Actualmente, los retos en seguridad abarcan múltiples áreas, pero existe una problemática clave que muchas empresas y canales no están abordando adecuadamente por desconocimiento: la gestión y protección de claves y certificados digitales. Así comienza una entrevista con Rafael Cuenca, Regional Sales Manager Digital Security Solutions de Entrust, realizada hace algunas semanas. Nos contaba el directivo que los sistemas digitales, todos, utilizan claves y certificados digitales para funciones críticas como cifrar datos, firmar código o autenticar comunicaciones, pero que estas claves “a menudo se almacenan de manera insegura, ya sea en servidores, firewalls o incluso en hojas de cálculo, sin medidas criptográficas adecuadas. Si estas semillas caen en manos equivocadas, toda la infraestructura puede ser comprometida”.
El problema es crítico, aseguraba el directivo, explicando que cada clave no gestionada o almacenada de forma insegura se convierte en una potencial brecha de seguridad. En muchas ocasiones la seguridad no tiene visibilidad sobre quién administra las claves de las bases de datos, dónde se almacenan, o quién tiene acceso, lo que provoca “un descontrol generalizado”.
En opinión de Rafael Cuenca, “el desafío no es nuevo, pero sigue siendo relevante”. Aseguraba que gran parte de los robos de datos están relacionados con claves comprometidas, que resulta vital garantizar la visibilidad, gestión y almacenamiento seguro de estas claves, y que la única forma realmente segura de hacerlo “es utilizando dispositivos criptográficos basados en hardware”. Haciendo referencia a normativas como NIS2 y al ENS, subrayaba “la necesidad urgente de que las empresas adopten prácticas más rigurosas en la gestión de claves y certificados digitales”.
¿Cuántas claves puede tener una empresa? “Miles”, respondía categórico Rafael Cuenca mencionando las claves de cifrado, las claves de bases de datos, los certificados SSL… Nos contaba que desde 2023 ha cambiado la forma en que se deben gestionar los certificados digitales, especialmente los de firma de código. Ahora la normativa exige que estos certificados no puedan ser entregados ni almacenados de forma insegura; “es decir, ya no es posible vender un certificado de firma de código si no está vinculado a un dispositivo seguro, como un USB o un HSM (Hardware Security Module), lo que significa que muchas organizaciones que aún almacenan estos certificados en servidores están incumpliendo la regulación”.
“Todo empieza con un HSM”
El problema se agrava con la gestión de las PKI (Infraestructuras de Clave Pública). Explicaba Rafael Cuenca que una PKI es fundamental para generar y gestionar certificados digitales, “pero su administración requiere un conocimiento técnico especializado y una inversión significativa, recursos que muchas organizaciones no tienen”. Por esta razón, algunas empresas optan por montar PKI gratuitas, para generar certificados y gestionar identidades digitales, especialmente en entornos como IoT (Internet de las Cosas). Sin embargo, existe un problema significativo: aunque estas PKI son funcionales y asequibles, “a menudo no cumplen con las normativas de seguridad porque no utilizan dispositivos como HSM (Hardware Security Module) para proteger las claves raíz y los certificados generados” explicaba el directivo de Entrust.
Un HSM es un dispositivo hardware diseñado específicamente para almacenar claves criptográficas de forma segura, pero su costo puede ser elevado: una solución básica puede rondar los 40.000 euros, especialmente si se requieren duplicados para redundancia. Esto lleva a muchas empresas a evitar esta inversión y a montar PKI sin un HSM, lo que representa una vulnerabilidad grave, aseguraba Rafael Cuenca mencionando un caso real: un cliente tenía más de 12.000 dispositivos IoT con certificados generados por su PKI sin HSM. Cuando las claves fueron comprometidas tuvieron que revocar y re-emitir todos los certificados, lo que implicó un gran costo y una interrupción significativa en sus operaciones. Este tipo de situaciones, comentaba el directivo, evidencian que no utilizar HSM no sólo va contra las normas de seguridad, sino que también expone a las empresas a riesgos operativos y financieros importantes.
