Ir al contenido

Webinar: Regístrese para nuestro próximo seminario web

Regístrate Ahora

  1. Blog
    2. PKI

¿Cuáles son los cinco pasos a considerar antes de implementar la seguridad PKI?

Publicado porSubhayu Roy 11 Minutos
Inscripción de certificados con SCEP y NDES
Tabla de contenido

Infraestructura de clave pública (PKI) es el hardware, el software, los procesos y las políticas para administrar certificados y claves. Las PKI son la base para el uso firmas digitales y diversas técnicas de cifrado para grandes poblaciones de usuarios. También es responsable de proporcionar elementos esenciales para un entorno empresarial seguro y confiable para IoT y otros sectores técnicos. Las aplicaciones de nueva generación dependen en gran medida de PKI Tecnología que garantiza la seguridad de las interacciones electrónicas mediante la autenticación y el cumplimiento de las normativas de seguridad. Además, facilita la identificación de dispositivos, servicios y usuarios, permitiendo el acceso controlado a sistemas y recursos, la protección de datos y la rendición de cuentas en las transacciones. 

Función de las autoridades de certificación (CA)

Para vincular claves públicas con sus usuarios asociados, las PKI utilizan Certificados digitalesEl objetivo principal es verificar la fiabilidad y autenticidad de un dominio, sitio web y organización para una comunicación segura y confiable entre la entidad y los usuarios. Un usuario sabrá si un sitio web es oficial y no falso o falsificado si... CA Emite un certificado digital. Esto garantiza que un atacante no robe datos privados, información ni dinero del usuario.

Los roles claves o cruciales de un CA son:

  • Emisión de certificado digital.
  • Ayudar a establecer confianza entre entidades que se comunican a través de Internet.
  • Verificar y validar identidades de nombres de dominio y organizaciones.
  • Mantener la Listas de revocación de certificados.

¿Cómo funciona un Certificado Digital?

Un certificado digital actúa como credencial para validar la identidad de la entidad seleccionada a la que se emite. Contiene información sobre la entidad, como su nombre, organización, información de contacto, clave pública, nombre de dominio, fecha de emisión del certificado, fecha de vencimiento del certificado emitido, etc. Además, el nombre de la CA emisora ​​de dicho certificado y su firma digital se incluyen en el certificado digital. También es beneficioso para cifrado y proteger la comunicación a través de Internet, manteniendo la integridad de los documentos firmados mediante ella y garantizando que ningún tercero pueda corromper los documentos mientras están en tránsito. 

¿Cómo funcionan los certificados SSL/TLS?

El protocolo de seguridad de la capa de transporte (TLS) utiliza certificados SSL para autenticar y cifrar datos para la transmisión. Protocolo de transferencia de hipertexto seguro (HTTPS)El protocolo SSL se utiliza para crear una conexión segura a través de internet mediante navegadores web que se conectan a sitios web. Para crear una conexión HTTPS, SSL funciona sobre HTTP, mientras que TLS es una versión mejorada de SSL. Cuando un navegador web inicia una conexión segura a través de HTTPS, el certificado digital (Certificado digital SSL/TLS) se envía al navegador web. Ahora, el navegador verifica la información del certificado con su almacén de certificados raíz. De esta forma, un certificado digital establece una conexión segura y cifrada entre el navegador del usuario y el servidor web de un sitio web u organización.

¿Cómo una Autoridad Certificadora emite un certificado digital?

Como componente importante de PKI, los certificados SSL/TLS requieren un certificado digital para funcionar correctamente, y aquí es donde entra en juego la CA.

Una organización o una persona puede solicitar un certificado digital a una CA, pero primero necesita generar un par de claves que consta de lo siguiente:

  • Llave privada

    Esta clave siempre se mantiene en secreto y no debe mostrarse a nadie, ni siquiera a la CA.

  • Llave pública

    Esta clave se menciona en el certificado digital que emite la CA, donde el solicitante también debe generar Solicitud de firma de certificado (CSR)Un CSR es un archivo de texto codificado que especifica la información que debe incluirse en el certificado, como el nombre de dominio, la organización, los detalles de contacto y nombres de dominio alternativos o adicionales (que incluyen subdominios).

Servicios de PKI empresarial

¡Obtenga soporte de consulta completo de extremo a extremo para todos sus requisitos de PKI!

Contáctanos

Tipos de certificados digitales

Las CA pueden emitir varios tipos de certificados para diferentes casos de uso, que son:

  • Certificados de firma de código

    Los desarrolladores y editores utilizan estos certificados para firmar sus distribuciones de software. Los usuarios los utilizan para autenticar y validar las descargas de software del desarrollador o proveedor.

  • Certificados de firma de correo electrónico

    Estos certificados permiten a las entidades firmar, autenticar y cifrar correos electrónicos utilizando el protocolo de extensiones de correo de Internet seguro/multipropósito para proteger los archivos adjuntos del correo.

  • Los certificados de usuario/cliente o los certificados de verificación de firma ayudan a las personas a gestionar diversas necesidades de autenticación.

  • Certificados de firma de objetos

    Estos certificados permiten firmar y autenticar cualquier objeto de software.

¿Cuáles son los riesgos de la PKI?

