¿Qué es un certificado de firma de código?

En nuestro mundo basado en software, la confianza lo es todo. Pero, ¿cómo sabemos en qué software podemos confiar y en cuáles no? Tenemos que agradecérselo a la firma de código.

La firma de código es la forma que tienen los desarrolladores de probar la autenticidad de un fragmento de software y garantizar que procede de una fuente legítima y no ha sido manipulado. La firma de código se basa en la criptografía y, más concretamente, en lo que se conoce como certificado de firma de código.

En este artículo se analiza todo lo que necesita saber sobre el importantísimo certificado de firma de código, incluida la respuesta a preguntas críticas como:

• ¿Qué es un certificado de firma de código?
• ¿Cómo funciona un certificado de firma de código?
• ¿Por qué necesitamos certificados de firma de código?
• ¿Cuáles son las vulnerabilidades potenciales de los certificados de firma de código?
• ¿Cuáles son las mejores herramientas para gestionar un certificado de firma de código?
• ¿Cuáles son las mejores prácticas para que los equipos de seguridad mantengan los certificados de firma de código?

Un certificado de firma de código es una clase especial de certificado digital que identifica a una organización. Para entender bien qué es un certificado de firma de código, es importante aclarar primero cómo funcionan los certificados en general.

Los certificados son un componente importante de la infraestructura de clave pública (PKI). Se basan en la criptografía asimétrica y pueden utilizarse para verificar la autenticidad. En concreto, el certificado se basa en la clave privada de un par de claves criptográficas pública-privada.

Emitir una firma con un certificado sirve como forma de autenticación y protege contra la manipulación. Cualquiera que tenga la clave pública correspondiente puede:

1. verificar que la firma procede de quien se supone que procede y
2. confirmar que nada en el paquete (ya sea código, un documento o cualquier otra cosa) ha cambiado desde que se emitió la firma.

Esto nos lleva de nuevo al certificado de firma de código, que es un tipo especial de certificado utilizado por los desarrolladores para firmar aplicaciones y software. El certificado de firma de código detalla la identidad de la organización que emite el software y permite a cualquier usuario final del software verificar su legitimidad mediante:

1. confirmando la empresa que desarrolló el software y
2. garantizar que el software no ha sido manipulado desde que la empresa lo envió.

Un certificado de firma de código es emitido por una Autoridad de Certificación (CA) de confianza con el propósito específico de que los desarrolladores firmen código. Una vez que los desarrolladores disponen de un certificado de firma de código válido, pueden utilizarlo para firmar cualquier código que envíen a producción. Esta firma incluye toda la información contenida en el certificado (como el nombre de la empresa, la ubicación, etc.), así como una marca de tiempo que indica cuándo se firmó el código con el certificado.

En particular, la mayoría de los navegadores y dispositivos emiten una advertencia de seguridad si los usuarios intentan descargar o instalar software que no tenga la firma de un certificado de firma de código emitido por una CA de confianza.

Los casos típicos de uso de un certificado de firma de código incluyen:

• garantizar la integridad de los dispositivos IoT
• enviar nuevas aplicaciones móviles a un editor de software (por ejemplo, Microsoft, Google y Apple exigen que las aplicaciones estén firmadas antes de poder incluirlas en sus tiendas de aplicaciones).
• publicando software para su instalación
• desarrollo de programas informáticos de empresa software para uso interno (así los empleados saben que pueden confiar en la aplicación)

Muchas organizaciones utilizan un programa PKI empresarial para gestionar sus actividades de firma de código junto con sus certificadosSSL . Además de simplificar el proceso de firma de código para los desarrolladores, esta gestión es especialmente importante, ya que las empresas deben salvaguardar sus certificados de firma de código del mismo modo que lo harían con cualquier otro elemento de seguridad privada.

Si un certificado de firma de código cae en las manos equivocadas, las partes malintencionadas pueden emitir software con apariencia legítima. Como resultado, cualquier compromiso de un certificado de firma de código debe notificarse como parte de una lista de revocación de certificados (CRL), que invalidará cualquier cosa firmada con ese certificado. Esta situación hace esencial que las organizaciones gestionen y protejan sus certificados de firma de código a través de un programa PKI centralizado.

En la actualidad, todas las tiendas de aplicaciones, sistemas operativos y demás exigen que software esté firmado con un certificado de firma de código. Pero, ¿por qué? ¿Por qué son tan importantes los certificados de firma de código?

