremo".

Enormes consecuencias para las empresas

Independientemente de cómo intente el gobierno justificar su decisión de modificar la IPA, los cambios presentan desafíos importantes para las organizaciones a la hora de mantener la seguridad de los datos, cumplir con las obligaciones regulatorias y mantener a los clientes satisfechos.

Jordan Schroeder, CISO gerente de Redes de barrera, sostiene que minimizar el cifrado de extremo a extremo para fines de vigilancia e investigación estatales creará una “debilidad sistémica” que puede ser aprovechada por ciberdelincuentes, estados-nación y personas malintencionadas.

“Debilitar el cifrado reduce inherentemente la seguridad y la protección de la privacidad de las que dependen los usuarios”, afirma. “Esto supone un desafío directo para las empresas, en particular las de finanzas, sanidad y servicios jurídicos, que dependen de un cifrado sólido para proteger los datos confidenciales de sus clientes.

Aldridge, de OpenText Security Solutions, coincide en que, al introducir mecanismos para comprometer el cifrado de extremo a extremo, el gobierno deja a las empresas "extremadamente expuestas" a problemas de ciberseguridad, tanto intencionales como no intencionales. Esto conllevará una "disminución drástica de la seguridad en cuanto a la confidencialidad e integridad de los datos".

Para cumplir con estas nuevas normas, Aldridge advierte que los proveedores de servicios tecnológicos podrían verse obligados a retener o retrasar la implementación de parches de seguridad esenciales. Añade que esto daría a los ciberdelincuentes más tiempo para explotar vulnerabilidades de ciberseguridad sin parchear.

En consecuencia, Alridge prevé una reducción neta de la ciberseguridad de las empresas tecnológicas que operan en el Reino Unido y de sus usuarios. Sin embargo, debido a la naturaleza interconectada de los servicios tecnológicos, afirma que estos riesgos podrían afectar a otros países además del Reino Unido.

Las puertas traseras de seguridad impuestas por el gobierno también podrían ser económicamente perjudiciales para Gran Bretaña.

Agnew de Seguridad a puerta cerrada dice que las empresas internacionales podrían retirar sus operaciones del Reino Unido si “la extralimitación judicial” les impide proteger los datos de los usuarios.

Sin acceso a los servicios de cifrado de extremo a extremo convencionales, Agnew cree que muchas personas recurrirán a la red oscura para protegerse de la creciente vigilancia estatal. Afirma que el aumento del uso de almacenamiento de datos no regulado solo expondrá a los usuarios a un mayor riesgo y beneficiará a los delincuentes, lo que invalidará los cambios gubernamentales.

Mitigar estos riesgos

Bajo un régimen de la IPA más represivo, las puertas traseras de cifrado corren el riesgo de convertirse en la norma. De ocurrir esto, las organizaciones no tendrán más remedio que implementar cambios radicales en su estrategia de ciberseguridad.

Según Schröder de Redes de barreraEl paso más crucial es un cambio cultural y de mentalidad en el que las empresas ya no den por sentado que los proveedores de tecnología poseen la capacidad para proteger sus datos.

Explica: “Si bien antes las empresas dependían de proveedores como Apple o WhatsApp para garantizar el cifrado E2EE, ahora deben asumir que estas plataformas pueden verse comprometidas accidentalmente y asumir la responsabilidad de sus propias prácticas de cifrado”.

Ante la falta de una protección adecuada por parte de los proveedores de servicios tecnológicos, Schroeder insta a las empresas a utilizar sistemas de cifrado independientes y autocontrolados para mejorar la privacidad de sus datos.

Hay varias maneras de hacerlo. Schroeder afirma que una opción es cifrar los datos confidenciales antes de transferirlos a sistemas de terceros. De esta forma, los datos estarán protegidos si la plataforma host es atacada.

Como alternativa, las organizaciones pueden utilizar sistemas descentralizados de código abierto sin las puertas traseras de cifrado exigidas por el gobierno. La desventaja, según Shroeder, es que este tipo de software presenta diferentes riesgos de seguridad y no siempre es fácil de usar para usuarios sin conocimientos técnicos.

Haciendo eco de opiniones similares a las de Schroeder, Aldridge de OpenText Security Solutions dice que las empresas deben implementar capas de cifrado adicionales ahora que no pueden depender del cifrado de extremo a extremo de los proveedores de la nube.

Antes de que las organizaciones suban datos a la nube, Aldridge recomienda cifrarlos localmente. Las empresas también deberían evitar almacenar claves de cifrado en la nube. En su lugar, recomienda optar por sus propios módulos de seguridad de hardware, tarjetas inteligentes o tokens alojados localmente.

Agnew de Seguridad a puerta cerrada recomienda que las empresas inviertan en estrategias de confianza cero y de defensa en profundidad para protegerse de los riesgos de las puertas traseras de cifrado normalizadas.

