«No podemos proteger lo que no conocemos». Esta verdad tan repetida cala hondo entre los CISO cuando se trata de certificados digitales, claves de cifrado e identidades de máquinas. Muchas brechas o interrupciones del servicio se remontan a un certificado o activo criptográfico desconocido, olvidado o no gestionado que acecha en algún lugar de un complejo entorno de TI. Por eso, la primera etapa del plano de control de confianza es el descubrimiento y la visibilidad continuos: establecer una única fuente de verdad para cada identidad digital y activo criptográfico de su organización.
El reto: «No sabemos lo que tenemos»
En la práctica, lograr una es más fácil de decir que de hacer. es más fácil de decir que de hacer. La mayoría de las grandes organizaciones siguen teniendo importantes puntos ciegos:
- Silos y sistemas en la sombra: Los certificados y las claves se encuentran en innumerables lugares: centros de datos, plataformas en la nube, herramientas de DevOps, IoT , aplicaciones. Los distintos equipos pueden implementar sus propias autoridades de certificación o recurrir a credenciales predeterminadas (y a menudo no gestionadas). Un banco global admitió: «Ni siquiera sabemos lo que tenemos y, aunque lo supiéramos, no siempre sabemos quién es el propietario». Esta fragmentación deja a los equipos de seguridad a ciegas.
- El inventario manual = un objetivo en constante cambio: los métodos tradicionales de gestión del inventario (hojas de cálculo, escaneos puntuales) no pueden seguir el ritmo de la naturaleza dinámica de las tecnologías de la información modernas. Las instancias en la nube se crean y se eliminan, los contenedores y los microservicios de IA surgen de forma autónoma, y cada uno de ellos puede introducir nuevos certificados o claves. Una auditoría puntual puede detectar miles de identidades, pero a la semana siguiente el panorama ya ha cambiado.
- El riesgo de lo desconocido: El precio de los puntos ciegos es muy alto. Una encuesta reciente del sector reveló que solo el 17 % de las organizaciones tiene una visibilidad completa y en tiempo real de todos sus certificados. El 86 % sufrió al menos una interrupción del servicio durante el último año debido a certificados caducados o mal gestionados, interrupciones que no solo perturban las operaciones, sino que pueden minar la confianza de los clientes y los ingresos. Certificados ocultos = riesgo sin mitigar.
En resumen, sin una visibilidad completa y continua, el control proactivo de la confianza es imposible. No se puede proteger ni gestionar lo que no se ha detectado. La detección es la base sobre la que se construyen todas las etapas posteriores, desde la aplicación de políticas hasta la automatización. Saltársela es sinónimo de tener que apagar incendios de forma reactiva y de incumplimientos normativos en el futuro.
De la visibilidad a la observabilidad: ver y comprender
Las organizaciones líderes están están ampliando el «descubrimiento» para convertirlo en verdadera observabilidad : una visión más completa y sensible al contexto que no solo encuentra todas las identidades y certificados, sino que también aclara su uso y entorno. Este cambio es vital para convertir los datos brutos de inventario en información de seguridad. El descubrimiento continuo debe responder no solo a «¿qué es este certificado o activo criptográfico?», sino también «¿dónde está, cómo está configurado y qué ocurre si surge un problema?»:
- De forma continua, no puntual: El plano de control de Trust utiliza herramientas de detección siempre activas (escaneo activo de la red, detección basada en agentes en hosts y en la nube, integraciones de API, etc.) para mantener un sistema de registro actualizado de todas las identidades de máquinas y activos criptográficos. Cuando aparecen nuevas instancias o activos criptográficos, se se inventarían y evaluarían automáticamente. Este enfoque en tiempo real cubre la brecha que dejan los análisis puntuales.