El certificado de firma de código es tan importante por tres razones principales:

1. Protege contra los intentos de terceros de alterar cualquier código.
2. Los usuarios saben que pueden confiar su información a software .
3. Crea una cadena de confianza para que la experiencia del usuario sea fluida

En primer lugar, una vez que software se firma con un certificado de firma de código, significa que cualquier versión de software que tenga esa firma no ha sido alterada por terceros.

Confirmar que un cuerpo de trabajo no ha sido alterado en tránsito es una función importante de cualquier certificado criptográfico, y ese es especialmente el caso de los certificados de firma de código. Esto se debe a que cualquier alteración del código de software podría indicar la presencia de actividad maliciosa. El código firmado significa que lo que ven y experimentan los usuarios finales es exactamente lo que pretendía el creador de software .

En la misma línea, software firmado con un certificado de firma de código es un símbolo de confianza para los usuarios finales.

Esta confianza es importante, porque muchos software requieren que los usuarios introduzcan información sensible para sacar el máximo partido del sistema. Si los usuarios no están seguros de si pueden confiar en software, pueden sentirse incómodos introduciendo esos datos, lo que hace que software sea mucho menos potente. Aunque esta confianza siempre ha sido importante, lo es especialmente en nuestro mundo digital en el que todo se consume en línea frente a los usuarios que van a una tienda y compran software.

Por último, el uso de un certificado de firma de código crea una cadena de confianza que permite una experiencia de usuario fluida al evitar cualquier posible advertencia de seguridad.

Esto se debe a que el código firmado no sólo genera confianza entre los usuarios, sino también entre cualquier navegador o sistema operativo que ejecute software. Esto significa que el sistema puede validar fácilmente la autenticidad de software y ayudar a los usuarios a entender que pueden confiar en él. Un ejemplo de esto es que cualquier software que esté correctamente firmado tendrá un proceso de descarga fluido y libre de advertencias de seguridad que puedan crear posibles señales de alarma para los usuarios, incluso si son completamente legítimos.

A pesar de todo el valor que ofrece un certificado de firma de código, tiene áreas potenciales de vulnerabilidad que cualquier organización debe tener en cuenta. Las principales áreas de vulnerabilidad de los certificados de firma de código son:

• Robo de claves: Las claves privadas vinculadas a los certificados de firma de código son uno de los mayores robos que puede realizar un pirata informático, ya que al hacerse con esta parte del certificado de firma de código puede crear un nuevo software que parezca legítimo y de una fuente de confianza.

• Violación de la firma: Los piratas informáticos pueden conseguir que se firme código malicioso incluso sin tener acceso a las claves privadas adecuadas si consiguen entrar en una estación de trabajo de desarrollador que tenga acceso abierto al certificado de firma de código. Una vez hecho esto, pueden simplemente enviar su software para su firma y publicación.

• Mal uso interno: El error humano es siempre un riesgo para la seguridad, y no es diferente cuando se trata de certificados de firma de código. Si un desarrollador tiene acceso abierto a la clave de firma de código correspondiente y accidentalmente la utiliza mal o la extravía, puede crear una abertura para que los hackers se infiltren en las operaciones.

Reconocer y comprender estas vulnerabilidades es el primer paso para abordarlas. A partir de ahí, puede tomar medidas para protegerse contra estas vulnerabilidades, incluyendo:

El acceso de los desarrolladores a los certificados de firma de código es complicado: si se da demasiado acceso, el proceso se vuelve vulnerable a los ataques, pero si se da demasiado poco, se crean fricciones en el proceso de desarrollo y es probable que los equipos eludan las políticas de seguridad. Conseguir este equilibrio requiere:

• Protección integral de las claves privadas de firma de código para que permanezcan en un lugar seguro y sólo puedan acceder a ellas los usuarios restringidos.
• Acceso controlado a claves privadas de firma de código que eliminan la necesidad de que los desarrolladores las manejen o almacenen.
• Flujos de trabajo automatizados que permiten diferentes permisos en función de las funciones para aumentar la seguridad y crear un proceso fluido pero coherente.

