La mayoría de las organizaciones siguen dependiendo de implementaciones heredadasde infraestructura de clave pública (PKI)que se crearon para unos pocos casos de uso en una época más sencilla. Sistemas como los Servicios de Certificados de Active Directory de Microsoft (AD CS) se diseñaron para dar soporte a aplicaciones internas, no a la explosión de cargas de trabajo en la nube, IoT , procesos de DevOps e identidades de máquina que caracterizan a las TI empresariales actuales.
La modernización de la PKI es el proceso de sustitución o actualización de una infraestructura PKI obsoleta para satisfacer las exigencias actuales y futuras en materia de confianza digital, escalabilidad y automatización. No se trata de un proceso de sustitución total. Es un cambio estratégico hacia una gestión de certificados flexible, escalable y automatizada que se adapta al modo en que las organizaciones operan realmente en la actualidad.
En esta entrada se exponen cinco razones por las que la modernización de la PKI merece un lugar en tu plan de seguridad, junto con las señales de alerta que indican que tu infraestructura actual podría estar quedando obsoleta.
Señales de que tu PKI necesita una actualización
Antes de analizar las razones para modernizar, conviene identificar los síntomas de una implementación de PKI que ha superado su diseño original. Hay tres patrones que suelen repetirse una y otra vez.
Infraestructura obsoleta que no puede seguir el ritmo
Las implementaciones de PKI que en un principio se pusieron en marcha para una o dos aplicaciones internas se han extendido ahora a un número de usuarios, dispositivos y entornos mucho mayor del que se había previsto inicialmente. Sistemas como Microsoft CA integraciones con herramientas modernas, ofrecen capacidades de automatización limitadas y son propensos a sufrir errores de configuración a lo largo de su prolongada vida útil. Cuando un certificado de CA raíz tiene una vigencia de hasta 25 años, el panorama tecnológico que lo rodea acabará inevitablemente por superar al propio sistema.
La proliferación de certificados y las PKI en la sombra
Cuando la PKI centralizada no puede satisfacer la demanda, los equipos crean sus propias autoridades de certificación sin coordinarse con otros equipos, por no hablar de los departamentos de TI o de seguridad. El resultado son certificados sin control, políticas de seguridad incoherentes e interrupciones inesperadas que salen a la luz durante las auditorías. Según el informe «Estado de la gestión de identidades de máquina 2023», solo el 47 % de las empresas cuenta con personal suficiente dedicado a su PKI. Esa falta de personal agrava el problema de la proliferación, ya que los equipos resuelven sus necesidades inmediatas sin los conocimientos necesarios para tener en cuenta las implicaciones a largo plazo.
Déficits de competencias y falta de claridad en cuanto a la responsabilidad
La PKI suele pasar de un equipo a otro sin que quede claro quién es el responsable. Los conocimientos especializados necesarios para gestionarla son difíciles de encontrar y aún más difíciles de retener, sobre todo cuando la infraestructura de la PKI debe mantenerse durante décadas. La mayoría de las organizaciones carecen del personal especializado necesario para gestionar todo el ciclo de vida de una CA raíz, desde la implantación inicial hasta las renovaciones de certificados, las actualizaciones de políticas y su eventual retirada del servicio.
Razón n.º 1: Opciones de implementación flexibles para entornos híbridos y multinube
En lo que respecta a la PKI, no existe una solución única válida para todos. Las implementaciones heredadas encadenan a las organizaciones a arquitecturas locales rígidas que no pueden adaptarse a las operaciones híbridas y multinube. A medida que las cargas de trabajo se desplazan entre entornos, una plataforma PKI que solo funciona en un único servidor local se convierte en un cuello de botella en lugar de en una base sólida.
Las soluciones PKI modernas ofrecen una flexibilidad de implementación que se adapta al modo en que las organizaciones operan realmente. Tanto si necesitas una PKI basada en la nube (SaaS o PKI como servicio), dispositivos locales o configuraciones híbridas que combinen ambas opciones, la plataforma adecuada se adapta a tu infraestructura, en lugar de obligar a tu infraestructura a adaptarse a ella.
