Este artículo fue publicado originalmente por Spiceworks News & Insights el 29 de julio de 2022.
La gestión centralizada de las identidades de las máquinas y la criptografía son fundamentales para garantizar la seguridad de las operaciones en un entorno empresarial cada vez más digital y peligroso. En este artículo en dos partes, Ted Shorter, CTO, Keyfactor, analiza las tendencias más significativas en criptografía este año.
La criptografía es la base del mundo digital. Hoy en día, muchas empresas son negocios digitales que utilizan la tecnología para vender, interactuar con los clientes y llevar a cabo sus operaciones cotidianas. Para estas empresas, la criptografía y la infraestructura de clave pública (PKI) son esenciales para establecer la confianza que las empresas necesitan en sus infraestructuras de TI y soluciones de productos. En medio de una creciente ola de ciberataques cada vez más sofisticados, como los sufridos por SolarWinds y Kaseya, la PKI es una defensora incondicional de las estrategias de confianza cero. Al proporcionar identidades digitales únicas para usuarios, dispositivos y aplicaciones, vincular los permisos asignados a la identidad de una entidad y proporcionar una autenticación de usuario sólida, PKI protege los datos confidenciales y asegura las comunicaciones de extremo a extremo.
A medida que el número de identidades digitales, controles de acceso, requisitos de firma de código y relaciones de confianza que mantienen las empresas crece exponencialmente, la PKI y la criptografía desempeñarán un papel fundamental en la visibilidad de las organizaciones modernas y la gestión de identidades de máquinas, especialmente a medida que los ataques aumentan en sofisticación y gravedad. Para hacer frente a los retos de seguridad actuales y, al mismo tiempo, prever y planificar las necesidades futuras, será necesario que las empresas sigan de cerca los cambios que afectan a sus necesidades empresariales y criptográficas.
Con este telón de fondo, estas son las tendencias más significativas en criptografía que podemos esperar para lo que queda de 2022.
Predicción 1: Habrá que erradicar los silos de PKI para lograr la gobernanza
Para las empresas que persiguen objetivos de seguridad de confianza cero, la revisión de la gobernanza PKI es una necesidad. Hoy en día, cada vez hay más interrupciones causadas por certificados caducados, como se ha visto en las recientes interrupciones de Fortinet, Shopify y otras grandes empresas. La visibilidad y el control centralizados sobre las diversas aplicaciones de identidades de máquinas de una organización y la PKI que se encuentra detrás de ellas son cruciales para lograr el control de acceso necesario para el cumplimiento normativo y la ciberseguridad empresarial.
Para ello, las empresas están invirtiendo en PKI para gestionar sus certificados, realizando una consolidación de PKI y migrando varias PKI dispares a una única solución multiusuario, como EJBCA. Sin embargo, aunque estos enfoques están ganando popularidad, la realidad es que los silos de PKI persistirán en las grandes organizaciones. Esto se debe a que los procesos manuales de gestión de certificados no han seguido el ritmo de evolución de los entornos de TI. A medida que las empresas siguen desplegando más identidades de máquina, la gobernanza de la PKI se convierte inevitablemente en un silo, lo que pone en peligro a las organizaciones.
Según Pulse Research y Keyfactor, el 96% de los ejecutivos de seguridad informática afirman que la PKI es esencial para implantar una arquitectura de confianza cero. De ahí que la gestión centralizada de la PKI y de las identidades de máquinas que gobiernan proporcionará la visibilidad necesaria para hacer de esto una realidad. Esto abarca desde la autenticación de la identidad de cada usuario y dispositivo en la red y el cifrado de todos los datos en tránsito por la organización hasta el mantenimiento de la integridad de los datos que entran y salen de los usuarios/dispositivos.
Predicción 2. La visibilidad completa y la gestión proactiva de certificados serán esenciales para la confianza cero
La carrera hacia la transformación digital ha introducido un nuevo conjunto de retos de seguridad. Con un número exponencial de identidades de máquinas creadas cada día, los equipos de TI y seguridad se esfuerzan por gestionar los certificados de seguridad vinculados a esas identidades. A medida que las empresas sigan digitalizándose, la gestión proactiva de certificados será aún más esencial. Sin una gestión adecuada de los certificados y las identidades de máquina, las organizaciones corren el riesgo de sufrir interrupciones masivas, entre otras consecuencias perjudiciales.