Para Rafael Cuenca, “la identidad digital es el pilar fundamental de la seguridad, y las claves se han convertido en el principal punto crítico. Por eso, la pregunta clave es: ¿Dónde y cómo estás protegiendo tus claves? Si no tienes una respuesta sólida a eso, tu organización está en riesgo”.
Frente al problema de la gestión de claves la propuesta es… “gestión, visibilidad y seguridad de las claves”, decía el directivo de Entrust, asegurando que su compañía es capaz de ofrecer “seguridad, visibilidad y control de todos los tipos de claves que tiene una organización”. Todo empieza con un HSM.
Un servidor criptográfico (HSM) permite centralizar y gestionar de forma segura todas las claves de una organización, explicaba Rafael Cuenca, asegurando que su verdadero valor “no sólo radica en el almacenamiento, sino en su capacidad de integración con diferentes sistemas y herramientas”. Por ejemplo, las claves que cifran el tráfico de una VPN, en lugar de estar almacenadas de forma insegura en esos sistemas, pueden ser guardadas en el HSM. Además, este servidor criptográfico permite unificar en un único repositorio seguro las claves de bases de datos, certificados y otros elementos críticos de la empresa, lo que convierte al HSM “en una caja fuerte digital que garantiza la protección de las claves más importantes de la organización frente a cualquier amenaza”.
La última gran innovación ha sido el HSM como servicio. Aclaraba Rafael Cuenca que, aunque la compañía ofrece HSM como servicio, “nuestro modelo se centra en que el HSM sea del cliente. Es decir, no ofrecemos simplemente un servicio gestionado, sino que alojamos el HSM del cliente en nuestras infraestructuras. Esto asegura que el control total del HSM y de las claves siempre permanezca en manos del cliente, lo que es fundamental desde el punto de vista de seguridad y cumplimiento normativo”. Con este modelo, añadía, eliminamos para el cliente la necesidad de gestionar actualizaciones de hardware o de preocuparse por la infraestructura subyacente, a lo que hay que sumar que los centros de datos de Entrust están distribuidos estratégicamente en Europa y en otras regiones del mundo, ofreciendo redundancia y conformidad con las normativas locales.
“las organizaciones ahora manejan cientos, sino miles, de certificados, distribuidos entre múltiples departamentos”
Gestión y control de los certificados
Otra de las soluciones que ofrece la compañía se centra en la gestión y control de certificados, especialmente los certificados SSL. Tradicionalmente, las organizaciones gestionaban unos pocos certificados de forma manual, utilizando hojas de cálculo para rastrear sus fechas de expiración y renovarlos cuando era necesario. Sin embargo, el panorama actual ha cambiado drásticamente: las organizaciones ahora manejan cientos, sino miles, de certificados, distribuidos entre múltiples departamentos. En muchos casos, estos certificados no están bajo el control del equipo de seguridad, ya que departamentos como legal o marketing adquieren certificados por su cuenta, creando una brecha de visibilidad y seguridad.
Asegurando que esta proliferación de certificados no controlados genera un importante Shadow IT, con certificados adquiridos, implementados y gestionados de forma desorganizada, y que esto representa un riesgo significativo, ya que un certificado no renovado o comprometido puede provocar interrupciones en servicios clave o exponer a la organización a vulnerabilidades, mencionaba el directivo que Entrust cuenta con una solución para la gestión y control de certificados, especialmente los certificados SSL. Entrust Certificate Hub es una herramienta diseñada para resolver este problema de raíz mediante dos funcionalidades clave. Por un lado, el descubrimiento de certificados mediante un escaneo exhaustivo de los entornos de la organización (redes, sistemas, servidores, aplicaciones, etc.) para identificar todos los certificados existentes, independientemente de dónde estén alojados o quién los haya adquirido. Este proceso detecta información crítica como: ubicación del certificado, fecha de expiración y Entidad emisora (CA).
Una vez descubiertos los certificados, la herramienta permite centralizar su gestión en una única plataforma, brindando visibilidad completa; automatizar procesos como renovaciones o alertas por expiración; e integrarse con herramientas de seguridad y sistemas de gestión para mantener los certificados actualizados y alineados con las políticas internas.