Esta flexibilidad resulta fundamental en varios escenarios. Las migraciones a la nube requieren una infraestructura de clave pública (PKI) que funcione de forma nativa en AWS, Azure o entornos multinube. Las fusiones y adquisiciones introducen nuevas infraestructuras de autoridades de certificación (CA) que deben integrarse rápidamente. Los equipos con diferentes requisitos normativos o de seguridad pueden necesitar autoridades de certificación aisladas que, no obstante, se integren en un marco de gobernanza centralizado.
EJBCA, la plataforma PKI Keyfactor, es compatible con esta variedad de modelos de implementación, disponibles como SaaS, en la nube,Appliance Software ,Appliance Hardware o PKI gestionada como servicio. El 48 % de las organizaciones que señalan los servicios basados en la nube como un factor determinante para la implementación de PKI (Informe sobre el estado de la gestión de la identidad de las máquinas de 2023) necesitan una plataforma diseñada para esa realidad.
Razón n.º 2: Compatibilidad con casos de uso modernos en el ámbito del IoT, DevOps y la nube
Los entornos de TI actuales van mucho más allá de la infraestructura tradicional de Microsoft. Los desarrolladores esperan disponer de certificados que se puedan utilizar a través de una API. Los fabricantes necesitan certificados integrados en la línea de producción.IoT requieren una autenticación seguraa gran escala; las cargas de trabajo en contenedores exigen certificados de corta duración emitidos y renovados automáticamente; y las aplicaciones nativas de la nube requieren una infraestructura de clave pública (PKI) que se integre con las plataformas de orquestación y los procesos de CI/CD.
Una PKI moderna debe ser lo suficientemente adaptable y ampliable como para gestionar miles de operaciones de certificados por segundo en estos entornos tan diversos. Esto implica ser compatible con protocolos como SCEP, ACME, EST y CMP, además de contar con API REST robustas que permitan a los equipos de desarrollo integrar la emisión de certificados directamente en sus flujos de trabajo.
Los sistemas PKI heredados no se diseñaron para una gama tan amplia de casos de uso. Por lo general, admiten un conjunto limitado de protocolos, carecen de arquitecturas basadas en API y requieren intervención manual para operaciones que, en los entornos modernos, se espera que se realicen de forma automática. Modernizar tu PKI significa adaptarse a los casos de uso tal y como son, en lugar de obligar a todos los equipos a trabajar dentro de las limitaciones de un sistema diseñado para otra época.
Las organizaciones que utilizan Microsoft CA una plataforma PKI moderna pueden realizar la migración de forma gradual. Este modelo de coexistencia permite a los equipos dar respuesta a nuevos casos de uso con herramientas modernas, al tiempo que se mantienen los flujos de trabajo existentes durante la transición, lo que reduce el riesgo y permite que el calendario de la migración se adapte al grado de preparación de la organización, en lugar de a una fecha de transición impuesta.
Razón n.º 3: Escalabilidad que crece al ritmo de tu negocio
Las arquitecturas PKI heredadas imponen límites estrictos a la escalabilidad. Sistemas como Microsoft CA diseñados para ejecutar una autoridad de certificación (CA) por servidor, sin soporte integrado para la multitenencia ni la alta disponibilidad. A medida que aumenta el volumen de certificados y surgen nuevos casos de uso, esta arquitectura se vuelve cada vez más compleja y costosa de mantener.
Las soluciones PKI modernas eliminan esas limitaciones. Las organizaciones pueden poner en marcha nuevas autoridades de certificación (CA) en cuestión de minutos, agrupar en clúster los componentes de la PKI para garantizar una alta disponibilidad y escalar para gestionar millones o incluso miles de millones de certificados. Ya sea que se implemente como SaaS, como servicios gestionados o como infraestructura autohospedada, una plataforma moderna crece al ritmo de la empresa en lugar de limitarla.
El ahorro de costes es cuantificable.Un estudio de «Total Economic Impact» de Forresterreveló que Keyfactor lograron una reducción del 95 % en los costes de la infraestructura PKI al consolidar los sistemas heredados en una plataforma moderna. Esa reducción no solo se debe a la eliminación hardware licencias redundantes, sino también a la eficiencia operativa obtenida al dejar de necesitar equipos dedicados que gestionen una infraestructura fragmentada para la administración de la PKI.
