Cuando un certificado caduca de forma inesperada, el impacto es inmediato. Las aplicaciones dejan de funcionar. Los servicios dirigidos a los clientes dejan de funcionar. Los equipos de ingeniería se apresuran a diagnosticar qué ha fallado y, a menudo, pasan horas investigando el origen de una interrupción del servicio hasta dar con un único certificado caducado o mal configurado.
Estos incidentes no son casos aislados. Son consecuencias previsibles de la forma en que la mayoría de las organizaciones gestionan los certificados hoy en día: de forma manual, en sistemas fragmentados y sin una visibilidad centralizada. Y resultan muy costosos.
Un estudio independiente de Forrester sobre el impacto económico total (que ya presentamos en nuestra primera entrada de esta serie, «El coste real de la PKI: cuánto le cuesta realmente a su organización la gestión de certificados») reveló que una empresa tipo, basada en las organizaciones entrevistadas para el estudio, sufría entre 18 y 22 incidentes relacionados con certificados al año, y que cada incidente suponía un coste medio de 100 000 dólares en pérdida de productividad, trastornos para los clientes y repercusiones en los ingresos.
La buena noticia es que estas interrupciones se pueden evitar. En este artículo se analizan las causas fundamentales, se desglosa el riesgo financiero y se muestra cómo las organizaciones están eliminando el tiempo de inactividad relacionado con los certificados mediante la visibilidad y la automatización.
¿Qué provoca las interrupciones del servicio relacionadas con los certificados?
Las interrupciones en el servicio de certificados rara vez se deben a un único fallo. Son el resultado de una acumulación de deficiencias en materia de visibilidad, procesos y coordinación. La mayoría de los incidentes se pueden clasificar en tres patrones.
Certificados caducados de los que nadie sabía que iban a caducar
La causa más habitual de una interrupción en el servicio de certificados es también la más sencilla: un certificado ha caducado porque nadie lo estaba supervisando. Los 18 a 22 incidentes relacionados con certificados que se producen al año se deben principalmente a las carencias de visibilidad en los grandes entornos de certificados distribuidos.
Son demasiadas las organizaciones que no disponen de un inventario fiable de todos los certificados de su entorno. Como describió uno de los participantes en el seminario web: «La mayoría de las organizaciones no saben realmente cuántos certificados tienen, no saben dónde se encuentran ni quién es el responsable de ellos».
Cuando los certificados se encuentran dispersos entre distintos equipos, servidores, entornos en la nube y aplicaciones, sin un sistema de seguimiento centralizado, los problemas derivados de la caducidad de algunos de ellos no son una cuestión de «si» se producirán, sino de «cuándo».
Un responsable de seguridad del sector minorista recordó cómo era la situación antes de la gestión centralizada: «Antes de Keyfactor, se producían varias interrupciones al año que requerían mucho trabajo de resolución de problemas y tareas manuales».
Instalación incorrecta del certificado
Incluso cuando los equipos detectan un certificado a punto de caducar, el propio proceso de renovación conlleva riesgos. La implementación manual de certificados es propensa a errores, sobre todo en entornos complejos con múltiples dependencias y destinos de implementación.
Una empresa de telecomunicaciones describió claramente este patrón: «Incluso cuando los usuarios renovaban manualmente sus certificados, no conseguían instalarlos correctamente. Se les pasaba por alto algún elemento o alguna [dependencia] y se producía una interrupción del servicio».
Los errores de instalación fueron un problema recurrente en todas las organizaciones analizadas por Forrester. El problema no es que los equipos carezcan de competencia, sino que la implementación manual a gran escala da lugar a demasiadas posibilidades de error humano.
La «TI en la sombra» y la visibilidad fragmentada
En muchas organizaciones, la gestión de certificados está descentralizada por defecto. Cada equipo se encarga de obtener y gestionar sus propios certificados utilizando sus propias herramientas y procesos, sin que exista coordinación a nivel de toda la organización.
El estudio de Forrester lo describía de forma directa: «Algunos equipos mantenían sus propias herramientas y procesos, lo que dificultaba aún más la visibilidad del panorama de los certificados y contribuía a aumentar el riesgo de seguridad».
Esta fragmentación genera puntos ciegos. Los certificados emitidos al margen de una gestión centralizada resultan, en la práctica, invisibles para los equipos de seguridad. El vicepresidente sénior de una entidad bancaria explicó que se sentía «bastante nervioso antes de tener una visibilidad completa de su entorno de certificados, al no saber qué certificados había que desconocían».
Los certificados «en la sombra» constituyen la categoría de mayor riesgo en lo que respecta a las interrupciones del servicio relacionadas con los certificados, ya que, por definición, nadie los supervisa.
Cuánto cuestan realmente las interrupciones en el servicio de certificados
Las interrupciones en el servicio de certificados acarrean costes que van mucho más allá del tiempo que se tarda en restablecer el servicio. El riesgo financiero es considerable y cuantificable.