Los equipos de seguridad también desempeñan un papel importante a la hora de proteger el certificado de firma de código, y uno de los problemas más comunes es la falta de visibilidad y control de los procesos de firma. La introducción de tecnología que pueda centralizar la visibilidad y el control para facilitar al equipo de seguridad la auditoría de todo puede contribuir en gran medida a aliviar este reto. En concreto, puede ayudar:

• Seguimiento y control de las actividades de firma de código
• Crear un registro de auditoría para los certificados de firma de código y los intentos de firma
• Centralizar y normalizar las políticas sobre quién puede firmar código

Desde gestionar de forma segura el proceso de firma de código hasta ayudar a los equipos de desarrollo a generar firmas, hay una gran variedad de herramientas que los equipos pueden utilizar para gestionar un certificado de firma de código y todo lo que conlleva. A continuación te mostramos algunas de las mejores soluciones:

• Keyfactor Código Assure: Permite a los desarrolladores firmar código desde cualquier lugar protegiendo las claves de cifrado privadas.
• PrimeKey SignServer: Ofrece firma basada en PKI para documentos, PDF y código, con versiones para open-source, empresa y nube.
• SignTool: Ofrece la firma de código en línea command como parte del kit de desarrollo Windows software de Microsoft.
• Jarsigner: Permite firmar código y verificar firmas de archivos Java Archive (JAR).
• Signo de confianza Docker: Permite a los desarrolladores firmar imágenes Docker y permite firmar digitalmente etiquetas para crear repositorios firmados.
• Firmante APK: Permite la generación y verificación de firmas para dispositivos Android.
• iOS App Signer: Permite firmar y empaquetar aplicaciones iOS para que se ejecuten en dispositivos iOS.
• Garasign: Ofrece firma rápida de código para aplicaciones empresariales y protección para claves de cifrado privadas.
• SignPath: Permite la firma de código local o basada en servicios, con integración en la canalización CI/CD.
• Control de teclas no vinculadas: Ofrece firma de código basada en software, con integración en procesos DevSecOps.

Por supuesto, disponer de la tecnología adecuada es sólo una parte de la ecuación. Los equipos de seguridad también deben introducir las mejores prácticas para proteger y mantener adecuadamente los certificados de firma de código. Teniendo esto en cuenta, veamos lo que hace falta.

Dada la importancia de las claves privadas de firma de código para mantener la integridad de todo el proceso de firma de código, uno de los pasos más críticos que pueden dar los equipos es proteger adecuadamente estas claves.

Para ello es necesario que los equipos de seguridad tengan la visibilidad adecuada para comprender los certificados de firma de código y las claves privadas asociadas que residen en su organización y centralizar la gestión de todos esos elementos. Además, es importante almacenar esas claves en un módulo de seguridad certificado de hardware .

El propio proceso de firma de código puede crear un área de vulnerabilidad en la que pueden infiltrarse los hackers, por lo que es fundamental que los equipos de seguridad desarrollen operaciones coherentes y seguras. Las mejores prácticas para hacerlo incluyen:

• establecer funciones claras en el proceso de firma para garantizar que sólo los usuarios autorizados puedan utilizar un certificado de firma de código
• limitar las actividades de firma de código en función del tiempo disponible
• seguimiento de todas las actividades de firma de código para garantizar que las políticas se ejecutan según lo previsto

El seguimiento de las actividades en tiempo real también ofrece a los equipos de seguridad visibilidad para identificar y reaccionar rápidamente ante cualquier cosa inusual que pueda ocurrir.

La mejor forma de garantizar que los desarrolladores no eludan las políticas de seguridad o se expongan accidentalmente a riesgos es integrar las actividades de firma de código en sus procesos DevOps existentes. Esto debería incluir la integración de cualquier herramienta de firma con herramientas DevOps, la habilitación de capacidades de firma remota para equipos distribuidos y la introducción de comprobaciones y verificaciones que deben tener lugar antes de que se lleve a cabo cualquier firma de código.

Por último, la introducción de la seguridad en torno a los certificados de firma de código no debe ser un ejercicio aislado. Es algo que el equipo de seguridad debe evaluar periódicamente y evolucionar a medida que cambien tanto las necesidades del equipo como el panorama de las amenazas externas.

Esto debería incluir vigilar de cerca todas las actividades de firma de código, auditar todo el uso de claves y cubrir los certificados de firma de código en cualquier actividad más amplia de gestión de certificados PKI. Estos esfuerzos continuos no sólo pueden ayudar a los equipos de seguridad a detectar amenazas con mayor antelación, sino que también pueden garantizar que todos los controles establecidos para proteger un certificado de firma de código se mantengan adecuadamente a lo largo del tiempo.