¿Qué es SSE, BYOK y HYOK en tecnología?

¿Qué es SSE, BYOK y HYOK en tecnología?

Los tres conceptos están relacionados con la gestión de las claves criptográficas en los principales proveedores de servicios en la nube (CSP) y los estándares para la seguridad de la información cloud. ¿Cómo trabajan? Aquí te explicamos.

Primero veremos las definiciones. Luego revisaremos en profundidad en qué contexto funcionan. SSE, BYOK y HYOK son clases de claves criptográficas –fundamentales para la encriptación de datos en la nube– según quien las guarda.

SSE –Server-Side Encryption–. En este modelo, el proveedor de servicios en la nube (AWS, Amazon, etc.) es el que guarda las claves para encriptar los datos y podría acceder a ellos (en muy contadas excepciones, pero podría). El nivel de control y seguridad es básico.

BYOK –Bring Your Own Key–. La empresa cliente que quiere guardar su información en la nube de Amazon, AWS o Google, crea su propia clave y la comparte con su proveedor cloud. El control y seguridad mejora. El proveedor podría acceder a la información únicamente por orden de una auditoría o un proceso legal.

HYOK –Hold Your Own Key–. La empresa cliente tiene control total. Crea la clave criptográfica pero no la comparte con el proveedor. Para guardar primero debe encriptar, y para acceder a la información, primero debe desencriptar. El vendor cloud guarda datos que no puede ver. Ofrece nivel máximo de seguridad para la información corporativa más sensible.

Contenido relacionado: Principales tendencias en gestión de costos en la nube para 2026

¿Qué son los proveedores de servicios en la nube (CSP)?

Son plataformas que ofrecen infraestructura, almacenamiento, aplicaciones y herramientas de IA en la nube. Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform, IBM Cloud y Oracle Cloud Infrastructure (OCI) lideran en este mercado.

Muchas compañías prefieren comprar los servicios de estos proveedores y gestionan todo en la nube, asi no deben destinar recursos a mantenimiento de datacenters, ni servidores, por ejemplo. Este modelo es conocido como Platform as a Service (PaaS).

Cuando una compañía sube su información a uno de estos CSP, confía la protección de sus datos al proveedor. La encriptación de datos es fundamental. Cuando una organización sube sus archivos, estos se encriptan y se guardan. Para poder acceder a ellos es indispensable desencriptarlos.

Aquí aparece en escena el concepto de clave criptográfica.

¿Qué son las claves criptográficas?

Son las llaves con las que es posible encriptar o desencriptar los datos. Garantizan la seguridad de la información y en casos de datos muy críticos, pueden ofrecer los más altos niveles de confidencialidad.

Funcionan básicamente en cinco grandes momentos:

  1. Generación. El proveedor de servicios en la nube genera una clave criptográfica única y la comparte con la empresa que sube su información al entorno cloud del CSP.

  2. Cifrado. Los datos son transformados usando esa clave antes de guardarse. La información se almacena solo después de estar encriptada.

  3. Almacenamiento seguro. La clave se guarda en un KMS (Key Management Service), un servicio especializado que actúa como la bóveda de las claves. Las empresas pueden tener diversas claves para distintos tipos de datos, organizados según diferentes estándares.

  4. Descifrado bajo demanda. Cuando un usuario autorizado accede a los datos, el KMS proporciona la clave solo a esa operación, en ese momento. El usuario no tiene acceso a la clave.

  5. Auditoría. Cada uso de la clave queda registrado para tener una completa trazabilidad de los movimientos de la información en el CSP. La visibilidad está garantizada.

Contenido relacionado: La elección de nubes que da forma al planeta

Claves criptográficas según su naturaleza y control

En términos generales las claves criptográficas se pueden catalogar en dos dimensiones. Por su naturaleza o por quién las controla.

Por su naturaleza

  • Claves simétricas. Una misma clave puede encriptar o desencriptar la información. Por su simplicidad es veloz y resulta muy útil para grandes volúmenes de datos. Si alguien llega a interceptarla, podría vulnerar la seguridad.

  • Claves asimétricas. Constan de dos claves. Una pública que se comparte para que cualquier persona en la organización pueda subir su información y encriptarla. La otra es privada y sirve únicamente para desencriptar lo que la clave pública protegió.

  • Claves de sesión. Son temporales y se generan para validar únicamente una operación en un momento específico. Al terminar la transacción la clave queda completamente inhabilitada.

Por quién las controla

  • SSE – Server-Side Encryption. La crea el proveedor, él mismo la guarda y puede acceder sin problemas. Es el nivel más básico de control y se usa mucho para el almacenamiento en la nube. Por lo general se utiliza para guardar datos no tan sensibles.

  • BYOK – Bring Your Own Key. Se puede traducir como ‘Trae tu propia clave’. La empresa cliente genera la clave y la sube al KMS del proveedor cloud que la guarda. Ofrece un nivel de control medio toda vez que la empresa cliente crea su propia ‘key’ y el proveedor podría tener acceso solo en situaciones de auditoría.

  • HYOK – Hold Your Own Key. Se puede traducir como ‘Retén tu propia clave’. Ofrece el máximo nivel de control y seguridad, idóneo para datos confidenciales. El proveedor cloud almacena información cifrada que no puede leer. Para guardar archivos, la empresa cliente primero encripta. Para acceder a ellos primero debe desencriptar. El proveedor queda al margen de estas operaciones.

Un control para cada necesidad

Estos tipos de gestión de claves criptográficas sirven para diversos propósitos, vinculados estrechamente con el nivel de confidencialidad, criticidad o sensibilidad de los datos corporativos.

Muchas empresas pueden utilizar todos los tipos de gestión de claves porque no todos los datos necesitan los mismos estándares de seguridad. De esta manera pueden definir qué información se deja en manos del proveedor (SSE), cuál se encripta desde su lado y se comparte con el vendor (BYOK) y cuál debe mantenerse en control total de la compañía (HYOK).