100 000 dólares por incidente (y esa es la media)
El estudio de Forrester cuantificó el coste medio de un incidente relacionado con certificados en 100 000 dólares, lo que incluye la pérdida de productividad de los empleados, la interrupción del servicio al cliente y el impacto en los ingresos. Para las organizaciones que suelen sufrir decenas de incidentes de este tipo al año, la exposición acumulada es considerable.
A lo largo de tres años, el valor actual ajustado al riesgo de los costes relacionados con los incidentes ascendió a 3,6 millones de dólares para el conjunto de la organización. Y estas cifras representan valores medios. En el caso de las organizaciones de sectores en los que el tiempo de inactividad conlleva sanciones normativas o contractuales, el coste por incidente puede ser considerablemente mayor.
Una empresa de telecomunicaciones estimó que el coste de una sola interrupción grave del servicio ascendía a «cientos de miles por hora o más».
Como resumió un directivo de la empresa: «La rentabilidad de la inversión en Keyfactor increíblemente alta. Probablemente se trate de millones de dólares al año gracias a la reducción de las interrupciones [en los certificados]».
Cómo las organizaciones están reduciendo los incidentes en un 95 %
La conclusión más llamativa del estudio de Forrester no es la magnitud del problema, sino la rapidez con la que las organizaciones lo resolvieron. Tras implementar Keyfactor, la organización de referencia redujo los incidentes relacionados con los certificados en un 85 % durante el primer año, en un 90 % durante el segundo y en un 95 % durante el tercero.
Un responsable de seguridad del sector minorista declaró: «En el último año, o en los últimos cinco años, solo hemos tenido un caso [de certificado caducado] con un tiempo de inactividad mínimo».
Estas reducciones son el resultado de abordar directamente las causas fundamentales. La detección centralizada elimina las lagunas de visibilidad que permiten que los certificados caduquen sin que nadie se dé cuenta. Las renovaciones automatizadas eliminan el error humano del proceso de renovación. La implementación automatizada garantiza que los certificados se instalen de forma correcta y completa. Obtén más información sobre el proceso de implementación y automatización en la entrada n.º 4: «Modernización de la PKI en meses, no en años: una guía práctica para una implementación rápida».
Cuando todos los certificados están visibles, todas las renovaciones se realizan de forma automática y todas las implementaciones se validan, las causas de las interrupciones del servicio dejan de repetirse.
El riesgo de seguridad que no se ve
Las interrupciones en el servicio de los certificados provocan tiempos de inactividad. Pero los certificados también generan vulnerabilidades de seguridad que son más difíciles de detectar y que pueden resultar más perjudiciales.
Los certificados como vectores de ataque
El estudio de Forrester reveló que aproximadamente el 5 % de los incidentes de seguridad relacionados con ataques externos o internos están vinculados a vulnerabilidades en los certificados. En el caso de las organizaciones analizadas, esto supuso un coste acumulado de 5,086 millones de dólares, con una probabilidad de que se produjeran de un 68 %.
En términos anualizados, esto supone un riesgo de seguridad relacionado con los certificados de aproximadamente 96 800 dólares. Tras implementar Keyfactor, las organizaciones redujeron esta exposición en un 50 %, lo que supuso un beneficio anual ajustado al riesgo de aproximadamente 41 000 dólares y un valor actual a tres años de 102 000 dólares.
Estas cifras representan un mínimo conservador, más que un máximo. La metodología de Forrester aplica un ajuste a la baja en función del riesgo para tener en cuenta la variabilidad. En el caso de las organizaciones que operan en sectores regulados o que gestionan datos confidenciales de clientes, es probable que el valor real en materia de seguridad que aporta la gestión centralizada de certificados sea significativamente mayor.
Ventajas en materia de cumplimiento normativo y auditoría
La visibilidad centralizada de los certificados no solo evita las interrupciones del servicio y reduce la superficie de ataque, sino que también transforma la experiencia en materia de cumplimiento normativo y auditorías.
Cuando todos los certificados se inventarían, se controlan y se gestionan desde una única plataforma, los auditores pueden verificar el estado de los certificados en una fracción del tiempo. El estudio de Forrester reveló que los procesos de auditoría ganaron un 30 % en eficiencia tras Keyfactor .
Esto cobra cada vez más importancia a medida que se endurecen los marcos normativos. Tanto la norma PCI DSS 4.0 como la DORA y la Ley de Ciberresiliencia de la UE imponen requisitos en materia de gestión de activos criptográficos y gobernanza de certificados. Las organizaciones que carecen de una visibilidad centralizada se enfrentan a una carga de auditoría cada vez mayor y a un riesgo de incumplimiento normativo.
Un vicepresidente sénior del sector bancario describió el valor estratégico general: la visibilidad que Keyfactor prepara a su organización para la era poscuántica, proporcionándole un inventario claro de todos los activos criptográficos antes de que comience la transición a algoritmos a prueba de computación cuántica.
Un responsable de seguridad del sector minorista destacó la dimensión operativa: un panel de control centralizado que ofrece visibilidad de los certificados en todos los países, lo que permite una gestión coherente a escala mundial.
