El número de personas y empresas que utilizan Internet para transmitir datos confidenciales aumenta sin cesar a medida que el acceso se vuelve más rápido y asequible. El problema es que Internet no se diseñó pensando en la seguridad. Los ciberdelincuentes no dudan en explotar este hecho para su propio beneficio, a expensas de quienes utilizan Internet para comunicaciones personales y transacciones comerciales.
Para facilitar la transferencia electrónica segura de información para una amplia gama de actividades de red, se implementó un conjunto de roles, políticas, hardware, software y procedimientos para administrar el cifrado de clave pública, y los certificados digitales juegan un papel crucial en él, así como en cada estrategia moderna de ciberseguridad.
Explicamos aquí qué es un certificado digital, para qué se usa, sus tipos y beneficios.
Indice
¿Qué es un certificado digital?
Un certificado digital, también conocido como certificado de clave pública, se utiliza para vincular criptográficamente la propiedad de una clave pública con la entidad que la posee. Los certificados digitales sirven para compartir claves públicas que se utilizarán para el cifrado y la autenticación.
Los certificados digitales incluyen la clave pública que se está certificando, información identificativa sobre la entidad propietaria de la clave pública, metadatos relacionados con el certificado digital y una firma digital de la clave pública creada por el emisor del certificado.
La distribución, autenticación y revocación de certificados digitales son las funciones principales de la infraestructura de clave pública (PKI), el sistema que distribuye y autentica las claves públicas.
La criptografía de clave pública depende de pares de claves:
- una clave privada que debe tener el propietario y que se utiliza para firmar y descifrar y
- una clave pública que se puede utilizar para cifrar los datos enviados al propietario de la clave pública o autenticar los datos firmados del titular del certificado.
El certificado digital permite a las entidades compartir su clave pública para que puedan autenticarse.
Los certificados digitales se utilizan en funciones de criptografía de clave pública más comúnmente para inicializar conexiones de Capa de sockets seguros (SSL) entre navegadores web y servidores web. Los certificados digitales también se utilizan para compartir claves utilizadas para el cifrado de claves públicas y la autenticación de firmas digitales.
Todos los principales navegadores web y servidores web utilizan certificados digitales para garantizar que los actores no autorizados no hayan modificado el contenido publicado y para compartir claves para cifrar y descifrar el contenido web. Los certificados digitales también se utilizan en otros contextos, en línea y fuera de línea, para proporcionar seguridad criptográfica y privacidad de datos.
Los certificados digitales que son compatibles con entornos operativos móviles, computadoras portátiles, tabletas, dispositivos de Internet de las cosas (IoT) y aplicaciones de software y redes ayudan a proteger los sitios web, las redes inalámbricas y las redes privadas virtuales.
¿Quién puede emitirlo?
Una entidad puede crear su propia PKI y emitir sus propios certificados digitales, creando un certificado autofirmado. Este enfoque puede ser razonable cuando una organización mantiene su propia PKI para emitir certificados para su propio uso interno.
Pero las autoridades de certificación (CA), consideradas terceros de confianza en el contexto de una PKI, emiten la mayoría de los certificados digitales. El uso de un tercero de confianza para emitir certificados digitales permite a las personas extender su confianza en la CA a los certificados digitales que emite.
¿Cómo se utilizan los certificados digitales?
Los certificados digitales se utilizan de las siguientes formas:
- Las tarjetas de crédito y débito utilizan certificados digitales integrados en chip que se conectan con comerciantes y bancos para garantizar que las transacciones realizadas sean seguras y auténticas.
- Las empresas de pago digital utilizan certificados digitales para autenticar sus cajeros automáticos, quioscos y equipos de punto de venta en el campo con un servidor central en su centro de datos.
- Los sitios web utilizan certificados digitales para la validación de dominios a fin de demostrar que son confiables y auténticos.
- Los certificados digitales se utilizan en el correo electrónico seguro para identificar a un usuario ante otro y también se pueden utilizar para la firma electrónica de documentos. El remitente firma digitalmente el correo electrónico y el destinatario verifica la firma.
- Los fabricantes de hardware informático incorporan certificados digitales en módems de cable para ayudar a prevenir el robo del servicio de banda ancha mediante la clonación de dispositivos.
A medida que aumentan las amenazas cibernéticas, más empresas están considerando adjuntar certificados digitales a todos los dispositivos de IoT que operan en el borde y dentro de sus empresas. Los objetivos son prevenir las ciberamenazas y proteger la propiedad intelectual.
