Los mayores cortes de suministro de certificados de 2023 y lo que podemos aprender de ellos

Las organizaciones dependen de la PKI, las claves criptográficas y los certificados digitales para conectar de forma segura a más usuarios, máquinas y aplicaciones que nunca en su entorno de TI. Sin embargo, las empresas tienen cada vez más dificultades para gestionar su creciente panorama de PKI e identidades de máquinas. 

La concienciación sobre los desafíos relacionados con los certificados no siempre se traduce en su resolución, como revela el Informe de Keyfactor de 2023 sobre el estado de la gestión de identidades de máquinas:

• El apoyo a nivel ejecutivo para la gestión de identidades de máquinas está aumentando... sin embargo, más organizaciones afirman que la gestión de claves y certificados ha incrementado la carga operativa de sus equipos. 
• Más organizaciones afirman tener una estrategia madura de gestión de identidades a nivel de toda la organización... sin embargo, más organizaciones también dicen no saber exactamente cuántas claves y certificados poseen.
• Reducir la complejidad de la PKI y prevenir las interrupciones relacionadas con los certificados son las principales prioridades para la gestión de identidades de máquinas... sin embargo, la organización promedio utiliza nueve soluciones diferentes de PKI y autoridad de certificación.

Estas complicaciones aumentan la probabilidad de interrupciones relacionadas con los certificados y tiempos de inactividad. Tales interrupciones comprometen la marca en la mente de los clientes y resultan en costes de remediación significativos. 

Con la explosión de identidades digitales y certificados dentro de la organización promedio, gestionar cientos de miles de certificados no es tarea fácil. 

En 2023, observamos que incluso las empresas más sofisticadas encuentran desafiante la gestión de certificados. Estos fallos ofrecen lecciones sobre cómo las organizaciones pueden comprender y prevenir las interrupciones relacionadas con los certificados y gestionar mejor su PKI.

En julio, una interrupción de certificados inhabilitó Microsoft Teams, Outlook y otros servicios. Aunque Microsoft encontró y solucionó el problema en pocos minutos, los usuarios experimentaron interrupciones durante varias horas. 

Tras una investigación adicional, se descubrió que el certificado TLS alemán de sharepoint.de había sido añadido incorrectamente al dominio principal sharepoint.com. 

Aunque este incidente no es en absoluto un desastre, demuestra lo fácil que es cometer un error con los certificados. Eliminar la gestión de certificados de las manos humanas en la medida de lo posible reduce la posibilidad de error humano. A medida que las organizaciones buscan optimizar la gestión de certificados, deberían buscar automatizar al máximo.

En abril, los satélites Starlink de SpaceX sufrieron una interrupción durante varias horas, afectando a usuarios de todo el mundo. El CEO de SpaceX, Elon Musk, recurrió a Twitter/X para citar un 'certificado de estación terrestre caducado' como la causa. 

Más específicamente, los expertos especularon que el certificado caducado era un certificado TLS, lo que habría provocado que un sitio web o una aplicación basada en la web quedara fuera de línea. Musk lamentó que esta 'vulnerabilidad de punto único' fuera 'inexcusable'.

Tiene razón. Para empezar, la organización promedio mantiene más de un cuarto de millón de certificados en cualquier momento. Solo se necesita que un certificado no rastreado caduque para detener las operaciones.  

Por otro lado, las empresas de Musk se posicionan como disruptoras. Starlink alcanzó el millón de usuarios en 2022. En la batalla por convencer a la gente de que confíe en una nueva forma de hacer las cosas, interrupciones como esta pueden ralentizar la adopción, dañar la marca y causar interrupciones significativas mientras tanto. 

En 2021, Microsoft rediseñó su aplicación Reloj para Windows 11, añadiendo una integración con Spotify que reproduce canciones perfectas para un trabajo profundo y concentrado. Spotify incluso seleccionó algunas listas de reproducción centradas en la productividad para enriquecer la experiencia de integración.

