Organizaciones de todos los tamaños han adoptado la transformación digital para desbloquear nuevas líneas de ingresos, operar de forma más eficiente y ofrecer productos y servicios de calidad más rápido que nunca. Las nuevas plataformas informáticas y prácticas de desarrollo -desde la fuerza de trabajo móvil hasta la nube, IoT y DevOps- crean más oportunidades de crecimiento y agilidad.
En consecuencia, la conectividad ha aumentado exponencialmente, superando el perímetro tradicional. Internet se ha convertido en la nueva plataforma operativa, a medida que las organizaciones pasan de entornos de red autónomos y de alta confianza a infraestructuras dispersas de nubes múltiples.
Debido al creciente número de dispositivos y aplicaciones conectados, combinado con las operaciones empresariales en constante cambio de las corporaciones, enormes cantidades de datos empresariales y vitales (en el caso de los dispositivos médicos) pasan a través de millones de puntos de conexión, multiplicando nuestra superficie potencial de ataque.
En este mundo sin fronteras tradicionales ni perímetros de red, ¿cómo establecen la confianza las organizaciones?
El papel de las identidades digitales
La identidad digital es la base de la seguridad en este nuevo paradigma. Los equipos de seguridad deben identificar qué es de confianza y qué no lo es antes de permitir el acceso a datos críticos. Cada usuario, dispositivo y aplicación necesita una identidad digital única para autenticarse y conectarse entre sí de forma segura.
Para ello, las organizaciones utilizan certificados y claves digitales para verificar la autenticidad y cifrar las comunicaciones. Sin embargo, a medida que crece la conectividad, crece también el número de claves y certificados utilizados para proteger estas conexiones y, con ello, la complejidad de su gestión.
Lagunas de seguridad generalizadas
Casi la mitad de las organizaciones utilizan más de 10.000 certificados en su entorno informático. Sin una gestión adecuada, estos activos destinados a generar confianza pueden convertirse con demasiada rapidez en pasivos de riesgo. Las claves privadas comprometidas que se utilizan para firmar código o descifrar datos confidenciales pueden ser "utilizadas como arma" por los atacantes para distribuir malware o robar datos, mientras que los certificados caducados pueden hacer caer aplicaciones de misión crítica, incluso redes enteras.
Cada vez más empresas han sido víctimas de fallos relacionados con certificados que han afectado a millones de sus usuarios finales. Sin embargo, los certificados desconocidos o caducados no sólo hacen caer los sistemas, sino que también crean puntos ciegos en la red que dejan a las organizaciones vulnerables a las infracciones. El ejemplo más obvio es la brecha de Equifax, que pasó desapercibida durante meses debido a un único certificado caducado.
El robo y uso indebido de claves también ha causado importantes daños a las empresas. Este mismo año, se han hecho públicas dos graves filtraciones. En ambos casos, los atacantes accedieron a claves privadas mal protegidas para distribuir malware a miles de dispositivos (en el caso de ASUS) o comprometer la confianza de los clientes (en el caso de NordVPN).
Si bien es fácil señalar estos pocos ejemplos, las brechas de seguridad subyacentes que causaron estos incidentes están generalizadas en la mayoría de las organizaciones hoy en día. Según un Informe Ponemon de 2019, el 74% de las organizaciones afirman que los certificados han causado y siguen causando tiempos de inactividad o interrupciones no planificadas. Además, el robo y uso indebido de claves de servidor y certificados afectará al 39 % de las organizaciones en los próximos dos años.
Pero, ¿por qué esta situación empeora en lugar de mejorar?
Multiplicación de riesgos y desafíos
A pesar de los avances en la contenedorización, la nube y IoT, la mayoría de los administradores de infraestructuras de clave pública (PKI) siguen implantando y gestionando certificados con métodos anticuados. El seguimiento manual de los certificados en hojas de cálculo o mediante secuencias de comandos personalizadas puede haber sido suficiente para la infraestructura estática de los años 90, pero los entornos modernos son ágiles y automatizados. La mayoría de las organizaciones simplemente no cuentan con el personal, los procesos y la tecnología necesarios para suministrar, actualizar y revocar certificados de forma eficaz a la velocidad y escala que su negocio requiere ahora.
Los ciclos de vida más cortos de los certificados impulsados por los mandatos del sector y la infraestructura escalable al instante introducen nuevos retos, multiplicando la carga de trabajo de los equipos de TI y seguridad por dos o tres en muchos casos. Un mosaico de hojas de cálculo, PKI interna y autoridades de certificación (CA) públicas genera ineficacia y riesgo de interrupción o incumplimiento debido a errores humanos.
No basta con mantenerse al día con los vencimientos de los certificados. Los algoritmos criptográficos de los que dependemos hoy en día quedarán obsoletos algún día, si no por los cambios en las normas del sector, sí por los avances de la informática cuántica, que podrían hacer vulnerables incluso las claves y algoritmos más potentes. Encontrar y sustituir algoritmos a gran escala será problemático para la mayoría, teniendo en cuenta que las organizaciones han tardado años en abandonar los algoritmos MD5 y SHA1.
Una gestión criptográfica y de PKI eficaz también requiere el conjunto adecuado de conocimientos y recursos especializados, pero los equipos de seguridad luchan por encontrarlos y retenerlos. Sólo el 39% de las organizaciones afirma contar con suficiente personal de seguridad informática dedicado a la implantación de PKI. No es de extrañar que en los últimos años hayamos asistido a un brote de incidentes relacionados con certificados y claves.
¿La transformación digital está dejando expuesta a su empresa?
Como responsables de TI y seguridad, estamos inundados de historias sobre brechas de seguridad. Nuestros canales de noticias están tan llenos de artículos y mensajes que nos hemos vuelto insensibles a ellos. Sin embargo, está claro que los cambios en el panorama informático han dejado a nuestras organizaciones más expuestas que nunca.
Obtenga más información sobre cómo protegen las empresas sus identidades digitales en 2020. Lea el Informe 2020 Keyfactor-Ponemon Institute para averiguar cómo se encuentra su organización.