Comienza la cuenta atrás para Keyfactor Tech Days | ¡Asegura tu plaza hoy mismo!

  • Inicio
  • Blog
  • PKI
  • La tecnología que impulsa la confianza digital

La tecnología que impulsa la confianza digital

PKI

En los últimos años, fallos de ciberseguridad de gran repercusión han perturbado las operaciones de organismos gubernamentales, empresas mundiales y la propia infraestructura de la que depende nuestro modo de vida. 

Pero no todos los riesgos son malintencionados. Los tiempos de inactividad y las caídas también se producen por fallos internos. La infraestructura digital es complicada, y algo tan simple como un certificado no documentado puede paralizar las operaciones..

En cualquier caso, la confianza digital se resiente. Estos incidentes no solo cuestan importantes recursos para solucionarlos, sino que también infligen un daño a la reputación que perdura mucho tiempo después de que se haya resuelto el problema. 

El Foro Económico Mundial (FEM) define la confianza digital como "las expectativas de las personas de que las tecnologías y servicios digitales -y las organizaciones que los proporcionan- protegerán los intereses de todas las partes interesadas y mantendrán las expectativas y valores de la sociedad". 

La construcción de un ecosistema digital digno de confianza digital se basa en la garantía de que los dispositivos, las aplicaciones y los datos son precisos y están a salvo de amenazas. Al igual que la confianza cero y la IA, la confianza digital es un concepto facilitado por la tecnología. 

En este blog hablaremos de los elementos tecnológicos que hacen posible la confianza digital. 

Infraestructura de clave pública

La infraestructura de clave pública (PKI) es el ecosistema criptográfico que rige la emisión de certificados digitales. Estos certificados protegen los datos sensibles, aseguran las comunicaciones y proporcionan identidades digitales a usuarios, dispositivos y aplicaciones. 

PKI crea una jerarquía de confianza. Los certificados son emitidos por autoridades de certificación intermedias (ICA), que ascienden hasta la autoridad de certificación raíz. En las grandes organizaciones, las ICA se dedican a funciones digitales concretas. Por ejemplo, DevOps puede tener su propia CA. 

Los certificados digitales están presentes en prácticamente todos los procesos empresariales. Aseguran sitios web y clientes de correo electrónico, IoT dispositivos y aplicaciones de todo tipo, y mucho más. Según el informe 2024 de KeyfactorInforme sobre PKI y confianza digitaluna organización media utiliza más de 80.000 certificados internos en un momento dado.

Algunos factores dificultan la gestión de PKI a gran escala. 

  • Conocimientos especializados
    La mayoría de las organizaciones carecen de un equipo dedicado a PKI. Por lo general, la PKI y los certificados son gestionados por equipos de TI, seguridad o infraestructura. Estos técnicos rara vez tienen conocimientos especializados de PKI, y los procesos manuales agravan las posibilidades de error de los usuarios.
  • Falta de propiedad
    Aunque los equipos mencionados anteriormente administren la PKI y los certificados, no existe una visión más amplia ni un gobierno centralizado de la PKI. El resultado es que los equipos utilizan los certificados para obtener sus propias soluciones y crear sus propios procesos poco seguros.
  • Bajo margen de error
    Basta un certificado caducado para dejar fuera de servicio sistemas enteros. Esto convierte el descubrimiento, seguimiento y gestión de certificados en una práctica de alto riesgo.


Innovaciones como
IAIoT y la computación cuántica introducen nuevos casos de uso y riesgos para la empresa, al tiempo que estimulan mayores volúmenes de certificados. Por lo tanto, las PKI deficientes se vuelven más difíciles de gestionar y modernizar.

Encontrar los socios adecuados será clave para ejecutar estrategias PKI eficaces y escalables. Una correcta selección de herramientas proporcionará a los equipos una verdadera visibilidad del panorama de los certificados y los situará en una buena posición para hacer PKI sin agotarse. 

Protocolo Secure Shell (SSH)

Secure Shell Protocol (SSH) es un protocolo de red criptográfico que permite a los dispositivos operar de forma segura a través de redes no seguras. En otras palabras, asegura las conexiones remotas a la red. También permiten sesiones de máquina a máquina que hacen posible la automatización.

SSH lo hace mediante criptografía de clave pública, creando automáticamente pares de claves públicas y privadas para cifrar las conexiones de red. Salvaguardar y gestionar adecuadamente estas claves es crucial para construir la confianza digital.

Las organizaciones utilizan muchas de claves SSH. Es habitual encontrar de 50 a 200 claves en un servidor o un millón de claves SSH en una organización. Sin una estrategia de gestiónlos atacantes pueden comprometer estas claves para obtener altos niveles de acceso y eludir los controles de seguridad. A partir de ahí, pueden inyectar datos fraudulentos, subvertir el cifrado software, desplegar malware o destruir directamente los sistemas.