- Contexto y titularidad: El descubrimiento moderno no se limita a una lista de activos, sino que consiste en comprender el contexto. Al recopilar metadatos (por ejemplo, nombre del host, tipo de dispositivo, propietario de la aplicación, fuente de emisión, fecha de caducidad, servicios asociados), el plano de control de confianza crea un «perfil de activo» criptográfico detallado para cada elemento. Esto ayuda a responder «¿Es este certificado crítico? ¿Quién es el responsable? ¿Qué sistema dejaría de funcionar si caducara?» —exactamente las preguntas que un CISO o un gestor de riesgos de TI necesita saber para establecer prioridades y responder.
- Más allá de los certificados: panorama criptográfico completo: Un factor diferenciador clave de un programa de confianza maduro es que la detección va más allá de TLS simples TLS . Se necesita visibilidad sobre la postura criptográfica en su conjunto: claves de firma de código, claves SSH, secretos, versiones de algoritmos y de bibliotecas (por ejemplo, detección de bibliotecas criptográficas obsoletas), inventarios de HSM y de almacenes de claves, etc. Esta visión integral es crucial en la era de la criptografía poscuántica: no se puede migrar a algoritmos más seguros si no se sabe dónde se utilizan los vulnerables. El enfoque de control de confianza abarca el mayor ámbito posible para ver todos estos elementos en un solo lugar.
Al transformar el simple descubrimiento en observabilidad inteligente, se obtiene una «visión de rayos X» del entorno de confianza. Por ejemplo, unKeyfactor combinó el escaneo de red y el descubrimiento de terminales para detectar cientos de certificados hasta entonces desconocidos y contextualizarlos según su propietario y su importancia para el negocio. Con esa información, pudieron eliminar los certificados redundantes o de riesgo (reduciendo su superficie de ataque) y asignar a cada activo a las partes interesadas correspondientes (asegurándose de que alguien se encargara de la renovación). La visibilidad no se limita al inventario: se trata de crear inteligencia útil.
Resultados empresariales: reducción de riesgos y preparación
Entonces, ¿qué es Etapa 1: Observabilidad – Descubrimiento y visibilidad continuos en última instancia a un CISO o a un responsable de seguridad?
- Reducción proactiva de riesgos: Al eliminar los puntos ciegos, se previenen los incidentes. Los certificados desconocidos y las claves no autorizadas suelen ser la causa de las brechas de seguridad y el tiempo de inactividad. La detección continua permite detectar y solucionar los problemas antes de que causen daños, ya sea un certificado caducado que habría provocado una interrupción del servicio o un algoritmo criptográfico débil que habría creado una vulnerabilidad.
- Mayor cumplimiento normativo y confianza: Los organismos reguladores y los clientes exigen cada vez más pruebas de que las organizaciones tienen un control total sobre sus claves y certificados. Un inventario siempre actualizado sirve como prueba fehaciente de la gobernanza. Además, refuerza la confianza a nivel interno: los responsables de TI pueden comprobar que los activos de confianza digital están bajo control (se acabó el enfoque de «cruzar los dedos» durante las auditorías).
- Fundamentos de la automatización: La automatización y la aplicación de políticas dependen de saber dónde aplicar los controles. El descubrimiento continuo proporciona esa hoja de ruta. Sienta las bases para coordinar las renovaciones y aplicar las normas en toda la empresa. De hecho, muchas iniciativas de automatización se estancan debido a datos incompletos: el modelo de control de confianza garantiza que la automatización cuente con datos precisos sobre los que trabajar.
Un informe de Gartner destaca «la detección y auditoría exhaustivas de todas las cuentas y credenciales» como el primer paso práctico para abordar los retos de la identidad de las máquinas. Sin ello, los esfuerzos en etapas posteriores (como añadir nuevos controles de seguridad o responder a las amenazas) se verán fundamentalmente limitados. El Trust Control Plane convierte este paso en una parte integral y parte continua de las operaciones diarias , y no un proyecto puntual.
En la siguiente parte de esta serie (Fase 2: Analizar y medir), analizaremos cómo aprovechar esa visibilidad completa para definir reglas y emitir identidades a gran escala, asegurándonos de que cada identidad de máquina de su inventario no solo sea conocida, sino también fiable y regulada.
