La PKI está en todas partes. ¿Sabes cuánto te está costando?
Todas las empresas utilizan la infraestructura de clave pública (PKI). Los certificados protegen sus sitios web, autentican sus dispositivos, protegen sus cargas de trabajo y permiten la implementación del modelo «zero trust». Sin embargo, aunque la PKI se ha convertido en una infraestructura fundamental, la mayoría de las organizaciones nunca han analizado a fondo cuál es el coste real de su funcionamiento.
Eso supone un problema, ya que el coste real de la PKI suele ser casi siempre mayor de lo que nadie espera.
Entre una infraestructura local obsoleta, los procesos manuales de gestión de certificados y una plantilla sobrecargada por tareas operativas repetitivas, las organizaciones están gastando mucho más en PKI de lo que creen. Además, con el aumento del volumen de certificados y la reducción de la vigencia TLS , esos costes no hacen más que aumentar.
En esta entrada se analiza de dónde proceden realmente los costes de la PKI, qué revelan los datos sobre el retorno de la inversión en la modernización y cómo elaborar un caso de negocio que tu equipo directivo se tome en serio.
Dónde se esconden los costes reales de la PKI
Tu gasto en PKI es como un iceberg. Los costes visibles (software , hardware , plantilla) son solo la punta del iceberg. Bajo la superficie se esconde una masa mucho mayor de ineficiencia laboral, gasto excesivo en certificados y lastres operativos que rara vez aparecen en una sola partida presupuestaria.
Infraestructura
Gestionar una PKI en las propias instalaciones implica mantener servidores de autoridad de certificación (CA), módulos hardware (HSM) y las licencias que lo integran todo. Para una gran empresa típica, ese coste básico asciende aproximadamente a 300 000 dólares al año, solo en hardware licencias.
Luego está la cuestión de la plantilla. Los ingenieros especializados en PKI (una media de dos por organización, con un coste aproximado de 187 000 dólares cada uno), más 1,5 puestos equivalentes a tiempo completo (FTE) de TI dedicados a tareas relacionadas con la PKI, con un coste aproximado de 165 000 dólares cada uno, elevan el coste base total de la infraestructura a unos 921 000 dólares al año. Una empresa de telecomunicaciones informó de que gestionaba entre 80 y 100 servidores de CA en todo su entorno, lo que ilustra la rapidez con la que se expande la infraestructura a medida que aumenta el volumen de certificados.
Estas cifras no son nada inusuales. Son el precio que hay que pagar por trabajar con una infraestructura PKI heredada.
Trabajo
Los costes de infraestructura, al menos, son predecibles. Los costes de personal son el ámbito en el que las organizaciones subestiman sistemáticamente su gasto en PKI.
Piensa en el tiempo que lleva gestionar los certificados manualmente. La emisión de un solo certificado lleva una media de 90 minutos. Renovarlo, 25 minutos. Implementarlo, 70 minutos. A una tarifa media de 75 dólares por hora, esos minutos se acumulan rápidamente cuando se trata de miles de certificados.
Los flujos de trabajo automatizados reducen drásticamente esos tiempos: la puesta en servicio se reduce a 2 minutos, la renovación a 1 minuto y la implementación a 15 minutos. En un periodo de tres años, el valor actual del ahorro en mano de obra es significativo: 1,5 millones de dólares en puesta en servicio, 4,3 millones de dólares en renovaciones y 1,7 millones de dólares en implementación.
Como señaló un vicepresidente sénior de una importante entidad bancaria: «No obtenemos ningún valor empresarial al hacer que nuestros ingenieros se centren en la implementación y gestión manuales de los certificados en todo nuestro entorno».
Esto supone 7,5 millones de dólares en costes laborales totales que las organizaciones están asumiendo simplemente porque los procesos manuales han sido la norma. Más información en la entrada n.º 3: Automatización del ciclo de vida de los certificados: cómo gestionar los certificados a escala empresarial
La prima del certificado público
Hay otro gasto que rara vez recibe la atención que merece: la elección del tipo de certificado. Muchas organizaciones optan por defecto por adquirir costosos certificados públicos para casos de uso en los que un certificado privado funcionaría igual de bien.
