A medida que evolucionan las ciberamenazas y la confianza digital se convierte en una defensa de primera línea, organizaciones de todo el mundo, desde San Francisco a Singapur, se replantean sus estrategias de infraestructura de clave pública (PKI).
¿Un cambio importante? La aceleración del uso de certificados TLS de corta duración. Los certificados de confianza pública, que antes eran válidos durante años, ahora duran un máximo de 398 días, y en 2029 esa cifra podría reducirse a sólo 47.
Gigantes de la tecnología como Google, Amazon y Microsoft, como parte del CA/B Forum, están impulsando este cambio, instando a las empresas a adoptar la automatización del ciclo de vida de los certificados para seguir el ritmo. Está preparada su organización?
Ventajas de los periodos de validez más cortos de los certificados de clave pública
Unos periodos de validez de los certificados más cortos implican renovaciones más frecuentes, pero también una mayor seguridad. Un certificado de autenticación extraviado, por ejemplo, acabará caducando para evitar su uso indebido. Reducir el tiempo de validez de un certificado ayuda a mitigar el compromiso de claves, aumenta la agilidad criptográfica y fomenta la automatización.
Aborda el compromiso de la clave privada
Las claves públicas se corresponden con las privadas para ayudar a cifrar (y descifrar) información importante. Cuando las claves privadas quedan expuestas, los atacantes pueden utilizarlas para interceptar o manipular datos, lo que puede dar lugar a infracciones que podrían afectar gravemente a su empresa. Algunos certificados antiguos tenían una vida mucho más larga, normalmente entre 5 y 10 años, lo que aumentaba el riesgo de exposición. Para las organizaciones que se esfuerzan por hacer un seguimiento de todos los certificados y claves actuales e inactivos, un certificado no utilizado (pero aún activo) de hace una década podría proporcionar a los atacantes un acceso fácil hasta el corazón de los servidores de la empresa.
Por lo tanto, una vida útil más corta de los certificados reduce la ventana de daño. Incluso si los atacantes tienen acceso a ellos, ese acceso expirará automáticamente en el plazo de un año (o menos). Esta revocación del acceso será aún más rápida si se conoce la violación. El Foro CA/Browser anima a las autoridades de certificación (CA) a revocar los certificados comprometidos en un plazo de 24 horas de su detección. Períodos de validez más cortos significan que el compromiso de la clave privada no afectará a su negocio durante años sin mitigación.
Mejora la agilidad criptográfica
Internet y la tecnología siguen creciendo y cambiando rápidamente, aportando nuevas innovaciones tanto en las ciberamenazas como en las prácticas de seguridad. Muchas organizaciones se están preparando para tecnologías emergentes, como la computación cuántica. Los atacantes con acceso a las capacidades de la computación cuántica, por ejemplo, serían capaces de "descifrar" los estándares modernos de cifrado en un abrir y cerrar de ojos, amenazando los datos confidenciales de su empresa. Campos emergentes como la criptografía post-cuántica pretenden construir adaptable prácticas criptográficas adaptables que puedan escalar con la tecnología a medida que cambia.
Los periodos de validez de certificados más largos pueden hacer que las organizaciones retrasen las actualizaciones criptográficas necesarias por complacencia o falta de recursos. Por otro lado, una validez de certificado más corta acelera la adopción de algoritmos de seguridad más potentes y garantiza que las empresas apliquen estrategias de agilidad criptográfica. Garantizar que su PKI requiera periodos de validez más cortos empujará a su organización a adoptar algoritmos criptográficos más potentes y actualizados con mayor rapidez, eliminando gradualmente los certificados vulnerables.
Fomenta la automatización
Aunque la gestión de PKI se ha vuelto cada vez más complicada a medida que las empresas y los sistemas conectados crecen, la gestión manual de certificados sigue siendo habitual. Muchas organizaciones se resisten a la automatización, a menudo por autocomplacencia o por creer que los métodos manuales son suficientes. Pero los métodos manuales son más propensos al error humano, lo que puede dar a los atacantes un pase de acceso total a los recursos sensibles. A medida que aumenta el número de certificados que utilizan las empresas, la gestión manual de la PKI puede exponer las operaciones criptográficas de clave pública a agentes malintencionados.
El acortamiento de la vida útil de los certificados empuja a las organizaciones a adoptar la automatización, especialmente a aquellas que aún dependen de procesos manuales. La automatización mejora la fiabilidad y la seguridad, eliminando la necesidad de realizar un seguimiento manual de los vencimientos o de preocuparse por las renovaciones no realizadas. Herramientas como Keyfactor Command identifican automáticamente todas las claves de una organización y las mantienen debidamente renovadas, evitando tiempos de inactividad imprevistos para su empresa.