Pero admite que, incluso con estas medidas, las organizaciones estarán obligadas a entregar datos a las agencias gubernamentales si se les solicita mediante una orden judicial. Con esto en mente, anima a las empresas a priorizar "la atención a los datos que poseen, los datos que las personas pueden enviar a sus bases de datos o sitios web, y durante cuánto tiempo los conservan".

Evaluación de estos riesgos

Es fundamental que las empresas consideren estos desafíos como parte de una estrategia integral de gestión de riesgos. Según Schroeder, de Barrier Networks, esto implicará realizar auditorías periódicas de las medidas de seguridad empleadas por los proveedores de cifrado y la cadena de suministro en su conjunto.

Aldridge, de OpenText Security Solutions, también enfatiza la importancia de reevaluar las evaluaciones de riesgos cibernéticos para considerar los desafíos que plantean el cifrado debilitado y las puertas traseras. Añade que deberán concentrarse en implementar capas de cifrado adicionales, claves de cifrado sofisticadas, gestión de parches de proveedores y almacenamiento local en la nube de datos confidenciales.

Otra buena manera de evaluar y mitigar los riesgos generados por los cambios en la IPA del gobierno es implementar un marco de ciberseguridad profesional.

Schroeder afirma que la norma ISO 27001 es una buena opción porque proporciona información detallada sobre controles criptográficos, gestión de claves de cifrado, comunicaciones seguras y gobernanza del riesgo de cifrado. Afirma: «Esto puede ayudar a las organizaciones a garantizar que, incluso si su proveedor principal se ve comprometido, mantengan el control sobre la seguridad de sus datos».

En general, los cambios en la IPA parecen ser un ejemplo más de cómo el gobierno busca obtener un mayor control sobre nuestras comunicaciones. Considerados como una medida para reforzar la seguridad nacional y proteger a los ciudadanos y las empresas, estos cambios simplemente aumentan el riesgo de vulneraciones de datos. Al mismo tiempo, las empresas se ven obligadas a dedicar sus ya limitados equipos de TI y sus presupuestos limitados a desarrollar sus propios métodos de cifrado, ya que ya no pueden confiar en las protecciones que ofrecen los proveedores de la nube. En cualquier caso, incorporar el riesgo de las puertas traseras de cifrado es ahora una necesidad absoluta para las empresas.

Nicholas fearn

Nicholas Fearn es un periodista independiente de los valles de Gales. Ha escrito para los principales medios de comunicación como Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost e Insider, así como para publicaciones B2B como Computer Weekly, Computing y IT Pro. Cuando Nic no está escribiendo sobre los últimos dispositivos y tendencias tecnológicas, probablemente esté escuchando la discografía completa de Mariah Carey.

Lea más de Nicholas Fearn

La seguridad cibernética 4 Septiembre 2025

Blog de supervisión de proveedores de violación de datos de Qantas

Violación de datos de Qantas: Por qué la supervisión de los proveedores debe ser una prioridad de cumplimiento

Una reciente violación de datos de Qantas que comprometió la información personal de 5.7 millones de clientes ha puesto de relieve el riesgo cibernético constante que corren...

Nicholas fearn

La seguridad cibernética 16 July 2025

¿Qué significa el aumento del gasto en defensa para el sector de la ciberseguridad?

A medida que las tensiones geopolíticas siguen aumentando a nivel mundial, en 2025 se ha producido un drástico aumento del gasto en defensa, algo sin precedentes desde la Guerra Fría. En los últimos...

Nicholas fearn

La seguridad cibernética 10 de junio de 2025

¿Por qué los reguladores están favoreciendo un enfoque convergente hacia la ciberresiliencia?

Por qué los reguladores favorecen un enfoque convergente para la ciberresiliencia

A medida que el ecosistema digital se expande exponencialmente y los cibercriminales buscan explotar los agujeros de seguridad dentro del mismo, los reguladores continúan aplicando presión...

Nicholas fearn

Cifrado en crisis: las empresas del Reino Unido se enfrentan a una reestructuración de la seguridad con la reforma propuesta a la Ley de Poderes de Investigación.

Mejorando la seguridad pública

Enormes consecuencias para las empresas

Mitigar estos riesgos

Evaluación de estos riesgos

Nicholas fearn

Artículos relacionados

Evaluación del cambio de política de ciberseguridad de Estados Unidos durante la administración Trump

Control continuo en acción: Nuevas actualizaciones de API e integración de IO

Lo que la saga de Deloitte Australia revela sobre los riesgos de gestionar la IA

Lea más de Nicholas Fearn

Violación de datos de Qantas: Por qué la supervisión de los proveedores debe ser una prioridad de cumplimiento

¿Qué significa el aumento del gasto en defensa para el sector de la ciberseguridad?

Por qué los reguladores favorecen un enfoque convergente para la ciberresiliencia