Un responsable de la empresa explicó: «Teníamos muchas interfaces que utilizaban certificados públicos y que podían aprovechar nuestras rutas de confianza a nivel interno, lo que nos permitía emitirlos a un coste mucho menor».
Otro planteó la oportunidad de forma más directa: «Si pudiera destinar el 30 % de lo que compramos hoy en el mercado público a certificados privados, podríamos ahorrar una fortuna».
El ahorro exacto variará según la organización, en función de la combinación de certificados, el volumen y la infraestructura existente. Sin embargo, para las empresas que gestionan cientos de miles de certificados, el hecho de pasar siquiera una parte de los certificados públicos a la emisión privada supone una reducción significativa y recurrente de los costes.
Cálculo del retorno de la inversión (ROI) de la modernización de la PKI
El primer paso es identificar dónde se esconden los costes. El segundo paso es saber cómo se traduce un enfoque más eficaz en cifras concretas.
Un estudio independiente de Forrester sobre el impacto económico total (Total Economic Impact) analizó los resultados financieros de las organizaciones que modernizaron su infraestructura de clave pública (PKI) mediante soluciones que automatizan los flujos de trabajo habituales, consolidan la infraestructura y mejoran la visibilidad y la gestión de los certificados. Las conclusiones del estudio son muy convincentes.
La organización compuesta
Para el estudio, Forrester partió de una organización ficticia basada en las entrevistas realizadas. El modelo incluye algunas hipótesis sobre dicha organización, tales como:
- Cuenta con unos 40 000 empleados,
- Se basa en 400 000 certificados,
- Implementa y gestiona certificados con una infraestructura heredada.
Un retorno de la inversión del 356 % con una amortización en menos de seis meses
El estudio reveló que una organización representativa (con unos ingresos de 20 000 millones de dólares, 40 000 empleados y 400 000 certificados gestionados) alcanzó un retorno de la inversión ajustado al riesgo del 356 % tan solo tres años después de la modernización, con un periodo de amortización inferior a seis meses. En concreto, los beneficios totales alcanzaron los 12,7 millones de dólares en valor actual frente a un coste total de 2,8 millones de dólares, lo que supuso un valor actual neto de 9,9 millones de dólares en tres años.
No se trata de proyecciones teóricas. Son cifras ajustadas al riesgo basadas en resultados reales. Más información en la entrada n.º 4: Modernización de la PKI en meses, no en años: una guía práctica para una implementación rápida
De dónde proceden los ahorros
Los 12,7 millones de dólares en beneficios se desglosan en seis categorías, cada una de las cuales refleja una dimensión diferente de la reducción de costes de la PKI:
- Consolidación de la infraestructura:1,4 millones de dólares (sustitución de la infraestructura PKI local heredada por servicios en la nube)
- Renovaciones de certificados:4,3 millones de dólares (automatización del flujo de trabajo con mayor volumen y que requiere más tiempo)
- Emisión de certificados:1,5 millones de dólares (reducción del tiempo de emisión en más del 95 %)
- Implementación de certificados:1,7 millones de dólares (lo que reduce el tiempo de implementación de 70 minutos a 15)
- Reducción de incidencias:3,6 millones de dólares (menos interrupciones relacionadas con los certificados y una resolución más rápida). Más información en la entrada n.º 2: «Las interrupciones relacionadas con los certificados se pueden prevenir: cómo reducir el riesgo de la PKI y eliminar el tiempo de inactividad».
- Mejora de la postura de seguridad:102 000 dólares (mayor agilidad criptográfica y mejor preparación para el cumplimiento normativo)
La categoría de ahorro más importante, las renovaciones de certificados, refleja el enorme volumen de renovaciones que se producen en el conjunto de certificados de una empresa y la drástica reducción de tiempo que supone la automatización.
En qué consiste la inversión
La modernización no es gratuita, pero la inversión es modesta en comparación con los beneficios que reporta. El estudio de Forrester recogió los siguientes costes para la organización compuesta:
- Cuotas anuales de la plataforma SaaS:485 000 dólares
- Servicios profesionales (puesta en marcha):53 500 dólares
- Personal interno (2,5 ETC a un promedio de 156 000 dólares):apoyo operativo continuo
El coste total en valor actual a lo largo de tres años ascendió a 2,8 millones de dólares, lo que supuso la rentabilidad del 356 % mencionada anteriormente.