Certificados digitales frente a firmas digitales
La criptografía de clave pública admite varias funciones diferentes, incluido el cifrado y la autenticación, y permite una firma digital. Las firmas digitales se generan utilizando algoritmos para firmar datos, de modo que un destinatario pueda confirmar de manera irrefutable que los datos fueron firmados por un titular de clave pública en particular.
Las firmas digitales se generan mediante el hash de los datos que se van a firmar con un hash criptográfico unidireccional; el resultado luego se cifra con la clave privada del firmante. La firma digital incorpora este hash cifrado, que solo puede autenticarse o verificarse utilizando la clave pública del remitente para descifrar la firma digital y luego ejecutando el mismo algoritmo hash unidireccional en el contenido que se firmó. A continuación, se comparan los dos hashes. Si coinciden, demuestra que los datos no se modificaron desde el momento en que se firmaron y que el remitente es el propietario del par de claves públicas que se utilizó para firmarlos.
Una firma digital puede depender de la distribución de una clave pública en forma de certificado digital, pero no es obligatorio que la clave pública se transmita de esa forma. Sin embargo, los certificados digitales se firman digitalmente y no se debe confiar en ellos a menos que se pueda verificar la firma.
Tipos
Los servidores web y los navegadores web utilizan tres tipos de certificados digitales para autenticarse a través de Internet. Estos certificados digitales se utilizan para vincular un servidor web de un dominio a la persona u organización que posee el dominio. Por lo general, se denominan certificados SSL a pesar de que el protocolo de seguridad de la capa de transporte ha reemplazado a SSL. Los tres tipos son los siguientes:
Certificados SSL validados por dominio
Los certificados SSL validados por dominio (DV) ofrecen la menor cantidad de seguridad sobre el titular del certificado. Los solicitantes de certificados DV SSL solo necesitan demostrar que tienen derecho a utilizar el nombre de dominio. Si bien estos certificados pueden garantizar que el titular del certificado envíe y reciba datos, no brindan garantías sobre quién es esa entidad.
Certificados SSL validados por la organización
Los certificados SSL validados por la organización (OV) brindan garantías adicionales sobre el titular del certificado. Confirman que el solicitante tiene derecho a utilizar el dominio. Los solicitantes de certificados SSL OV también se someten a una confirmación adicional de su propiedad del dominio.
Certificados SSL de validación extendida
Los certificados SSL de validación extendida ( EV ) se emiten solo después de que el solicitante demuestre su identidad a satisfacción de la CA. El proceso de investigación verifica la existencia de la entidad que solicita el certificado, asegura que la identidad coincida con los registros oficiales y esté autorizada para usar el dominio, y confirma que el propietario del dominio ha autorizado la emisión del certificado.
Los métodos y criterios exactos que siguen las CA para proporcionar estos tipos de certificados SSL para dominios web están evolucionando a medida que la industria de las CA se adapta a las nuevas condiciones y aplicaciones.
También existen otros tipos de certificados digitales que se utilizan para diferentes propósitos:
- Los certificados de firma de código se pueden emitir a organizaciones o personas que publican software. Estos certificados se utilizan para compartir claves públicas que firman código de software, incluidos parches y actualizaciones de software. Los certificados de firma de código certifican la autenticidad del código firmado.
- Los certificados de cliente, también denominados ID digital, se emiten a personas para vincular su identidad a la clave pública del certificado. Las personas pueden usar estos certificados para firmar digitalmente mensajes u otros datos. También pueden utilizar sus claves privadas para cifrar datos que los destinatarios pueden descifrar utilizando la clave pública en el certificado del cliente.
Beneficios
Los certificados digitales brindan los siguientes beneficios:
- Intimidad. Cuando encripta las comunicaciones, los certificados digitales protegen los datos confidenciales y evitan que la información sea vista por personas no autorizadas para verla. Esta tecnología protege a las empresas y a las personas con grandes cantidades de datos confidenciales.
- Facilidad de uso. El proceso de certificación digital está en gran parte automatizado.
- Rentabilidad. En comparación con otras formas de cifrado y certificación, los certificados digitales son más económicos. La mayoría de los certificados digitales cuestan menos de 100 € al año.
- Flexibilidad. Los certificados digitales no tienen que comprarse a una CA. Para las organizaciones que están interesadas en crear y mantener su propio grupo interno de certificados digitales, es factible un enfoque de «hágalo usted mismo» para la creación de certificados digitales.
- Fácil de implementar: el hecho de que los certificados digitales no requieran ningún hardware adicional los hace muy fáciles y rentables de implementar.
Limitaciones
Algunas limitaciones de los certificados digitales incluyen las siguientes:
- Seguridad. Como cualquier otro elemento de disuasión de seguridad, los certificados digitales se pueden piratear. La forma más lógica de que ocurra un pirateo masivo es si la CA digital emisora es pirateada. Esto les da a los malos actores una vía de acceso para penetrar en el repositorio de certificados digitales que aloja la autoridad.
