Bring Your Own Key: control empresarial del cifrado

Nota: Este artículo describe la arquitectura y el diseño de Mandraki. Algunas de las funcionalidades comentadas se están desplegando de forma progresiva y pueden no estar disponibles aún en todos los planes.

Para muchos equipos de seguridad empresarial, el cifrado es una condición necesaria pero no suficiente. La pregunta crítica no es si los datos están cifrados, sino quién custodia las claves. Si el proveedor de la plataforma controla las claves de cifrado, entonces el proveedor — o cualquiera que pueda obligar al proveedor — puede descifrar los datos. El cifrado existe, pero el cliente no lo controla realmente.

La funcionalidad Bring Your Own Key (BYOK) de Mandraki aborda esto de manera directa. Permite a las organizaciones aportar sus propias claves de cifrado, garantizando que el control criptográfico permanezca en todo momento en manos del cliente.

La jerarquía de claves de tres capas

Para entender BYOK, conviene comprender la arquitectura general de cifrado de Mandraki. Utilizamos un modelo de cifrado de sobre con tres capas.

En la capa superior se sitúa la Master Key, que protege todo lo que hay por debajo. En un despliegue estándar, Mandraki genera y gestiona esta clave. En un despliegue BYOK, la aporta el cliente.

La segunda capa la componen las Organisation Keys: una por organización. Cada Org Key se cifra (se envuelve) con la Master Key y se almacena en la base de datos en su forma envuelta. Cuando se necesita, la Org Key se desenvuelve en memoria, se utiliza y se descarta. Las claves desenvueltas se mantienen en una caché LRU en memoria con un tiempo de vida de cinco minutos por rendimiento, pero nunca se escriben en disco ni se almacenan en Redis.

La tercera capa la componen las Data Encryption Keys (DEKs), una por propósito: mensajes, archivos, grabaciones y transcripciones. Cada DEK se envuelve con la Org Key de su organización. La DEK es la que realmente cifra y descifra los datos mediante AES-256-GCM.

Este enfoque por capas significa que rotar una clave en un nivel no exige volver a cifrar todos los datos por debajo. Rotar la Org Key requiere reenvolver las DEKs, pero no volver a cifrar cada mensaje. Rotar una DEK significa que los datos nuevos se cifran con la nueva clave, mientras que los datos antiguos siguen siendo legibles con la DEK antigua (marcada como rotada pero conservada).

Cómo funciona BYOK en la práctica

Cuando una organización habilita BYOK, aporta su Master Key a través de un proceso de importación seguro. Mandraki acepta una clave AES de 256 bits proporcionada por un canal seguro. La organización es responsable del ciclo de vida, la copia de seguridad y la disponibilidad de la clave. Para organizaciones con sus propios HSMs o infraestructura de gestión de claves, la clave puede generarse externamente e importarse en Mandraki.

El principio es sencillo: Mandraki nunca genera ni almacena la raíz de la jerarquía de claves. Lo hace el cliente. Si el cliente revoca o retiene su clave, Mandraki ya no puede descifrar ningún dato de esa organización. El texto cifrado permanece en la base de datos, pero queda inerte.

Críticamente, todo el proceso de gestión de claves ocurre dentro de infraestructura soberana de la UE. No hay dependencias de servicios de gestión de claves no europeos: ni proveedores externos de KMS en nube, ni llamadas a APIs de terceros países. Sus claves de cifrado permanecen bajo su control, dentro de las fronteras europeas.

Las implicaciones de revocar la clave

Aquí es donde BYOK se convierte en un control de seguridad genuinamente poderoso, y donde las organizaciones deben comprender claramente las consecuencias.

Si revoca su clave BYOK, todos los datos cifrados de su organización se vuelven permanentemente inaccesibles. Los mensajes no se pueden leer. Los archivos adjuntos no se pueden descargar. Las grabaciones de llamadas no se pueden reproducir. Las transcripciones no se pueden recuperar. Esto es así por diseño: es la esencia misma de BYOK.

Esta capacidad es particularmente relevante para sectores regulados. Una firma de servicios financieros sujeta a DORA puede demostrar a los reguladores que conserva la capacidad de hacer inaccesibles todos los datos de colaboración si fuera necesario. Una organización sanitaria puede asegurar que las comunicaciones adyacentes a pacientes estén controladas criptográficamente. Un organismo público puede aplicar políticas de ciclo de vida de los datos mediante la gestión de claves en lugar de confiar en los procesos de borrado de un proveedor.

BYOK y funcionalidades de IA

Las funcionalidades de IA de Mandraki — transcripción, resumen, respuestas inteligentes y análisis de grabaciones — requieren acceso en el servidor al texto plano. Cuando una organización con BYOK utiliza funcionalidades de IA, el pipeline de procesamiento descifra los datos usando la jerarquía de claves de la organización, los procesa a través de nuestros modelos de IA (ejecutados íntegramente dentro de infraestructura de la UE) y vuelve a cifrar los resultados con la DEK de la organización.

No obstante, las organizaciones con BYOK quedan automáticamente restringidas a la retención transitoria de datos de IA. Esto significa que el texto plano existe en memoria solo durante el procesamiento y no se persiste en disco. Las salidas generadas por IA (transcripciones, resúmenes) se cifran con las claves de la organización antes de su almacenamiento, garantizando que queden bajo la misma protección BYOK que los datos de origen.

Si la organización revoca posteriormente su clave BYOK, las salidas de IA cifradas quedan inaccesibles junto con todo lo demás.

Rotación de claves

BYOK no implica claves estáticas. Las organizaciones deberían rotar sus claves con regularidad, y Mandraki da soporte a ello mediante un proceso sencillo.

Cuando se rota una Org Key, se genera una nueva Org Key y se envuelve con la Master Key actual (o la clave BYOK). Las DEKs existentes se reenvuelven con la nueva Org Key. La Org Key antigua se marca como rotada y se conserva en forma envuelta para acceder a datos históricos. Los datos nuevos utilizan DEKs nuevas envueltas con la nueva Org Key.

El proceso de rotación no es disruptivo. Los usuarios no experimentan interrupción alguna y los datos históricos siguen siendo accesibles a través de la cadena de claves conservada.

Quién debería usar BYOK

BYOK añade complejidad operativa. El cliente pasa a ser responsable de la disponibilidad de la clave: si la clave se pierde y no hay copia de seguridad, los datos se han perdido permanentemente. Esto es una característica, no un defecto, pero requiere prácticas maduras de gestión de claves.

Recomendamos BYOK para organizaciones que cuentan con equipos de seguridad dedicados con experiencia en gestión de claves, operan en sectores regulados donde el control criptográfico es un requisito de cumplimiento, necesitan la capacidad de cortar criptográficamente el acceso a sus datos, o tienen una inversión existente en HSMs o infraestructura de gestión de claves.

Para las organizaciones que no necesitan este nivel de control, el cifrado estándar de Mandraki — en el que nosotros gestionamos la Master Key — ofrece una protección robusta con menor sobrecarga operativa. Ambos modos utilizan el mismo cifrado subyacente AES-256-GCM y la misma jerarquía de claves de tres capas. La única diferencia es quién controla la cúspide del árbol.