El coste de no hacer nada va en aumento
Aunque en estos momentos los costes de tu PKI te parezcan asumibles, hay dos tendencias que agravan el problema.
El volumen de certificados está aumentando
Las organizaciones que participaron en el estudio indicaron unas tasas de crecimiento de los certificados del 8 % en el primer año, del 10 % en el segundo y del 12 % en el tercero. A ese ritmo, un entorno con 400 000 certificados pasa a superar los 475 000 en tan solo dos años.
Cada certificado adicional conlleva más trabajo de aprovisionamiento, renovación e implementación. Sin automatización, ese crecimiento se traduce directamente en una mayor carga de trabajo para el personal.
Como señaló un cliente: «La mejor prueba del valor que hemos obtenido de Keyfactor la capacidad de multiplicar por diez el uso de certificados con el mismo número de recursos».
Se avecina la llegada de TLS con una vigencia de 47 días
El CA/Browser Forum está avanzando hacia una vigencia TLS de 47 días para 2029, lo que supone una reducción respecto al máximo de 398 días que estaba vigente hasta hace poco y que se redujo a 200 días a partir de marzo de 2026. Este cambio multiplicará por ocho, aproximadamente, la frecuencia de renovación de cada TLS de su entorno.
Para las organizaciones que aún gestionan las renovaciones de forma manual, este cambio convierte un problema de mano de obra en una crisis de personal. A razón de 25 minutos por renovación manual, las cuentas simplemente no cuadran.
Un responsable de seguridad del sector minorista lo describió así: «Toda la automatización que permite Keyfactor nos Keyfactor a Keyfactor la visibilidad y la automatización que necesitamos para adaptarnos a estos cambios del sector».
Cómo elaborar tu propio análisis de viabilidad para la modernización de la PKI
Los datos anteriores constituyen una base sólida. A continuación te explicamos cómo convertirlos en un caso de negocio adaptado a tu organización.
Define tu base de referencia de costes actual
Empieza por hacer un inventario de los costes de tu infraestructura PKI: servidores de CA, HSM, licencias y personal dedicado a la PKI. Los datos de referencia de Forrester (300 000 dólares en hardware, con un coste base total de la infraestructura de 921 000 dólares) ofrecen puntos de referencia útiles para la comparación. Si tus cifras se sitúan en ese mismo rango, es probable que tengas una estructura de costes similar.
Calcular el coste de la gestión manual de los certificados
Calcula el número total de certificados que tienes y, a continuación, aplica los valores de referencia de tiempo del estudio de Forrester para estimar tu exposición en términos de mano de obra:
| Acción | Proceso manual | Proceso automatizado | Reducción del tiempo |
|---|---|---|---|
| Aprovisionamiento | 90 minutos por certificado | 2 minutos | 97.8% |
| Renovación | 25 minutos | 1 minuto | 96.0% |
| Implementación | 70 minutos | 15 minutos | 78.6% |
Multiplica el ahorro de tiempo por tu tarifa interna de mano de obra y el volumen de certificados para calcular el valor anual de la automatización a tu escala.
Enmarcar el debate sobre el retorno de la inversión (ROI) para los directivos
Los argumentos comerciales más sólidos plantean la modernización de la PKI como una inversión en eficiencia empresarial, no como una partida presupuestaria destinada a la seguridad. Empieza por destacar el periodo de amortización (menos de seis meses) y el valor actual neto (9,9 millones de dólares para la organización de referencia). Relaciona esas cifras con tu propio volumen de certificados y tu trayectoria de crecimiento.
Como resumió un directivo de la empresa: «La rentabilidad de la inversión en Keyfactor increíblemente alta. Probablemente se sitúe en millones de dólares al año».
Keyfactor ayudarte
La plataforma Keyfactoraborda cada una de las categorías de costes descritas en esta entrada:
- Sustituir la PKI heredada por una PKI gestionada y prestada en la nube.
