Keyfactor Days 2027, la conferencia sobre seguridad de confianza, llega a San Diego!   Descubre lo que se avecina

  • Inicio
  • Blog
  • PQC
  • ¿Qué coño es la infraestructura de confianza?

¿Qué coño es la infraestructura de confianza?

PQC

Hace dos semanas, pasé un día paseando por el parque con algunos de nuestros principales expertos en identidad basada en IA, criptografía a prueba de computación cuántica y todo lo relacionado con la confianza digital. Les pedí que dejaran a un lado los discursos preparados y me dijeran lo que realmente pensaban sobre el futuro de estos componentes fundamentales de la seguridad.

Las conversaciones fueron sinceras y siempre acababan volviendo a la misma idea: una forma de enfocar los fundamentos criptográficos que subyacen a todo lo que creamos. Un cambio de perspectiva. Hemos empezado a llamar a esa idea «Infraestructura de confianza», y cuanto más lo pensaba, más sentido tenía. Así que déjame explicártelo, tal y como me lo explicaron a mí.

¿Y qué es eso?

Para empezar, lo entiendo. «Confianza» es una de las palabras más manidas en el ámbito de la ciberseguridad. La repetimos constantemente: «confianza cero», «confianza en los dispositivos», «límites de confianza». Pero rara vez nos paramos a preguntarnos en qué se basa realmente la confianza. ¿Qué hace que algo sea digno de confianza? Sí, hay muchos elementos que hacen que un dispositivo, una carga de trabajo o software , pero existe una capa fundamental de seguridad que… hasta ahora… se ha pasado por alto en gran medida.

La infraestructura de confianza es la base criptográfica que permite a las máquinas, las aplicaciones, los dispositivos, los agentes de inteligencia artificial e incluso a las personas demostrar quiénes son y comunicarse de forma segura. Las claves y los certificados verifican la identidad. Los algoritmos cifran los datos. Las firmas confirman que el código y los documentos son auténticos. Los protocolos y las autoridades establecen la confianza entre partes que nunca se han conocido. 

Esto ocurre constantemente. Miles de veces por segundo. Nunca nos paramos a pensar en ello, y en eso consiste precisamente. Cuando funciona, todo fluye. Cuando falla, también lo hace todo lo que se ejecuta sobre él. 

Nada de eso es tecnología nueva. Lo nuevo es la decisión de considerarla una infraestructura crítica, en lugar de un nicho de seguridad reservado a los pocos que la entienden.

Mira la introducción a la serie —«¿Qué demonios es la infraestructura de confianza?»— para conocer rápidamente el concepto y lo que significa.

 

Así es como la mayoría de las organizaciones han llegado a donde están ahora. Los certificados y las claves están por todas partes. Y los algoritmos y las bibliotecas que realizan el trabajo real quedan ocultos en código y configuraciones que nadie ha tocado en años. Cada elemento se trata como una herramienta o un activo independiente, gestionado de forma aislada por quien lo haya utilizado por última vez. Por eso, la criptografía acaba estando presente en todas partes, pero casi nunca se tiene en cuenta.

La «infraestructura de confianza» no es solo un término; es un cambio de perspectiva. Replantea todos esos elementos dispersos como lo que realmente son cuando se toma distancia: una única infraestructura interconectada de la que depende toda la empresa. Y, al igual que cualquier otra capa de seguridad —la nube, la red, los terminales o las aplicaciones—, debe supervisarse, gestionarse y regularse de forma continua.

¿Por qué es importante esto? Porque la forma en que se plantea un problema determina cómo se prioriza. Si los certificados y las claves no son más que una molestia, seguirás gestionándolos con hojas de cálculo y scripts. Si, por el contrario, forman parte de una infraestructura crítica, les asignarás un responsable, les darás una visibilidad real, aplicarás políticas estrictas y contarás con una automatización escalable. Solo uno de esos enfoques sobrevivirá a lo que se avecina.

¿Por qué sale esto a la luz ahora?

La razón por la que esta conversación no puede esperar es que el terreno en el que se asienta esta infraestructura se está moviendo, sacudido por cuatro retos transformadores:

  • Deuda criptográfica: la criptografía que posees pero que no puedes ver, que envejece silenciosamente y se está convirtiendo en la mayor superficie de riesgo no gestionada de la empresa.
  • Identidad de los agentes de IA: una población de identidades criptográficas no humanas que crece más rápido de lo que nadie puede controlar.
  • Certificados de 47 días: La vigencia TLS se ha reducido de un año a seis semanas, lo que ha multiplicado por 12 los costes operativos.
  • La amenaza cuántica: recoger ahora, descifrar más tarde: los datos que se recopilan hoy se descifran en cuanto se dispone de un ordenador cuántico capaz de hacerlo.

Es fácil considerar estos aspectos como cuatro elementos independientes, pero no están aislados. Se acumulan. La superficie está aumentando. El ritmo de renovación (y la carga operativa) se está acelerando. Los algoritmos que subyacen a todo ello deben sustituirse. Si se abordan por separado, son cuatro proyectos difíciles. En conjunto, suponen un cambio radical en lo que se necesita para mantener la confianza.

Un paseo por el parque (pero no lo es)

Por eso hemos creado esta serie de vídeos y la hemos titulado Un paseo por el parque. El escenario es precisamente eso: nuestros expertos al aire libre, paseando por parques y zonas verdes, hablando tal y como lo hacen en realidad cuando no hay diapositivas de por medio. Pero el tema que se trata no tiene nada que ver con un paseo por el parque. Cada episodio (a partir de la semana que viene) se adentra en una de estas cuatro fuerzas y en lo que las organizaciones deben hacer para prepararse.

Próximamente: Acompáñame en mi charla con Ellen Boehm, vicepresidenta sénior de Innovación y Estrategia en IA, para hablar del problema de identidad del que nadie se hace responsable: los agentes de IA. Nos vemos en el próximo paseo.