PKI como servicio
“Otra área en la que podemos apoyar a las organizaciones es en la creación y gestión de PKI privadas”, nos contaba Rafael Cuenca, añadiendo que esto es particularmente relevante cuando una empresa decide generar sus propios certificados, como en el caso de dispositivos IoT. Por ejemplo, los vehículos modernos, especialmente los autónomos, generan un enorme volumen de datos y requieren una identidad digital segura; estos dispositivos necesitan un sistema confiable para manejar millones de certificados, lo cual se convierte en un desafío significativo. “En este contexto, ofrecemos PKI tradicionales y soluciones avanzadas como las PKI as a service, que permiten a los clientes generar sus propios certificados de forma segura y escalable sin necesidad de tener personal especializado para su administración”. Esta solución, además, está preparada para soportar algoritmos postcuánticos, garantizando así la seguridad a largo plazo.
“Con nuestra solución PKI as a service, los clientes pueden generar certificados de manera segura sin preocuparse por la infraestructura y la administración, ya que todo se maneja automáticamente, con la seguridad de contar con hardware criptográfico bajo demanda”, explicaba el directivo de Entrust.
“el primer reto que tienen las empresas es ser conscientes de los activos que tienen cifrados”
La era postcuántica
El problema de la tecnología cuántica es que tiene el potencial de hacer obsoletos todos los sistemas de cifrado actuales de manera inmediata. Aunque podría parecer poca cosa, Rafael Cuenca explicaba que el cifrado es algo que utilizamos todos los días: “por ejemplo, cuando pagas con tu tarjeta de crédito, esa transacción está protegida por cifrado. También cuando firmas digitalmente un contrato o una escritura. Si un atacante pudiera romper ese cifrado, podría alterar un documento y volver a firmarlo sin que nadie se diera cuenta”.
Aunque los ciberdelincuentes aún no tienen acceso a estos ordenadores cuánticos, los gobiernos y potencias como China o Rusia ya están trabajando en ellos. El reto para las empresas, por lo tanto, no es sólo un problema futurista de ordenadores cuánticos, sino que deben empezar a preparar sus sistemas y algoritmos de cifrado y firma digital para ser resistentes a este tipo de amenazas. Es aquí donde entra el concepto de «postcuántico», explicaba Rafael Cuenca, añadiendo que el esfuerzo actual se centra en generar algoritmos de cifrado que sean capaces de resistir los avances de la tecnología cuántica y que, para las empresas, esto implica un desafío significativo. Primero, deben cambiar los algoritmos de cifrado que utilizan actualmente, como el RSA o las curvas elípticas, por otros que sean resistentes a la computación cuántica. Esto no es un proceso trivial, ya que las empresas deben actualizar y reemplazar los algoritmos en todos sus sistemas, “y el primer reto que tienen las empresas es ser conscientes de los activos que tienen cifrados”.
Por lo tanto, lo que se puede hacer ahora mismo es adaptar los sistemas para utilizar algoritmos resistentes a la computación cuántica, recordaba el directivo de Entrust añadiendo que, en realidad, “la amenaza más inmediata no solo afecta a los sistemas de cifrado, que es claro que necesitan protección, sino también a los sistemas de firma digital como los utilizados en documentos PDF o plataformas como DocuSign”. Asegurando que serán los primeros en verse afectados y que, una vez que los algoritmos cuánticos sean publicados, plataformas como Adobe y otros proveedores de firmas digitales tendrán que implementarlos, comenta que la situación va a generar un cambio importante: los sistemas de firma tendrán que reconocer y emitir firmas utilizando estos nuevos algoritmos cuánticos.
“Uno de los principales desafíos que esto genera es cómo gestionar la validez de la firma en documentos de larga duración, como contratos hipotecarios o acuerdos con validez de muchos años, que fueron firmados de acuerdo con los algoritmos actuales. Estos documentos, que tienen una validez jurídica prolongada, deberán adaptarse a la nueva realidad de los algoritmos cuánticos, lo cual representa un reto significativo tanto a nivel técnico como legal”, explicaba el directivo. La propuesta de Entrust es realizar una firma postcuántica sobre la que ya hay que asegure que no puedan realizarse cambios.