- Rendimiento lento. Se necesita tiempo para autenticar certificados digitales y para cifrar y descifrar. El tiempo de espera puede resultar frustrante.
- Integración. Los certificados digitales no son una tecnología independiente. Para ser efectivos, deben integrarse adecuadamente con sistemas, datos, aplicaciones, redes y hardware. Esto no es tarea fácil.
- Gestión. Cuantos más certificados digitales utilice una empresa, mayor será la necesidad de administrarlos y de rastrear cuáles están caducando y deben renovarse. Los terceros pueden proporcionar estos servicios, o las empresas pueden optar por hacer el trabajo por sí mismas. Pero puede resultar caro.
Importancia del certificado digital en ciberseguridad
En un mundo en el que Internet de las cosas se encuentra solo en sus primeras etapas, la seguridad en línea nunca ha sido tan importante. La necesidad de proteger los datos corporativos del creciente número de ciberataques debería ser la máxima prioridad de todas las instituciones. Una forma de impulsar la ciberseguridad de tu empresa es obtener tus propios certificados digitales.
Aquí hay cinco características para convencerte de que los certificados digitales son muy importantes para la ciberseguridad.
Seguridad
En pocas palabras, los certificados digitales son la opción más práctica para proteger tus datos corporativos en línea. Los certificados digitales cifran tus comunicaciones internas y externas para evitar que personas ajenas y phishers roben información confidencial.
Un excelente ejemplo de certificados digitales serían los certificados SSL. SSL cifra la comunicación entre el servidor web y el navegador web, lo que garantiza que los piratas informáticos no roben los datos del visitante.
Escalabilidad
Desde pequeñas a grandes empresas, los certificados digitales pueden proporcionarle la misma calidad de cifrado. Puedes centralizar fácilmente la gestión de tus certificados con la ayuda de plataformas como Managed PKI. Los certificados digitales son tan escalables que incluso puedes usarlos para proteger tus dispositivos BYOD. Puedes emitir, revocar y renovar certificados de toda tu empresa con solo unos pocos clics.
Fiabilidad
Es posible que estés pensando de dónde vienen los certificados digitales. Las instituciones conocidas como Autoridades de Certificación públicas confiables manejan la emisión de certificados digitales. No te preocupes, no entregan certificados de cualquier manera. Las empresas deben someterse a una investigación rigurosa antes de recibir sus certificados digitales, lo que garantiza que ninguna organización falsa pueda poseer certificados digitales y engañar a más víctimas. Las CA siempre se aseguran de mantener la seguridad en cada certificado que emiten.
Autenticidad
En la era actual en la que se puede falsificar un correo electrónico o un sitio web, los certificados digitales ayudan a garantizar que tu mensaje llegue a los destinatarios previstos. Mientras que los certificados SSL cifran tu sitio web, S / MIME cifra y firma tus correos electrónicos y los certificados de firma de documentos firman tus documentos digitalmente. La combinación de certificados digitales agrega poder vinculante legal a tus documentos.
Confianza pública
Al cifrar el sitio web de tu empresa y firmar digitalmente tus documentos y correos electrónicos, estás proyectando una reputación positiva a tus clientes. Invertir en ciberseguridad les permite a tus clientes saber que valoras su privacidad y seguridad por encima de todo. Cultivar la confianza es importante en todo tipo de negocios. Después de todo, ¿quién no quiere hacer negocios con una empresa pública de confianza?
Los certificados digitales ayudan a superar las limitaciones de seguridad de las firmas digitales al identificar al propietario de la clave pública y ponerla a disposición de todas las partes que necesitan validarla. Hoy en día, existen varios tipos diferentes de certificados digitales y todos juegan un papel importante en cualquier estrategia integral de ciberseguridad.
¿Puede un certificado digital ser pirateado?
El certificado digital protege las comunicaciones, manteniéndolas privadas de miradas indiscretas. No protege tu sitio web de ser pirateado. Si bien los certificados SSL son una parte increíblemente importante de la seguridad de un sitio web, son solo un elemento. No puedes simplemente instalar un certificado SSL y dejarlo todo, esperando que tu sitio web sea completamente seguro.
Piénsalo de esta manera, si tuvieras una casa con varias puertas exteriores, sería una tontería cerrar solo una de ellas y pensar que estás protegido de todo tipo de intrusos y visitantes no deseados. Al tener un SSL, simplemente cierras la puerta de tu sitio web que protege las comunicaciones entre tu sitio y el navegador web de un visitante. Para proteger completamente tu sitio, existen muchas otras puertas que deben bloquearse, como la protección contra malware y virus, así como la higiene de contraseñas.