Razón n.º 4: Infraestructura de CA simplificada y consolidada
Los entornos PKI empresariales tienden a expandirse sin control con el paso del tiempo. A medida que los distintos equipos adoptan soluciones puntuales para diferentes casos de uso, el resultado es un panorama fragmentado caracterizado por autoridades de certificación (CA) dispares, políticas incoherentes y costes crecientes. Según Keyfactor , las grandes organizaciones suelen encontrarse gestionando nueve o más infraestructuras PKI diferentes, cada una con su propia carga administrativa, su propio marco normativo y su propio perfil de riesgo.
La gestión de la PKI a gran escalarequiere una consolidación. Modernizar la PKI significa integrar estas herramientas dispares en una plataforma centralizada que garantice una gobernanza y un control coherentes, reduzca el coste total de propiedad y ofrezca una visión única de todo el panorama de certificados.
Muchas organizaciones formalizan esta consolidación a través de un Centro de Excelencia en Criptografía (CCoE), un equipo multifuncional que establece las normas de la PKI, coordina las decisiones de implementación y garantiza que las prácticas de gestión de certificados se ajusten a la política de seguridad general. Una plataforma PKI moderna respalda este modelo al proporcionar la visibilidad centralizada y la aplicación de políticas que un CCoE necesita para funcionar de manera eficaz.
Razón n.º 5: Automatización y «criptoagilidad» de cara al futuro
La gestión manual de los certificados mediante hojas de cálculo y recordatorios de calendario es insostenible. Los ciclos de vida de los certificados son cada vez más cortos, los volúmenes aumentan y las consecuencias de un certificado caducado o mal configurado (interrupciones del servicio, auditorías fallidas, brechas de seguridad) son demasiado graves como para dejarlas en manos de procesos manuales.
Las soluciones PKI modernas combinan la emisión de certificados con la automatización de su ciclo de vida: detección, renovación, provisión y revocación en todas las autoridades de certificación (CA) del entorno. La capa de automatización del ciclo de vida de los certificados ofrece a las organizaciones una plataforma única para detectar, gestionar y automatizar los certificados, independientemente de la autoridad de certificación emisora.
Igualmente importante es la «criptoagilidad», es decir, la capacidad de añadir o cambiar de proveedor de CA a medida que cambian las necesidades y de adoptar nuevos estándares criptográficos sin tener que reconstruir la infraestructura. La criptoagilidad no es una cuestión teórica. La transición a la criptografía poscuántica (PQC) ya está en marcha, y el NIST está ultimando su primer conjunto de algoritmos poscuánticos. Las organizaciones que modernizan su PKI hoy en día incorporan la flexibilidad necesaria para pasar a algoritmos resistentes a la computación cuántica a medida que los estándares maduran, en lugar de tener que enfrentarse más adelante a una revisión costosa y con plazos ajustados.
Cómo Keyfactor ayudarte Keyfactor
Keyfactor líder mundial en confianza digital y seguridad a prueba de la computación cuántica, y ofrece una plataforma unificada para la infraestructura de clave pública (PKI) y la automatización del ciclo de vida de los certificados. Tanto si las organizaciones necesitan implementar la PKI en la nube, en sus propias instalaciones o mediante una arquitectura híbrida, EJBCA ofrece la flexibilidad, la escalabilidad y la compatibilidad con protocolos necesarios para modernizarse sin interrupciones.
En combinación con Keyfactor Command para la gestión del ciclo de vida de los certificados, las organizaciones disponen de una única plataforma para emitir, gestionar y automatizar los certificados en todo su entorno. Las soluciones Keyfactorcuentan con la confianza de empresas de todo el mundo y cumplen con las normas del sector, entre las que se incluyen la ISO 27001, la ISO 9001, los Criterios Comunes y la SOC 2 Tipo II.
Principales conclusiones
- La PKI heredada es un lastre.
Los sistemas diseñados para unos pocos casos de uso internos no pueden hacer frente a los volúmenes actuales de certificados, las cargas de trabajo en la nube ni el ritmo de DevOps. - La flexibilidad en la implementación es imprescindible.
Una PKI moderna debe funcionar en entornos en la nube, locales e híbridos sin limitaciones arquitectónicas. - Los casos de uso actuales exigen protocolos modernos.
