Saltar al contenido
>_ITDITDPlataforma de seguridad web

Glosario

Qué es la criptografía de clave pública — cifrar y firmar con un par de claves

La criptografía de clave pública usa un par de claves pública + privada: la clave pública cifra y verifica firmas, la clave privada descifra y firma. Explicamos cómo sustenta TLS (HTTPS), las firmas digitales y las passkeys — y las defensas prácticas: no inventes tu propia criptografía y protege la clave privada.

Publicado 2026-07-04 Actualizado 2026-07-04 4 min de lectura

«Clave pública» y «clave privada» aparecen por todas partes — TLS (HTTPS), firmas digitales, passkeys. Aquí no hay pasos de ataque: solo la idea de la criptografía de clave pública y las defensas prácticas que conviene conocer.

Los papeles de la clave pública y la privada

Las claves vienen en par, con papeles opuestos — ese es todo el sentido.

pública
Segura de compartir. Cifra / verifica firmas
privada
Solo la posee el titular. Descifra / crea firmas
si se filtra
Una clave privada filtrada permite suplantación/descifrado → revócala y reemítela de inmediato
La clave pública es segura de repartir. Lo que la clave pública cierra, solo lo abre la clave privada correspondiente. Las firmas funcionan en sentido inverso.

Para qué se usa

Cifrado (intercambio privado)

  • cifra con la clave pública del destinatario
  • solo el poseedor de la clave privada correspondiente puede descifrar
  • en TLS, se usa para compartir de forma segura una clave simétrica

Firmas digitales (probar autenticidad)

  • el emisor firma con su clave privada
  • el receptor verifica con la clave pública — identidad + integridad
  • se usa para certificados TLS, distribución de software, autenticación con passkey

El TLS (HTTPS) real es híbrido: la criptografía de clave pública comparte de forma segura una clave simétrica y luego el cifrado simétrico rápido protege el resto. Las passkeys firman con una clave privada guardada en tu dispositivo y verifican con la clave pública del servidor — autenticación resistente al phishing.

Qué hacer bien

1

No inventes tu propia criptografía

Aunque la teoría sea correcta, los detalles de implementación la rompen — calidad de la aleatoriedad, relleno, tiempos. Usa protocolos estándar y bibliotecas probadas; evita las implementaciones a medida.

2

Protege la clave privada

Mantén las claves privadas fuera del código y de los repositorios. Aíslalas en un keystore / gestor de secretos, y organiza todo para poder revocar y reemitir (rotar) en caso de filtración (→ mantén los secretos fuera de directorios públicos).

3

Mantén la longitud de clave y los algoritmos al día

Las recomendaciones cambian con el tiempo. No dejes longitudes de clave antiguas ni algoritmos obsoletos en su sitio. Renueva certificados automáticamente con Let's Encrypt y similares.

La visión de este sitio: la tarea del usuario es gestionar las claves

La criptografía de clave pública en sí es fuerte — rara vez hace falta romperla. Los incidentes reales no van de matemáticas, sino de dónde vive la clave privada, si puedes revocarla y los ajustes obsoletos que se dejan en su sitio. Este sitio aísla las claves privadas fuera de la superficie pública y las rota ante cualquier sospecha de filtración, tratándola como «doy por hecho que se leyó». No inventes tu propia criptografía; súbete a los estándares — es el atajo más seguro.

Sigue leyendo

FAQ

Q¿En qué se diferencia la criptografía de clave pública de la simétrica (clave compartida)?
A

La criptografía simétrica usa la misma clave para cifrar y descifrar — es rápida, pero tienes que hacer llegar esa clave a la otra parte de forma segura. La criptografía de clave pública usa un par pública + privada, y la clave pública puede compartirse con cualquiera. En la práctica TLS (HTTPS) es híbrido: la criptografía de clave pública comparte de forma segura una clave simétrica y luego el grueso de los datos se protege con el cifrado simétrico, que es rápido.

Q¿Cómo demuestra una firma digital que algo es auténtico?
A

El emisor crea una firma sobre los datos con su clave privada, y el receptor la verifica con la clave pública del emisor. Como solo el titular posee la clave privada, una verificación correcta significa 'el poseedor de esa clave pública lo firmó, y el contenido no fue manipulado'. Los certificados TLS y la autenticidad de la distribución de software se apoyan en este mecanismo de firma.

Q¿Puedo implementar mi propia criptografía?
A

Evítalo. Aunque la teoría sea correcta, los detalles de implementación la rompen — aleatoriedad débil, relleno (padding), diferencias de tiempo. La regla es 'no inventes la tuya; usa bibliotecas probadas y protocolos estándar'. Diseña cómo se generan, almacenan y revocan (rotan) las claves, y mantén las longitudes de clave y los algoritmos en las recomendaciones vigentes.