Retos de los ciclos de vida más cortos de los certificados de clave pública
Aunque los ciclos de vida más cortos de los certificados proporcionan mayor seguridad y agilidad, no están exentos de dificultades, sobre todo para los equipos que los gestionan. Los periodos de validez más cortos aumentan la frecuencia de renovación, lo que conlleva una mayor sobrecarga operativa, un mayor riesgo de fallos en la renovación y una mayor complejidad en las grandes organizaciones.
Aumenta los gastos operativos
Los ciclos de vida más cortos de los certificados implican que éstos caducan más rápidamente, lo que aumenta la frecuencia de renovación. Los equipos de TI y seguridad deben encargarse de muchas tareas relacionadas con la PKI, como el seguimiento de las fechas de caducidad y la validación y renovación de los certificados. Todos estos procesos llevan mucho tiempo, requieren mucho trabajo y son propensos a errores (especialmente si se hacen con prisas). Cuando los certificados no se renuevan a tiempo, la organización podría enfrentarse a cortes de servicio u otros desastres que afectarían a los ingresos y la reputación.
Cuando la gestión del ciclo de vida de las claves debe realizarse en toda la organización con mayor frecuencia, el aumento de la carga operativa puede abrumar a los equipos, especialmente a los más pequeños. En estos casos, la automatización y las herramientas de apoyo serían necesarias para reducir la sobrecarga y evitar interrupciones.
Aumenta el riesgo de fallos en la renovación
Los certificados que caducan con rapidez también deben renovarse o sustituirse con mayor frecuencia, lo que aumenta el riesgo de que no se renueven o se renueven incorrectamente. En 2023, un certificado TLS supuestamente caducado dejó fuera de servicio los satélites Starlink durante horas, afectando a clientes de todo el mundo. Ese mismo año GitHub tuvo que revocar certificados robados y publicar nuevas versiones antes de que los atacantes encontraran la forma de utilizarlos indebidamente.
Las renovaciones en sí no son tareas sencillas: implican generación de claves, validación de dominios, solicitudes de CA e implantación. Cada paso debe realizarse para cada par de claves públicas y certificado utilizado por una organización antes de que de que caduquen. Sus equipos de TI y seguridad tienen más responsabilidades además de la renovación de certificados, por lo que cuando se trata de ciclos de vida de certificados más cortos, la automatización y los procesos fiables son esenciales para reducir los fallos en la renovación. Los procesos manuales y los plazos ajustados sólo aumentan las posibilidades de error humano cuando las empresas manejan más de un cuarto de millón de certificados de media.
Añade complejidad en entornos grandes
Los certificados caducados pueden provocar interrupciones que afecten a sus clientes y a las operaciones de su empresa, con el consiguiente coste económico y para su reputación. La gestión del ciclo de vida de los certificados con periodos de validez más cortos se vuelve más compleja cuanto mayor es el entorno de la organización, lo que a su vez aumenta la probabilidad de interrupciones debidas a certificados caducados si las renovaciones no están bien coordinadas.
Las grandes organizaciones suelen gestionar miles o decenas de miles de certificados digitales que abarcan equipos, departamentos y ubicaciones geográficas. Considere la media de un cuarto de millón de certificados: incluso si esas renovaciones de certificados se dividieran por igual y tuvieran un periodo de validez de un año, habría que renovar más de 20.800 certificados al mes, o aproximadamente 680 al día.
Los ciclos de vida más cortos multiplicarían el número de renovaciones, y la coordinación de estas renovaciones a través de diversos sistemas, plataformas y servicios aumenta la complejidad y la posibilidad de errores de comunicación o de renovaciones perdidas.
Esta complejidad aumenta el riesgo de interrupciones relacionadas con los certificados y las brechas de seguridad, ya que es más difícil mantener una supervisión coherente y actualizaciones oportunas. Sin una gestión centralizada y automatizada, el seguimiento del estado y la caducidad de tantos certificados de clave pública oscila entre lo extremadamente difícil y lo imposible.
Gestión automatizada de certificados para ciclos de vida más cortos
¿Cuál es la conclusión? Es hora de adoptar la automatización de PKI y convertir los certificados efímeros en una ventaja de ciberseguridad.
En lugar de ver las frecuentes renovaciones de TLS y las claves privadas como un quebradero de cabeza, las organizaciones con visión de futuro las están utilizando para reforzar su postura de seguridad y agilizar el cumplimiento de la normativa.
Con las soluciones automatizadas de gestión de certificados, puede eliminar la sobrecarga manual, reducir el riesgo de interrupciones y obtener una visibilidad completa de su entorno PKI. La automatización le permite anticiparse a los certificados que caducan, al tiempo que facilita una comunicación más rápida y segura en toda la red. A medida que se reducen las ventanas de validez de los certificados, es el momento de automatizar. Keyfactor Command agiliza la gestión del ciclo de vida de los certificados, cubriendo cada etapa: descubrimiento, emisión, despliegue, revocación y renovación.
