Computación confidencial: por qué los datos cifrados también deben protegerse durante su procesamiento

Hoy en día, los datos se cifran de forma fiable – tanto en reposo como en tránsito. Sin embargo, durante el procesamiento permanecen sin protección en la memoria RAM. La computación confidencial cierra esta última brecha mediante entornos aislados basados en hardware. Intel SGX, AMD SEV y ARM CCA han convertido este concepto en una solución lista para producción.

En resumen

• La computación confidencial protege los datos en la memoria RAM mediante entornos aislados basados en hardware
• Líderes del mercado: Intel SGX, AMD SEV-SNP y Arquitectura de Computación Confidencial de ARM
• Google, Microsoft y AWS ofrecen máquinas virtuales confidenciales en la nube
• Especialmente relevante para el sector sanitario, la industria financiera y el entrenamiento de inteligencia artificial

La última brecha de cifrado

La criptografía ha resuelto dos de los tres estados: data at rest (cifrado AES-256 en el disco duro) y data in transit (TLS 1.3 sobre la red). Sin embargo, durante el procesamiento, los datos deben descifrarse y residir en la memoria RAM – accesibles para el sistema operativo, el hipervisor y potencialmente para atacantes con acceso root.

La computación confidencial aborda precisamente este problema: mediante entornos de ejecución de confianza basados en hardware (Trusted Execution Environments, TEE), los datos se procesan dentro de entornos aislados (enclaves) a los que ni siquiera el proveedor de servicios en la nube tiene acceso.

Cómo funcionan los entornos aislados basados en hardware

Intel SGX (Software Guard Extensions) reserva áreas de memoria cifradas directamente en el procesador. La clave de cifrado nunca abandona la CPU. Incluso un sistema operativo comprometido es incapaz de leer los datos almacenados dentro del enclave.

AMD SEV-SNP va un paso más allá y cifra toda la memoria asignada a la máquina virtual. Esto hace que la protección sea transparente para las aplicaciones – no se requiere ninguna modificación del código. ARM CCA traslada este concepto a dispositivos móviles y de edge computing.

Ofertas en la nube en comparación

Azure Confidential Computing utiliza Intel SGX y AMD SEV-SNP para ofrecer máquinas virtuales confidenciales y enclaves. Google Cloud ofrece máquinas virtuales confidenciales basadas en AMD SEV. AWS dispone de Nitro Enclaves: un enfoque propio con entornos informáticos aislados.

Para las empresas esto significa: la computación confidencial no es una tecnología del futuro, sino una realidad disponible hoy. La elección de la tecnología depende del caso de uso – enclaves para una máxima aislamiento, máquinas virtuales confidenciales para una migración sencilla.

Casos de uso: dónde la computación confidencial marca la diferencia

En el sector sanitario, esta tecnología permite analizar conjuntamente datos de pacientes procedentes de varios hospitales, sin que los datos brutos abandonen el entorno protegido. En la industria financiera, los modelos de detección de fraude pueden entrenarse con datos de múltiples bancos – aprendizaje automático que preserva la privacidad (Privacy-Preserving Machine Learning).

También resulta transformadora para el entrenamiento de inteligencia artificial con datos sensibles: los modelos pueden entrenarse sobre conjuntos de datos confidenciales sin que el proveedor de servicios en la nube obtenga acceso a los datos utilizados para dicho entrenamiento.

Hechos clave

Volumen de mercado: 5 300 millones de USD hasta 2028 (Everest Group)

Sobrecarga de rendimiento: del 2 al 8 % con AMD SEV-SNP, del 5 al 15 % con Intel SGX

Adopción: más de 40 empresas pertenecen al Confidential Computing Consortium (Linux Foundation)

Preguntas frecuentes

¿Es la computación confidencial lo mismo que el cifrado homomórfico?

No. El cifrado homomórfico permite realizar cálculos sobre datos cifrados únicamente mediante métodos matemáticos – pero es extremadamente lento. La computación confidencial emplea entornos aislados basados en hardware y es lo suficientemente eficiente para cargas de trabajo productivas.

¿Necesito hardware especializado?

Sí, si opera su propia infraestructura. En la nube, los proveedores ponen a disposición dicho hardware – Azure, GCP y AWS ofrecen máquinas virtuales confidenciales que se ejecutan sobre procesadores compatibles.

¿Protege la computación confidencial contra ataques internos?

Sí, este es uno de sus principales beneficios. Incluso los administradores con acceso root al sistema anfitrión son incapaces de leer los datos contenidos en el enclave. Esto incluye también al propio proveedor de servicios en la nube.

Artículos relacionados

• Seguridad multi-nube 2026: los 5 mayores riesgos y cómo resolverlos
• Criptografía poscuántica y Bitcoin: cómo se está configurando la arquitectura de seguridad del futuro
• Criptografía en la vida cotidiana: cómo la tecnología subyacente a Bitcoin inspira al sector de la seguridad

Más contenido de la red MBF Media

• Cloud Magazin – Nube, SaaS e infraestructura TI
• myBusinessFuture – Digitalización, IA y negocio
• Digital Chiefs – Liderazgo estratégico para directivos

Fuente de imagen: Pexels / Markus Spiske

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow