¿Qué es la infraestructura de confianza?

Toda interacción digital depende de algo que la mayoría de nosotros no vemos. Las páginas web que visitamos, las aplicaciones que usamos, los pagos que se procesan, las actualizaciones que se instalan. Todas funcionan porque, entre bastidores, se verifica la confianza entre las máquinas que lo hacen posible.

Las identidades de las máquinas y la criptografía son lo que lo hace todo posible. Las firmas verifican el código y los documentos. Los algoritmos cifran los datos. Los protocolos establecen la confianza. Los certificados acreditan la autenticidad de los dispositivos, los servidores y las máquinas. Cuando todo esto funciona, el negocio fluye. Cuando falla, también lo hacen los sistemas y las medidas de seguridad que se ejecutan en él.

Esto es la infraestructura de confianza. Es la base criptográfica que hace funcionar la economía digital. Y, al igual que ocurre con cualquier otro tipo de infraestructura crítica —la electricidad, el agua, la energía—, la mayoría de la gente no piensa en ella hasta que falla.

Los componentes de la infraestructura de confianza

Entonces, ¿en qué consiste la infraestructura de confianza? En esencia, se compone de identidades criptográficas, activos y sistemas que funcionan conjuntamente para establecer y verificar la confianza de forma continua.

Sistemas de fijación y anclajes

• Las autoridades de certificación (CA) públicas y privadas emiten y validan certificados a gran escala.
• Los módulos Hardware (HSM), los módulos de plataforma de confianza (TPM) y los enclaves seguros generan y almacenan información confidencial.
• Los sistemas de gestión del ciclo de vida de los certificados regulan la forma en que se gestionan, renuevan, revocan y auditan los certificados digitales.
• Los sistemas de gestión de claves generan, almacenan y renuevan las claves criptográficas.

Identidades y activos

• Las claves y los certificados verifican la identidad de máquinas, servicios, dispositivos y agentes de IA.
• Los algoritmos y los protocolos garantizan la seguridad de las comunicaciones y establecen la confianza.
• Las bibliotecas criptográficas permiten a los desarrolladores incorporar funciones de seguridad a las aplicaciones sin tener que crear algoritmos complejos desde cero.
• Las firmas digitales garantizan que software, el firmware, los artefactos y las transacciones sean auténticos y no hayan sido manipulados.

La historia de la infraestructura de confianza

Durante décadas, las identidades de las máquinas y la criptografía han estado fragmentadas y, en gran medida, sin gestionar. Ahora, constituyen una infraestructura fundamental que debe ser supervisada, coordinada y gestionada de forma activa en todos los entornos.

La era de Internet

Configúralo y olvídate

La década de los 2000 trajo consigo Internet, los dispositivos móviles y la nube. Las organizaciones pusieron en marcha su primera infraestructura de clave pública (PKI) y emitieron certificados para proteger las redes empresariales.

La vigencia de los certificados no tenía límite. Los algoritmos de cifrado se mantuvieron durante años. Cuando la velocidad de los ordenadores aumentó, los equipos de seguridad simplemente aumentaron el tamaño de las claves y siguieron adelante.

Era la época de «si no está roto, no lo arregles». Esos detalles técnicos se dejaban en manos de los especialistas.

La era de las máquinas

El Salvaje Oeste

En la década de 2010, la nube y IoT un lugar central. Los servidores, los contenedores y las aplicaciones se multiplicaron. Cada nuevo entorno traía consigo nuevos requisitos de confianza. Las herramientas se fragmentaron. La responsabilidad sobre ellas se volvió poco clara.

Entonces empezaron a aparecer las grietas. SHA-1 se derrumbó. Heartbleed dejó al descubierto claves a una escala nunca vista. El sector reaccionó: se limitó la validez deTLS a cinco años, luego a tres, dos y uno. Los equipos se esforzaron por seguir el ritmo, y los certificados caducados provocaron la interrupción de servicios críticos, desde Azure hasta LinkedIn y Spotify.

Lo que antes era un simple detalle de configuración pasó de repente a aparecer en los análisis retrospectivos (y en los titulares). El rápido crecimiento del número de máquinas en entornos híbridos obligó a las organizaciones a establecer nuevas estructuras de equipo y a tomar decisiones difíciles en cuanto a las herramientas.

La era de la automatización

Automatizar o fracasar

La IA ya está aquí. Los agentes acceden a las API y realizan acciones. Las credenciales estáticas y las claves de API no se diseñaron para esto. La gestión de identidades a la velocidad de las máquinas se vuelve fundamental, y la demanda de certificados vuelve a dispararse. 

Mientras tanto, la vigencia de TLS se reducirá una vez más, pasando de un año a tan solo 47 días para 2029. Están surgiendo nuevos algoritmos poscuánticos, y se insta a las organizaciones a iniciar la migración. A pesar de los cambios, muchos equipos siguen dependiendo de un conjunto heterogéneo de herramientas y procesos manuales que fallan ante la presión.

O nos automatizamos o nos quedamos fuera. 

La era cuántica

Un nuevo paradigma 

La informática cuántica avanza a pasos agigantados. Gartner prevé que la criptografía asimétrica actual dejará de ser segura en 2029 y será totalmente vulnerable en 2034. Pero la realidad es aún más inquietante: el «Q-day» no es una fecha concreta. Se trata de una lenta acumulación de riesgos que ya está en marcha.