Pero en febrero de 2023, la función dejó de funcionar y permaneció inactiva durante meses. Los usuarios ya no podían vincular sus cuentas de Spotify a la aplicación Reloj. Después de que los usuarios se quejaran en los foros de soporte tanto de Spotify como de Microsoft, Spotify identificó un problema. 

Debido a un certificado caducado, el encabezado oATH que se enviaba a la API de Spotify ya no era válido. En otras palabras, el error recaía en Microsoft.

Esto debería haber sido una solución rápida, y los usuarios estaban frustrados por la persistencia del problema.

Este incidente demuestra cómo una interrupción por certificado puede comprometer el éxito de una nueva funcionalidad o integración.

En nuestro mundo de servicios digitales, es fácil olvidar que la creación de cualquier nuevo servicio conlleva cierto grado de mantenimiento —certificados, en este caso—. Al lanzar nuevas ofertas, las organizaciones deben pensar más allá de su implementación y disponer los recursos necesarios para mantener las funcionalidades operativas a largo plazo.

A partir de ahí, es el momento de profundizar en la configuración de seguridad real. Para ello, es necesario:

En enero de 2023, unos intrusos obtuvieron acceso no autorizado a algunos de los repositorios de código de GitHub y robaron certificados de firma de código para las aplicaciones GitHub Desktop y Atom. Si los certificados robados hubieran sido descifrados, los atacantes podrían haber creado versiones maliciosamente alteradas de la aplicación y hacerlas pasar por actualizaciones oficiales de GitHub. 

Afortunadamente, los certificados de firma de código de GitHub estaban protegidos con contraseña, por lo que no se produjo ningún daño. GitHub simplemente revocó los certificados robados y publicó nuevas versiones de las aplicaciones equipadas con certificados nuevos. 

Nvidia sufrió un ataque similar en 2022, en el que el grupo de hackers Lapsus$ filtró los certificados de firma de código de Nvidia para que otros actores maliciosos pudieran utilizarlos para firmar malware. 

La agilidad criptográfica de GitHub resultó fundamental para evitar tal desastre. Hoy en día, los ciberataques no son una cuestión de “si”, sino de “cuándo”. Las organizaciones deben elaborar planes para contener las amenazas tanto como para prevenirlas, de modo que, cuando se produzca un ataque, puedan detectar y subsanar el problema sin afectar a los usuarios.

En mayo, los certificados del Hardware SD-WAN Viptela y Meraki de Cisco caducaron, afectando a más de 20.000 clientes. Los certificados caducados interrumpieron la nube, el almacenamiento de datos, las herramientas de comercio electrónico y otros servicios. 

Los certificados y el Hardware fueron heredados por Cisco cuando la empresa adquirió Viptela en 2017. Los certificados llevaban cuatro años de una vida útil de diez años, pero parece que Cisco no previó su caducidad. 

Parece que Cisco tardó en solucionar el problema, lo que un usuario de Reddit bromeó que era “lo más típico de Cisco”.

Incluso en 2024, no existe una forma de integrar sin problemas un sistema con otro adquirido en un contexto post-fusión. Hay muchísimas variables, configuraciones y permisos que tener en cuenta —el estado de los ciclos de vida de los certificados es uno de ellos—.

Encontrar un certificado no contabilizado en su propio entorno ya es bastante difícil. Encontrarlo en un entorno adquirido y desconocido es aún más complicado. Este incidente muestra los riesgos de la actividad de fusiones y adquisiciones (M&A), así como el beneficio de una solución de gestión de certificados automatizada y centralizada.

Quizás sea tanto un consuelo como una advertencia que las interrupciones por certificados les ocurran a algunas de las empresas más innovadoras del mundo. Casi con toda seguridad, podemos esperar más interrupciones en 2024.

Las interrupciones relacionadas con certificados son un subproducto de la falta de visibilidad y control sobre el panorama de certificados de una organización. Cuando las organizaciones automatizan el descubrimiento de certificados y los rastrean a través de un centro unificado, las interrupciones por certificados simplemente dejarán de ser una amenaza. 

¿Listo para saber cómo su organización puede poner fin a las interrupciones disruptivas este año? Póngase en contacto con nosotros — nuestro equipo está listo para ayudarle.