Descubrir todas las claves SSH del entorno informático es vital para protegerlas. Deben tenerse en cuenta las claves heredadas y huérfanas, así como las relaciones de confianza de cada par de claves SSH. Una vez hecho esto, las organizaciones pueden auditar su implementación de SSH para encontrar debilidades y apuntalar los procesos. Deben actualizarse las claves que utilicen algoritmos de cifrado débiles o que proporcionen un acceso raíz innecesario. 

Firma de códigos

La firma de código es un proceso criptográfico que otorga un sello de autenticidad a una pieza de software. Los desarrolladores firman digitalmente aplicaciones, software o firmware integrado con claves privadas para demostrar que el código procede de una fuente legítima y no ha sido manipulado. 

Sin firma de códigoo sin seguro firma de códigolos usuarios pueden descargar inadvertidamente software de una fuente maliciosa. Los ataques a la firma de código permiten a los atacantes comprometer la cadena de suministro de software , de modo que software malicioso llega a miles de usuarios.

Hoy en día, los desarrolladores publican continuamente nuevas software y actualizaciones. Equilibrar la velocidad de desarrollo con las mejores prácticas de seguridad puede resultar difícil, e integrar el proceso de firma de código en el ciclo de vida de desarrollo existente en software plantea un reto. 

La firma de código requiere su propio conjunto de certificados y claves que son objetivos valiosos para los malos actores que pueden venderlos en mercados clandestinos. 

Para garantizar la seguridad del proceso de firma de código, las organizaciones deben almacenar las claves de firma de código en módulos de seguridad de hardware , en lugar de en ubicaciones inseguras como estaciones de trabajo de desarrolladores o servidores de compilación. También es aconsejable restringir el acceso a esas claves a un número limitado de usuarios autorizados. La segregación de funciones entre estos usuarios puede reducir drásticamente los daños potenciales en caso de que una clave de firma de código se vea comprometida.

Seguridad de la capa de transporte

Al igual que SSH, Transport Layer Security (TLS) es un protocolo criptográfico que protege los datos cuando viajan de un usuario a otro a través de Internet. En la barra de direcciones de su navegador de Internet, el pequeño icono de un candado indica que los datos enviados hacia y desde ese sitio web están protegidos por TLS. 

TLS protege la información confidencial, como contraseñas, números de tarjetas de crédito, hábitos de navegación, etc., para que no sea interceptada por agentes malintencionados. Aunque TLS es prácticamente un hecho para los sitios web, es menos común (aunque aconsejable) en la protección de procesos relacionados con Internet como el correo electrónico. 

TLS Los certificados están orientados a Internet e interactúan con muchas aplicaciones de terceros (por ejemplo, navegadores web). Por tanto, tienen que cumplir las normas de las entidades con las que deben interactuar. Por ejemplo, Google Chrome marca los certificados configurados con una vida útil superior a 90 días o que utilizan un algoritmo hash obsoleto como SHA-1. 

Aquellos que mantengan sus PKI actualizadas con las mejores prácticas más recientes demostrarán ser más resistentes y fiables de cara al futuro digital.

Automatización del ciclo de vida de los certificados (CLA)

Recordemos que los certificados y la PKI suelen ser gestionados por equipos de TI, seguridad o infraestructura. Estos equipos no sólo carecen de conocimientos profundos de PKI, sino que deben compatibilizar PKI con sus responsabilidades principales. 

Dada la explosión del volumen de certificados y la actual escasez de mano de obra en ciberseguridad, los procesos manuales de gestión de certificados no son escalables y agravan las condiciones que conducen al agotamiento del equipo. 

La automatización del ciclo de vida de los certificados devuelve un importante ancho de banda a estos equipos y elimina prácticamente la posibilidad de que se produzca una interrupción. Una plataforma adecuada de gestión del ciclo de vida de los certificados (CLM) resuelve muchos problemas de un plumazo.

  • La detección y el registro proactivos recopilan un inventario completo de todos los certificados del entorno informático, incluso de los certificados no rastreados ni documentados que permanecen ocultos a la espera de caducar.
  • Como centro universal para todos los certificados, la plataforma CLM ofrece a los equipos una visibilidad total del panorama de certificados en una sola herramienta. Con esta visibilidad, pueden crear e impulsar políticas que respalden prácticas seguras en materia de certificados. 
  • Con todos los certificados en un solo lugar, los equipos pueden empezar a automatizar el ciclo de vida de sus certificados. Esto crea la posibilidad de no volver a experimentar nunca más un certificado caducado.

El ADN de la confianza digital

Los certificados digitales, las claves y la criptografía seguirán siendo el ADN técnico de la confianza digital en el futuro inmediato. Si se aprovechan adecuadamente, estas herramientas pueden aislar a las organizaciones de las amenazas de la IA, la cuántica y el cumplimiento normativo. 

Pase lo que pase, estos cambios sísmicos en la tecnología están al caer. Las organizaciones que inviertan en políticas PKI flexibles y resistentes estarán preparadas para el éxito en un futuro próximo.

¿Quiere saber más? Consulte Keyfactor's 2024 PKI & Digital Trust Report.