Los riesgos de «recoger ahora, descifrar después» son hoy una realidad. Los atacantes están actuando... acumulando en silencio datos con una larga vida útil —como historiales médicos, registros financieros o propiedad intelectual— a la espera de disponer de los medios para descifrarlos. La filtración, en efecto, ya está en marcha.

Una nueva forma de pensar

Infraestructura de confianza

Durante la mayor parte de las dos últimas décadas, las identidades, los activos y los sistemas criptográficos se consideraban como las tuberías: importantes, pero casi invisibles. Se dejaban en manos de los pocos que se atrevían a trabajar con la criptografía. Esa época ha terminado.

Tres tendencias disruptivas están convergiendo al mismo tiempo:

• La superficie de exposición se está disparando: los agentes de IA, las cargas de trabajo y los servicios efímeros están impulsando ahora un rápido crecimiento de las identidades y los activos criptográficos, lo que da lugar a una superficie de exposición mayor que nunca.
• La vigencia de los certificados se está reduciendo: la validez de las identidades criptográficas en sitios web y aplicaciones que generan ingresos se reducirá de un año a tan solo 47 días para 2029, lo que obligará a equipos que ya están al límite a realizar 12 renovaciones.
• El panorama criptográfico está cambiando: la migración poscuántica ya está oficialmente en marcha, la mayor transición en más de una generación, y tendrá lugar en menos de cinco años.

Ninguna cola de tickets ni hoja de cálculo puede hacer frente a estos retos. La criptografía no es solo una instalación que hay que revisar cada pocos años, sino una infraestructura crítica que requiere una responsabilidad clara, visibilidad en tiempo real, niveles de servicio definidos y automatización como norma, no como un sueño.

La criptografía tiene un nuevo hogar

Muchas organizaciones están llevando a cabo otro cambio paralelo: la criptografía está encontrando un nuevo hogar. 

Un Centro de Excelencia Criptográfica (CCoE) puede adoptar diferentes formas. En algunas empresas, se trata de una función específica. En otras, es un grupo multifuncional. Independientemente de su estructura, el objetivo es el mismo: elaborar directrices y políticas para los equipos, orientar las decisiones sobre arquitectura y herramientas, impulsar la gobernanza y coordinar el cambio.

Esto no es solo teoría. Gartner lleva tiempo apuntando en esta dirección y recomienda a las organizaciones que establezcan un CCoE y se preparen para la «criptoagilidad» ya mismo. De hecho, afirman que las organizaciones que cuenten con un CCoE para 2028 ahorrarán un 50 % en los costes de migración a la PQC en comparación con aquellas que no lo tengan.

El plano de control de la infraestructura de confianza

Incluso contando con el equipo adecuado, un centro de excelencia (CCoE) solo puede funcionar tan bien como los sistemas en los que se basa. Y aquí es donde la mayoría de las organizaciones se topan con un obstáculo.

Las herramientas fragmentadas no pueden coordinar una migración. Las hojas de cálculo no pueden gestionar activos dinámicos. Las colas de tickets no pueden seguir el ritmo de identidades efímeras que duran apenas unas horas, o incluso unos minutos. Cada equipo se ocupa de una parte del problema, y nadie tiene una visión global.

Lo que se necesita es un plano de control para la infraestructura de confianza: una capa unificada que agrupe todos los elementos criptográficos de los que depende la empresa. Un verdadero plano de control ofrece cuatro cosas:

• Visibilidad y contexto. Un inventario actualizado constantemente de todos los certificados, claves, algoritmos, CA y dependencias criptográficas del entorno, junto con su contexto, para identificar y corregir vulnerabilidades.
• Políticas y gobernanza. Una política centralizada que define qué está permitido, qué va a caducar, qué se está desviando y quién es el responsable. Una aplicación que no dependa de que una persona se acuerde de comprobarlo.
• Automatización y coordinación. Gestión del ciclo de vida de identidades y activos criptográficos, integrada con los sistemas que los utilizan. 
• Agilidad y resiliencia. La capacidad de adaptarse al cambio sin tener que rediseñar todas las aplicaciones ni interrumpir las operaciones. Esta es la base para la migración poscuántica (y para lo que venga después).

En otras palabras, el mismo cambio que se produjo hace años en el ámbito de las tecnologías de la información en lo que respecta a la computación, las redes y la identidad se está produciendo ahora en el ámbito de la criptografía. De una configuración dispersa a una infraestructura gestionada. De herramientas puntuales a un plano de control coordinado. De una gestión reactiva a una resiliencia planificada. `

En resumen

La infraestructura de confianza solía ser invisible porque no cambiaba. Era una configuración que se establecía una vez y a la que rara vez se volvía. Hoy en día, cambia constantemente. Los certificados caducan en cuestión de días, las identidades se crean en segundos, los algoritmos tienen una vida útil limitada y los agentes de IA gestionan la confianza a una escala que los humanos no pueden supervisar manualmente.

Las organizaciones que salgan indemnes de los próximos cinco años serán aquellas que dejen de considerar la criptografía como un detalle secundario y empiecen a tratarla como lo que realmente es: una infraestructura fundamental para la economía digital. Contarán con un responsable claro. Dispondrán de un plano de control. La automatización se encargará de las tareas rutinarias, mientras que los seres humanos se ocuparán de la estrategia.

El futuro no empieza con la cuántica ni con la inteligencia artificial. Empieza con la confianza que estamos forjando ahora mismo.

¿Tienes alguna pregunta sobre la infraestructura de confianza?
Tenemos las respuestas.