La cantidad de máquinas que los equipos de ciberseguridad de las empresas tienen que administrar se ha disparado. Los servidores han sido reemplazados por máquinas virtuales convertidas no hace tanto en contenedores que ahora avanzan hacia funciones serverless basadas en cloud. No nos olvidemos del ecosistema IoT, cosas conectadas, muchas veces aisladas, que en 2021 sumaban 20.000 millones y que crecerán hasta los 29.000 millones para 2023, según datos de Cisco.
Si a esto le sumas una forma de trabajo híbrida que lleva a que el número de dispositivos de consumo que se conectan a las redes empresariales haya crecido, no debe sorprendernos que Gartner haya identificado la Identidad de las Máquinas como uno de los grandes riesgos de seguridad del próximo año.
Pero empecemos por el principio. La identidad de una máquina es mucha más que un numero de serie o un número de identificación digital. La identidad de la máquina es una colección de credenciales autenticadas que certifican que una máquina tiene acceso autorizado a recursos online o a una red. Y lo más importante: la identidad de la máquina es necesaria para los millones o miles de millones de comunicaciones diarias entre sistemas en los que no participa ningún ser humano, como el enrutamiento de mensajes en todo el mundo a través de varios dispositivos de red o servidores de aplicaciones que generan o usan datos almacenados en múltiples centros de datos. A medida que crece la cantidad de procesos y dispositivos que requieren comunicación de máquina a máquina, también crece la cantidad de identidades de máquinas para rastrear. Lo habitual es que cada máquina tenga su identidad digital a través de su propia clave o certificado, y que éste cambie con cierta frecuencia para crear entornos más seguros.
Por eso los certificados digitales y las Identidad de las máquinas están estrechamente relacionados y es precisamente en la gestión de estos certificados donde radica el reto de gestionar las identidades de las máquinas correctamente. Las soluciones tradicionales de gestión de acceso e identidad (IAM) se crearon para los tiempos del perímetro, cuando había menos máquinas y esas máquinas vivían dentro de los muros seguros de un centro de datos.
Según datos publicado por Gartner, el 50% de los incidentes de seguridad en la nube en 2020 se debieron a una gestión inadecuadas de las identidades, los accesos y los privilegios. La consultora eleva el porcentaje hasta el 75% para 2023.
La gestión manual de la identidad de la máquina no es sostenible ni escalable. Una gestión manual de certificados pone a las empresas en un riesgo significativo de que los certificados caduquen inesperadamente y se generen interrupciones, fallos críticas de los sistemas comerciales y brechas de seguridad.
En los últimos años, los certificados caducados han provocado incidentes que han costado miles de millones de dólares en ingresos perdidos, sanciones contractuales, juicios y el costo incalculable de la pérdida de buena voluntad de los clientes y la reputación de marca empañada.
En la era del Zero Trust, la identidad debe ser una prioridad para los CISOs, y la creación de un programa sólido de gestión de identidades de máquinas es clave. Según un estudio de Keyfactor, el 66% de los responsables de TI aseguran estar familiarizados con el concepto de gestión de identidad de máquina, lo que pone de manifiesto que muchos con conscientes de la necesidad de una estrategia centralizada para administrar las identidades de las máquinas.
¿Dónde debe ponerse el foco? Una de las tecnologías que están llamadas a mejorar la gestión de certificados y, por tanto, la gestión de la identidad de las máquinas, es la Crypto Agility, o Criptoagilidad, capaz de revocación y reemplazo de certificados en riesgo con certificados de seguridad cuántica rápidamente en respuesta a amenazas nuevas o cambiantes.
Como siempre, la visibilidad es vital y por tanto se debe ser capaz de ver el estado del certificado en un único panel de control. Y no hay que olvidarse de una escalabilidad que permita administrar certificados que se cuenten por cientos, miles e incluso millones.