La plataforma EJBCAKeyfactorelimina la infraestructura de CA local y los 1,4 millones de dólares en costes asociados al trasladar la PKI a un modelo SaaS totalmente gestionado. - Automatice el ciclo de vida de los certificados conKeyfactorCommand.
Reduzca la carga de trabajo relacionada con el aprovisionamiento, la renovación y la implementación en más de un 95 %, lo que supone un ahorro total de 7,5 millones de dólares a lo largo de todo el ciclo de vida de los certificados. - Obtenga información para optimizar el gasto en certificados.
Descubra en qué casos se pueden sustituir los certificados públicos por certificados de emisión propia y adapte su estrategia de certificados a sus necesidades.
Realiza la evaluación de dos minutos para calcular tu ROI y acceder al estudio completo de Forrester.
¿Tienes dudas sobre los costes de la PKI? Tenemos las respuestas.
¿Cuál es el coste total de propiedad (TCO) de gestionar una PKI de forma interna?
En el caso de una gran empresa típica, el coste anual de referencia asciende a aproximadamente 921 000 dólares solo en infraestructura, incluyendo hardware, licencias y personal dedicado. Esto no tiene en cuenta los costes de mano de obra derivados de la gestión manual de certificados, que pueden suponer millones más a lo largo de un periodo de tres años.
¿Qué retorno de la inversión pueden esperar las organizaciones de la modernización de la PKI?
Un estudio independiente de Forrester reveló que las organizaciones que se modernizaron con Keyfactor un retorno de la inversión (ROI) ajustado al riesgo del 356 %, con unos beneficios totales de 12,7 millones de dólares en valor actual frente a unos costes totales de 2,8 millones de dólares a lo largo de tres años.
¿En cuánto tiempo se amortiza la modernización de la PKI?
El estudio de Forrester puso de manifiesto un periodo de amortización inferior a seis meses. La combinación de un ahorro inmediato en infraestructura y una rápida reducción de los costes de personal genera una rápida rentabilidad.
¿De dónde proceden los mayores ahorros en los costes?
La automatización de la renovación de certificados supone la mayor fuente de ahorro, con un valor actual de 4,3 millones de dólares, seguida de la reducción de incidencias (3,6 millones de dólares), la automatización de la implementación (1,7 millones de dólares), la automatización del aprovisionamiento (1,5 millones de dólares) y la consolidación de la infraestructura (1,4 millones de dólares).
¿Cómo afectará la reducción de la vigencia TLS a los costes de la PKI?
El CA/Browser Forum tiene previsto reducir la vigencia TLS de 398 días a 47 días para 2029. Esto multiplicará por ocho, aproximadamente, la frecuencia de renovación, lo que hará que la gestión manual de los certificados resulte insostenible a escala empresarial sin automatización.
¿Cuánto cuesta la modernización de la PKI?
Según el estudio de Forrester, la organización tipo invertía anualmente 485 000 dólares en cuotas de la plataforma SaaS, 53 500 dólares en servicios profesionales y en el soporte continuo prestado por 2,5 empleados a tiempo completo (FTE) internos. El coste total a tres años, en valor actual, ascendía a 2,8 millones de dólares.
¿Cómo puedo elaborar un análisis de viabilidad para la modernización de la PKI?
Empieza por hacer un balance de los costes actuales de tu infraestructura PKI y del número de certificados. Aplica los parámetros de tiempo de Forrester (90 minutos por aprovisionamiento manual frente a 2 minutos en caso de automatización) para calcular el ahorro en mano de obra a tu escala. Enmarca la conversación en torno a la eficiencia empresarial y empieza por mencionar el periodo de amortización y el valor actual neto (VAN).
¿Pueden los certificados privados sustituir a los públicos para ahorrar dinero?
En muchos casos, sí. Las organizaciones suelen utilizar certificados públicos costosos para interfaces internas en las que bastaría con un certificado privado. Pasar incluso solo una parte de los certificados públicos a la emisión privada puede suponer un ahorro significativo y recurrente, dependiendo de la combinación y el volumen de certificados.