IoT, DevOps y las aplicaciones nativas en la nube requieren una PKI basada en API que sea compatible con ACME, EST, SCEP y CMP. - La escalabilidad reduce los costes y la complejidad.
La consolidación de una infraestructura de CA fragmentada en una plataforma moderna genera un ahorro cuantificable (una reducción de hasta el 95 % en los costes de la infraestructura PKI). - La automatización y la «criptoagilidad» te preparan para el futuro.
La automatización del ciclo de vida de los certificados elimina los riesgos derivados de las tareas manuales, mientras que la «criptoagilidad» prepara a las organizaciones para la transición a la criptografía poscuántica.
La modernización de la PKI no es solo una actualización tecnológica. Se trata de una inversión estratégica en confianza digital, eficiencia operativa y resiliencia a largo plazo. Las organizaciones que se modernicen hoy serán las que estén mejor preparadas para lo que venga después.
¿Tienes dudas sobre la modernización de la PKI? Tenemos las respuestas.
P: ¿Qué es la modernización de la PKI?
La modernización de la PKI es el proceso de sustitución o actualización de una infraestructura de clave pública heredada para satisfacer las exigencias actuales en materia de escalabilidad, automatización, compatibilidad con la nube y agilidad criptográfica. Por lo general, implica la migración desde soluciones de CA obsoletas, como Microsoft AD CS, a una plataforma PKI moderna y flexible.
P: ¿Por qué debería mi organización modernizar su PKI?
Los sistemas PKI heredados carecen de la escalabilidad, las integraciones y las capacidades de automatización necesarias para las cargas de trabajo en la nube, IoT y los flujos de trabajo de DevOps actuales. La modernización reduce la complejidad, disminuye los costes y refuerza la seguridad en toda la organización.
P: ¿Puedo modernizar mi PKI sin interrumpir las operaciones actuales?
Sí. Las soluciones PKI modernas están diseñadas para funcionar en paralelo con sistemas heredados como Microsoft CA, lo que permite a las organizaciones realizar una migración gradual. Podrás dar respuesta a nuevos casos de uso con una plataforma moderna, al tiempo que mantienes los flujos de trabajo actuales durante la transición.
P: ¿Cuál es la diferencia entre la modernización de la PKI y la PKI como servicio?
La modernización de la PKI es una iniciativa más amplia que consiste en actualizar la infraestructura de la PKI. La PKI como servicio (PKIaaS) es una opción de implementación dentro de esa iniciativa, en la que un proveedor de confianza gestiona y opera la PKI en nombre del cliente, lo que reduce la carga interna que suponen el mantenimiento y la necesidad de contar con conocimientos especializados.
P: ¿Qué relación hay entre la modernización de la PKI y la criptografía poscuántica?
La modernización de la PKI aporta «criptoagilidad», es decir, la capacidad de adaptarse rápidamente a los nuevos estándares criptográficos. Esto permite a su organización realizar la transición a los algoritmos poscuánticos a medida que estos maduran, sin necesidad de reconstruir la infraestructura desde cero.
P: ¿Qué debo tener en cuenta a la hora de elegir una solución PKI moderna?
Entre los criterios clave se incluyen opciones de implementación flexibles (en la nube, en las propias instalaciones, híbridas), amplia compatibilidad con protocolos (ACME, EST, SCEP, CMP), escalabilidad para gestionar grandes volúmenes de certificados, automatización del ciclo de vida de los certificados y cumplimiento de normas del sector como la ISO 27001 y SOC 2.
P: ¿Cuánto tiempo se tarda en modernizar una PKI?
El plazo varía en función del tamaño y la complejidad de la organización. Algunas organizaciones obtienen resultados iniciales en cuestión de semanas utilizando opciones de SaaS o de PKI gestionada. La modernización completa, incluida la migración de los sistemas heredados y la implantación de la automatización, puede llevar varios meses, pero puede llevarse a cabo de forma gradual.
P: ¿Cuánto cuesta la modernización de la PKI?
Los costes dependen del modelo de implementación y de la escala. Un estudio de «Total Economic Impact» de Forrester reveló que Keyfactor lograron una reducción del 95 % en los costes de la infraestructura PKI. Las opciones de SaaS y gestionadas eliminan una parte significativa de los gastos generales hardware personal en comparación con el mantenimiento interno de los sistemas heredados.