Cómo Keyfactor ayudarte Keyfactor
La plataforma Keyfactoraborda cada una de las causas fundamentales descritas en esta entrada:
- Descubre y realiza un inventario de todos los certificados.
Keyfactor Command ofrece una vista unificada de todas las autoridades de certificación, entornos en la nube y puntos finales de la red. Se acabaron los certificados ocultos y los puntos ciegos. - Automatiza las renovaciones para evitar que caduquen.
La gestión automatizada del ciclo de vida de los certificados elimina la causa más habitual de las interrupciones del servicio: los certificados que caducan porque nadie llevaba un control de ellos. - Automatiza la implementación para evitar errores de instalación.
El aprovisionamiento y la implementación automatizados eliminan los pasos manuales, lo que evita los errores de configuración que provocan interrupciones del servicio incluso tras una renovación correcta. Obtén más información sobre la automatización a gran escala en la entrada n.º 3: Automatización del ciclo de vida de los certificados: cómo gestionar los certificados a escala empresarial - Mejora el nivel de seguridad y la preparación para las auditorías.
La gestión centralizada refuerza la seguridad criptográfica, reduce la superficie de ataque y hace que la verificación del cumplimiento normativo sea mucho más eficiente.
Descarga el estudio completo «Total Economic Impact» de Forrester para conocer la metodología completa y las conclusiones detalladas en las que se basan estos resultados.
¿Tienes alguna pregunta? Tenemos las respuestas.
¿Cuál es el coste medio de una interrupción del servicio relacionada con los certificados?
Un estudio independiente de Forrester reveló que el coste medio de un incidente relacionado con los certificados asciende a 100 000 dólares, teniendo en cuenta la pérdida de productividad de los empleados, las molestias causadas a los clientes y el impacto en los ingresos. En los sectores en los que existen sanciones contractuales o normativas, el coste por incidente puede ser considerablemente mayor.
¿Cuántas interrupciones del servicio relacionadas con los certificados sufren las organizaciones al año?
El estudio de Forrester documentó entre 18 y 22 incidentes relacionados con certificados al año en una organización basada en el modelo de las empresas entrevistadas. Estos incidentes se debieron principalmente a certificados caducados, errores de instalación y una visibilidad fragmentada del conjunto de certificados.
¿Cuáles son las principales causas de las interrupciones en el servicio de certificados?
Hay tres causas fundamentales que explican la mayoría de los incidentes: certificados que caducan porque nadie realizaba un seguimiento de ellos, una instalación incorrecta durante la renovación manual y certificados «en la sombra» gestionados al margen de un control centralizado. Las tres son problemas de visibilidad y de procesos, no fallos tecnológicos.
¿Con qué rapidez pueden las organizaciones reducir las interrupciones en el servicio de certificados?
Las organizaciones que han implantado Keyfactor los incidentes relacionados con los certificados en un 85 % durante el primer año, en un 90 % durante el segundo año y en un 95 % al llegar al tercer año. Esta mejora se debe a la detección, renovación e implementación automatizadas, que eliminan las causas fundamentales de las interrupciones del servicio.
¿Cómo suponen las vulnerabilidades de los certificados un riesgo para la seguridad?
Aproximadamente el 5 % de los incidentes de seguridad relacionados con ataques externos o internos se deben a vulnerabilidades en los certificados. Los certificados caducados, mal configurados o sin control pueden suponer una puerta de entrada para los atacantes. La gestión centralizada de certificados reduce este riesgo al garantizar que todos los certificados sean visibles, estén actualizados y se gestionen adecuadamente.
¿Qué marcos normativos exigen la gestión de certificados?
Tanto la norma PCI DSS 4.0 como la DORA y la Ley de Ciberresiliencia de la UE incluyen requisitos relacionados con la gestión de activos criptográficos y la gobernanza de certificados. La visibilidad centralizada de los certificados y la automatización de su ciclo de vida ayudan a las organizaciones a cumplir estos requisitos, al tiempo que reducen la carga de las auditorías en aproximadamente un 30 %.
¿Cómo Keyfactor las interrupciones en el servicio de certificados?
Keyfactor Command detecta y cataloga todos los certificados de todas las autoridades de certificación, entornos en la nube y dispositivos finales. La gestión automatizada del ciclo de vida se encarga de las renovaciones y la implementación, eliminando los procesos manuales que provocan la gran mayoría de las interrupciones del servicio. Las organizaciones obtienen una única fuente de información fiable para todo su parque de certificados.
¿Cuál es el retorno de la inversión (ROI) que supone evitar las interrupciones en el servicio de certificados?
Solo la reducción de incidentes supone un valor actual, ajustado al riesgo, de 3,6 millones de dólares en un plazo de tres años. Si a ello se suman las mejoras en la seguridad (102 000 dólares de valor actual) y el ahorro operativo más amplio que se recoge en nuestro análisis de costes, el retorno de la inversión total de la modernización de la PKI alcanza el 356 %.