Además, las organizaciones luchan por decidir cómo manejar la PKI y la gestión de las identidades de las máquinas. Hoy en día, existe una plétora de opciones para obtener certificados de firma de código, y también hay muchas más identidades entre usuarios, dispositivos y aplicaciones en las que es necesario implantar certificados para dar fe de la legitimidad de un usuario final. La continua evolución de los entornos informáticos hace que los certificados PKI se apliquen de muchas maneras y en diversos entornos. Los servidores web, por ejemplo, necesitan certificados de una autoridad de certificación (CA) pública, mientras que la gestión de identidades internas depende de una CA privada. Además, los certificados digitales utilizados en las prácticas DevOps tienen ciclos de vida cortos, mientras que los certificados del sitio web SSL tienen una vida más larga.
Aunque se espera que la estrategia de una organización incluya la obtención de certificaciones de múltiples fuentes, es esencial tener una visibilidad completa sobre estos sistemas. Esto es especialmente crítico para mantener la seguridad en un entorno de nube altamente distribuido.
Predicción 3: La criptografía poscuántica gana adeptos
La capacidad de la computación cuántica para descifrar los actuales algoritmos de cifrado asimétrico supone una seria amenaza para la PKI, la seguridad de la capa de transporte (TLS), las redes privadas virtuales (VPN) y otros muchos sistemas. Aunque aún faltan años para que los ordenadores cuánticos sean capaces de romper la criptografía clásica, no cabe duda de que se están produciendo los primeros avances. Es probable que surjan durante el ciclo de vida de las soluciones que se están desarrollando hoy en día.
Para hacer frente a este problema, se están desarrollando nuevos algoritmos criptográficos post-cuánticos (PQC). Estos nuevos algoritmos se basan en problemas que conservan su complejidad asimétrica frente a la computación cuántica, lo que resulta esencial para asegurar los algoritmos frente a un ataque cuántico. Aunque hace tiempo que se habla de PQC en ciertos círculos, el esfuerzo de años que el Instituto Nacional de Estándares y Tecnología (NIST) anunció en 2015 le ha dado credibilidad.
Aunque el NIST anunció recientemente sus selecciones de la Ronda 3 para la normalización, no se esperan normas definitivas hasta 2024. Tras la adopción de algoritmos normalizados, se modificarán los protocolos y formatos estándar para utilizar los nuevos algoritmos. Luego vendrán las implementaciones de esos algoritmos y protocolos en conjuntos de herramientas criptográficas (por ejemplo, Bouncy Castle, OpenSSL) y sistemas operativos (Windows, macOS, Android, iOS), seguidas del uso de esos algoritmos por productos que utilicen esos conjuntos de herramientas o sistemas operativos, como navegadores web, clientes de correo electrónico y dispositivos IoT .
Luego vendrán la adquisición y el despliegue de esos nuevos productos y sistemas operativos que utilizan esos nuevos algoritmos y protocolos. Por último, los despliegues de esas implementaciones deben alcanzar una "masa crítica" en los ecosistemas en los que operan esos productos. De nada sirve desplegar un nuevo algoritmo o protocolo si los productos o dispositivos del sistema de una organización no lo admiten. En total, este proceso puede durar entre cuatro y más de veinte años a partir de 2024.
Dicho esto, las empresas pueden empezar a crear soluciones de PQC basadas en el proyecto de normas, que sentará las bases para que los desarrolladores se preparen para futuros avances. Con las normas oficiales, el PQC cobrará sentido y se generalizará su aceptación e inclusión en reglamentos y normas de cara al futuro. Para prepararse para el PQC, las organizaciones deben inventariar todas sus claves y algoritmos y crear un plan basado en la automatización para actualizarlos.
Aunque no se produzca el PQC, los algoritmos y claves que utilizamos hoy no serán seguros en el futuro. Lo sabemos porque los que utilizábamos hace 15-20 años no se consideran seguros hoy en día. Independientemente de lo que nos depare el futuro, las organizaciones nunca deben diseñar sistemas que utilicen criptografía de forma estática.
En la segunda parte de esta serie, nos sumergiremos en las tendencias restantes que están surgiendo en el espacio de la criptografía. Permanece atento para saber más sobre cómo se generalizará la criptoagilidad y por qué el sector empezará a ver una mayor adopción de las normas de seguridad como directrices a medida que se acerque la computación cuántica.