Los certificados digitales son atractivos para los atacantes por una variedad de razones, pero principalmente porque son confiables; requieren pago y prueba de identidad para vincular el código, documento o aplicación a la organización o persona legítima. En esencia, verifican que la persona u organización es real y que el certificado les pertenece. Como tal, esto generalmente hace que los usuarios finales crean que la sesión protegida por el certificado digital es un entorno confiable donde pueden desprenderse de los datos personales, incluida la información financiera.
Estos ataques se llevan a cabo por numerosas razones. Por ejemplo, pueden aprovechar los certificados robados o interceptados para mejorar la difusión del malware y aumentar la probabilidad de que sus ataques no sean detectados por las herramientas de seguridad tradicionales, como las soluciones antivirus y antimalware. Muchas campañas de phishing incluso aprovechan los certificados SSL genuinos para garantizar la autenticidad.
Como tal, esta táctica se usa a menudo para la guerra cibernética, el fraude económico y los ataques MiTM para enviar malware a la máquina de la víctima. Es un ataque silencioso para el que pocas organizaciones están preparadas. Los ataques más recientes, en particular contra los certificados X509, se han utilizado para la exfiltración de datos.
Cómo prevenir el robo de certificados digitales
El robo de certificados digitales hace que los clientes sean susceptibles a los ataques Man-in-the-Middle (MITM). Los atacantes pueden usar el certificado robado para falsificar sitios web confiables y engañar a los clientes para que compartan información confidencial, como contraseñas. Si la clave privada también se ve comprometida, pueden piratear la sesión cifrada utilizando esa clave privada en particular para escuchar a escondidas las comunicaciones cliente-servidor y servidor-cliente. Los piratas informáticos también pueden firmar malware utilizando la clave privada robada e inyectarla en los sistemas, evitando la detección.
Estas son las formas en las que puedes evitar el robo de certificados digitales:
Monitorización de certificados digitales
La monitorización continua basada en IP que llega hasta el borde de la red y localiza cada certificado en la red es la primera línea de defensa para prevenir el compromiso de los certificados digitales. El software de monitorización debe escanear el contenido de cada certificado y alertar al equipo de seguridad si la firma digital del certificado está fuera de lo común, que suele ser la primera señal de un certificado comprometido.
Los certificados caducados representan el mayor riesgo para las empresas y es más probable que sean atacados por piratas informáticos: el software debe alertar periódicamente a los equipos de seguridad de los certificados que están a punto de caducar.
Almacenamiento de certificados y claves privadas en un lugar seguro
Almacena los certificados digitales y las claves lejos de la red del usuario en una ubicación centralizada y segura. Idealmente, debería ser un dispositivo cifrado, como una memoria USB, un token o un HSM (módulo de seguridad de hardware). De esta manera, incluso si la red o el sistema de los usuarios se ve comprometido, los certificados y las claves permanecen seguros. Restringe el acceso a la unidad de almacenamiento a usuarios privilegiados que utilicen contraseñas seguras y RBAC.
Automatización de la gestión de claves y certificados
La automatización de los procesos de certificados digitales, como el descubrimiento, las renovaciones, la inscripción, el aprovisionamiento y la revocación, ayuda a evitar errores humanos, que es una de las razones importantes detrás de las vulnerabilidades de los certificados. De manera similar, los procesos de administración de claves, como la rotación de claves y las actualizaciones de algoritmos criptográficos, deben automatizarse para que las claves sean a prueba de manipulaciones.
Uso de la gestión de políticas incorporada
Utiliza un software de gestión de claves y certificados que automatice la gestión de políticas. De esta manera, no tienes que preocuparte por violar una política sin saberlo en cualquier momento. La automatización basada en políticas del ciclo de vida de las claves y los certificados identifica y da de baja los certificados fraudulentos, renueva los certificados que están a punto de caducar y garantiza que todos tus procesos cumplan con las regulaciones gubernamentales y de la industria.
Controlar el acceso de los usuarios con la gestión de identidades y accesos
Muchas violaciones de seguridad ocurren debido a acciones ilegales accidentales o intencionales por parte de personas con información privilegiada. El control granular de las acciones de los usuarios y la concesión de privilegios de acceso basados en roles pueden reducir drásticamente las amenazas internas. Las herramientas de administración de identidad y acceso (IAM) garantizan que solo las personas adecuadas obtengan acceso a los activos correctos a través del inicio de sesión único, la autenticación de múltiples factores, la administración de acceso privilegiado, la gobernanza, etc.