Los mayores cortes de suministro de certificados de 2023 y lo que podemos aprender de ellos

Las organizaciones confían en la PKI, las claves criptográficas y los certificados digitales para conectar de forma segura a más usuarios, máquinas y aplicaciones que nunca en su entorno de TI. Sin embargo, las empresas tienen cada vez más dificultades para gestionar su creciente panorama de PKI e identidades de máquinas. 

La concienciación sobre los retos relacionados con los certificados no siempre se traduce en su resolución, ya que Keyfactorde 2023 sobre la gestión de la identidad de las máquinas revela:

• Aumenta el apoyo de los ejecutivos a la gestión de identidades automáticas... pero cada vez son más las organizaciones que afirman que la gestión de claves y certificados ha aumentado la carga operativa de sus equipos. 
• Cada vez son más las organizaciones que afirman contar con una estrategia de gestión de identidades madura para toda la organización... pero también son más las que afirman no saber exactamente cuántas claves y certificados tienen.
• Reducir la complejidad de la PKI y evitar las interrupciones relacionadas con los certificados son las principales prioridades para la gestión de identidades de máquinas... sin embargo, la organización media utiliza nueve soluciones de PKI y autoridades de certificación diferentes.

Estas complicaciones aumentan la probabilidad de interrupciones relacionadas con certificados y tiempos de inactividad. Estas interrupciones comprometen la marca en la mente de los clientes y dan lugar a importantes costes de reparación.

Con la explosión de identidades digitales y certificados en la organización media, gestionar cientos de miles de certificados no es tarea fácil. 

En 2023, vimos que incluso las empresas más sofisticadas encuentran difícil la gestión de certificados. Estos fallos ofrecen lecciones sobre cómo las organizaciones pueden comprender y prevenir las interrupciones relacionadas con los certificados y gestionar mejor su PKI.

En julio, una interrupción de certificados inhabilitó Microsoft TeamsOutlook y otros servicios. Aunque Microsoft detectó y solucionó el problema en pocos minutos, los usuarios sufrieron interrupciones durante varias horas.

Tras una investigación posterior, se descubrió que el certificado sharepoint.de alemán TLS se había añadido incorrectamente al dominio principal sharepoint.com. 

Aunque este incidente no es en absoluto un desastre, demuestra lo fácil que es cometer un error con los certificados. Eliminar la gestión de certificados de las manos humanas en la medida de lo posible reduce la posibilidad de que se produzcan errores humanos. A medida que las organizaciones tratan de racionalizar la gestión de certificados, deben intentar automatizar todo lo posible.

En abril, los satélites Starlink de SpaceX se cayeron durante varias horas, afectando a usuarios de todo el mundo. Elon Musk, consejero delegado de SpaceX, citó en Twitter/X un "certificado de estación terrestre caducado" como causa.

Más concretamente, los expertos especularon con que el certificado caducado era un certificado TLS , que habría provocado la desconexión de un sitio web o una aplicación basada en la web. Musk llegó a lamentar que esta "vulnerabilidad de un solo punto" era "inexcusable".

Tiene razón. Por un lado, la organización promedio mantiene más de un cuarto de millón de certificados en un momento dado. Basta con que caduque un certificado sin seguimiento para que se paralicen las operaciones.

Por otro lado, todas las empresas de Musk se posicionan como disruptoras. Starlink alcanzó el millón de usuarios en 2022. En la batalla por convencer a la gente de que confíe en una nueva forma de hacer las cosas, interrupciones como esta pueden ralentizar la adopción, dañar la marca y causar importantes trastornos mientras tanto. 

En 2021, Microsoft rediseñó su aplicación Reloj para Windows 11, añadiendo una integración de Spotify que reproduce canciones que son perfectas para un trabajo profundo y concentrado. Spotify incluso ha creado algunas listas de reproducción centradas en la productividad para enriquecer la experiencia de integración.

