Cumplimiento normativo2 min de lectura

Cifrado AES-256 en datos clínicos: qué es y por qué importa

Explicación práctica de cómo funciona AES-256, por qué es el estándar para datos clínicos en reposo y qué debe tener tu EDC para cumplir.

TR

Trialinx

Equipo editorial Trialinx

AES-256 en una frase

AES-256 es el estándar de cifrado simétrico de 256 bits publicado por NIST (FIPS 197) en 2001. La clave es tan larga que un ataque de fuerza bruta tardaría miles de millones de años con todo el cómputo del planeta. Es el cifrado que usa la NSA para su información Top Secret.

Por qué importa en clínica

Los datos clínicos son categoría especial bajo el RGPD y PHI bajo HIPAA. Una fuga impacta directamente en la privacidad del sujeto y en la responsabilidad del investigador. No proteger con AES-256 (o equivalente) los datos en reposo es, en 2026, un fallo que ni los CEIm ni las auditorías pasan por alto.

Dónde se aplica en un EDC

Un buen EDC aplica AES-256 en al menos tres capas:

  • Base de datos en reposo: los ficheros físicos del disco están cifrados. Un atacante que robe el disco no obtiene nada.
  • Backups: los snapshots heredan el mismo cifrado.
  • Backups de backups: incluso los archivados a largo plazo mantienen el cifrado.

En Trialinx esto se consigue vía Neon Postgres (AES-256 al nivel de storage) combinado con TLS 1.2+ en tránsito.

Lo que AES-256 no resuelve

  • No protege contra errores de configuración (permisos mal asignados, logs con PHI).
  • No protege contra credenciales robadas (por eso 2FA).
  • No protege contra inyección SQL (por eso ORM con parámetros).
  • No protege contra auditoría deficiente (por eso audit trail).

Cifrado fuerte + controles operativos + audit trail = cumplimiento real.

Preguntas al evaluar un EDC

  1. ¿Qué algoritmo de cifrado en reposo? (AES-256 es el mínimo).
  2. ¿Quién gestiona las claves? (Proveedor cloud con KMS certificado SOC 2).
  3. ¿Se rotan las claves? ¿Con qué frecuencia?
  4. ¿Los backups heredan el cifrado?
  5. ¿El cifrado está documentado en su paquete para CEIm?

Si cualquiera de estas no tiene respuesta clara, cambia de proveedor.

Conclusión

AES-256 es el piso, no el techo. Cualquier EDC serio debe cumplirlo. Ver Cumplimiento HIPAA en Trialinx y RGPD en ensayos clínicos para los controles concretos que aplicamos.

#cifrado#seguridad#AES-256

¿Te gustaría probar Trialinx?

Plan gratuito con 1 estudio, 15 formularios y 10 sujetos. Sin tarjeta.

Crear cuenta gratisVer características

Artículos relacionados

Cumplimiento normativo

Consentimiento informado digital: ventajas y requisitos legales

Cómo implementar un consentimiento informado digital (eConsent) cumpliendo con RGPD, HIPAA y 21 CFR Parte 11.

Cumplimiento normativo

Integridad de datos en investigación clínica: principios ALCOA+

Los 9 principios ALCOA+ de integridad de datos, qué exige cada uno a tu EDC y cómo documentarlo para inspecciones.

Cumplimiento normativo

21 CFR Parte 11: guía para investigadores españoles

Qué exige 21 CFR Parte 11, cuándo aplica a estudios conducidos fuera de EEUU y cómo cumplirlo sin sobredimensionar tu EDC.