Pero en febrero de 2023, la función se cayó y permaneció caída durante meses. Los usuarios ya no podían vincular sus cuentas de Spotify a la aplicación Reloj. Después de que los usuarios se quejaran en los foros de soporte de Spotify y Microsoft, Spotify identificó un problema.

Debido a un certificado caducado, la cabecera oATH que se enviaba a la API de Spotify ya no era válida. En otras palabras, el error cayó del lado de Microsoft.

Esto debería haber sido una solución rápida, y los usuarios se sintieron frustrados por el tiempo que persistió el problema.

Este incidente muestra cómo una interrupción del certificado puede envenenar el pozo de una nueva función o integración.

En nuestro mundo de servicios digitales, es fácil olvidar que la creación de cualquier servicio nuevo conlleva cierto grado de mantenimiento: certificados, en este caso. Al lanzar nuevas ofertas, las organizaciones deben pensar más allá de su lanzamiento y organizar los recursos necesarios para que las funciones sigan funcionando a largo plazo.

A partir de ahí, es hora de profundizar en la configuración de seguridad real. Para ello, es necesario:

En enero de 2023, intrusos obtuvieron acceso no autorizado a algunos de los repositorios de código de GitHub y robaron certificados de firma de código para las aplicaciones Desktop y Atom de GitHub. Si se descifraban los certificados robados, los atacantes podían crear versiones maliciosamente alteradas de la aplicación y hacerlas pasar por actualizaciones oficiales de GitHub.

Afortunadamente, los certificados de firma de código de GitHub estaban protegidos por contraseña, por lo que no se produjo ningún daño. GitHub simplemente revocó los certificados robados y publicó nuevas versiones de las aplicaciones equipadas con certificados nuevos. 

Nvidia sufrió un ataque similar en 2022en el que el grupo de hackers Lapsus$ filtró los certificados de firma de código de Nvidia para que otros actores maliciosos pudieran utilizarlos para firmar malware.

La agilidad criptográfica demostró ser fundamental para evitar tal desastre. Hoy en día, los ciberataques no son una cuestión de "si", sino de "cuándo". Las organizaciones deben hacer planes para contener las amenazas tanto como para prevenirlas, de modo que cuando se produzca un ataque, puedan detectar y remediar el problema sin afectar a los usuarios.

En mayo caducaron los certificados de Viptela y Meraki SD-WAN de Cisco hardware afectando a más de 20.000 clientes. Los certificados caducados interrumpieron la nube, el almacenamiento de datos, las herramientas de comercio electrónico y otros servicios.

Cisco heredó los certificados y hardware cuando la empresa compró Viptela en 2017. A los certificados les quedaban cuatro años de vida útil, pero parece que Cisco no anticipó su caducidad. 

Parece que Cisco tardó en solucionar el problema, que un Redditor bromeó diciendo que era "lo más Cisco de la historia".

Incluso en 2024, no hay forma de integrar a la perfección un sistema con otro adquirido en un contexto posterior a la fusión. Hay que tener en cuenta muchas variables, configuraciones y permisos, y el estado de los ciclos de vida de los certificados es una de ellas.

Encontrar un certificado desconocido en su propio entorno ya es bastante difícil. Encontrarlo en un entorno desconocido y adquirido es aún más difícil. Este incidente muestra los riesgos de las fusiones y adquisiciones, así como las ventajas de una solución de gestión de certificados centralizada y automatizada. solución de gestión de certificados automatizada y centralizada.

Quizás sea a la vez un consuelo y una advertencia que las interrupciones de los certificados afecten a algunas de las empresas más innovadoras del mundo. Es casi seguro que veremos más interrupciones en 2024.

Las interrupciones relacionadas con los certificados son un subproducto de la falta de visibilidad y control sobre el panorama de certificados de una organización. Cuando las organizaciones automatizan el descubrimiento de certificados y los rastrean a través de un centro unificado, las interrupciones de certificados simplemente dejan de ser una amenaza. 

¿Está listo para saber cómo su organización puede poner fin a las interrupciones de servicio este año? Póngase en contacto con nosotros: nuestro equipo está listo para ayudarle.