La implementación de PKI es fundamental para la seguridad de una empresa, pero aún más importante es garantizar su correcta implementación. A pesar de la naturaleza crítica de la tecnología PKI, las tareas relacionadas con ella a menudo no se consideran prioritarias y se asignan a personas sin experiencia. Esto genera errores y configuraciones incorrectas de PKI, lo que conlleva riesgos innecesarios. Los principales problemas de PKI que surgen en una empresa son:

  • Problemas con el certificado.
  • Problemas de implementación.
  • Problemas de seguridad.
  • Problemas de gobernanza.
  • Problemas de visibilidad.

Problemas con el certificado

El problema más común al configurar sistemas PKI al inicio de la implementación es el uso de claves débiles. Estas claves pueden convertirse en un punto de exposición que, en última instancia, puede generar un problema subyacente en la implementación de PKI. Los usuarios o las empresas tienden a mantener certificados con una vida útil más larga, ya que cambiarlos puede ser problemático. Sin embargo, esto también aumenta la superficie de ataque con el tiempo. Por lo tanto, la rotación de certificados suele reducir el riesgo de ataque. Los certificados con una vida útil prolongada también pueden implicar la presencia de algoritmos criptográficos obsoletos, lo que puede generar problemas a largo plazo incluso con soluciones fáciles. Por ejemplo, RSA y las técnicas de cifrado ECC son eficaces ahora, pero quedarán obsoletas en los próximos años debido a técnicas informáticas avanzadas como la computación cuántica. 

Problemas de implementación

Reutilizar certificados en diferentes dispositivos al implementarlos es muy arriesgado. Si bien esto puede parecer un proceso más económico y rápido para los usuarios, si un certificado necesita ser mejorado o es deficiente, todos los demás también lo serán. De igual manera, si se vulnera incluso un solo certificado, este riesgo potencial puede extenderse a varios dispositivos. Por lo tanto, es mejor mantener cada dispositivo separado para minimizar el riesgo entre dispositivos y certificados. 

Problemas de seguridad

La protección inadecuada de las claves privadas es uno de los problemas más comunes al configurar sistemas PKI. Ya sea un portátil con un Módulo de Plataforma Segura (TPM) o un dispositivo IoT con un enclave seguro, es importante garantizar la seguridad de las claves privadas. La falta de respuesta a las vulnerabilidades y la aplicación de parches es otro problema común. Esto debe considerarse parte del mantenimiento adecuado del sistema y debe prestársele la debida atención.

Problemas de gobernanza

Con reglas y orientación, es posible gestionar equipos de forma eficaz y eficiente. La falta de coherencia en las políticas de las organizaciones genera inconsistencias adicionales en la implementación de PKI, lo que genera importantes riesgos para las mismas. Es necesario crear reglas y un orden para prevenir este tipo de problemas, que deben seguirse y aplicarse de forma coherente. Otro problema importante es decidir cuándo usar raíces privadas o públicas, ya que una elección incorrecta puede generar mayores riesgos de seguridad. 

Problemas de visibilidad

Los problemas más comunes de visibilidad son las CA y los certificados falsos. Generalmente, se prefieren los certificados falsos a los de confianza emitidos por una CA de confianza, pero estos se emiten a la parte equivocada o están comprometidos. Permitir que los certificados o CA falsos sigan operando en el entorno sin administrarlos puede causar muchos más problemas. Esto también puede permitir a los atacantes crear sitios web ilegítimos que sean indistinguibles de los originales o reales.

Servicios de PKI empresarial

¡Obtenga soporte de consulta completo de extremo a extremo para todos sus requisitos de PKI!

Contáctanos

Cinco pasos para construir una PKI escalable 

La gestión de PKI es una función y una tarea importante para los equipos de seguridad empresarial, donde errores, herramientas y procesos obsoletos, y la falta de visibilidad provocan costosos fallos y vulnerabilidades. Debido al aumento de dispositivos conectados, es imposible gestionarla manualmente, por lo que las organizaciones deben considerar la implementación de diversos procesos para proteger adecuadamente su infraestructura de certificados. Existen cinco pasos simplificados para crear una PKI:

  • Identificar los riesgos de seguridad de la red no negociables.
  • Identificar los riesgos de seguridad de la red que PKI puede mitigar.
  • Desarrollar la combinación adecuada de PKI pública y privada.
  • Elegir si construir o comprar CA, es decir, CA interna o CA alojada.
  • Descubriendo cómo automatizar la entrega de certificados a los dispositivos.

Identificar los riesgos de seguridad de la red no negociables

La configuración de una PKI puede conllevar no solo problemas técnicos, sino también otros riesgos de seguridad que el usuario debe mitigar. Algunos de estos riesgos son:

  • Para evitar el acceso no autorizado a los servicios web.
  • Evitar el acceso no autorizado al conocimiento almacenado en bases de datos.
  • Prevenir el acceso no autorizado a las redes de usuarios u organizaciones.
  • Verificar la autenticidad de los mensajes transferidos en la red de usuarios u organizaciones.

Identificar los riesgos de seguridad de la red que PKI puede mitigar

La PKI puede beneficiarse al aumentar el nivel de seguridad de la red al vincular una identidad a una clave pública y permitirle mitigar riesgos mediante la autenticación cifrada y las firmas digitales. El cifrado ayuda a mitigar los riesgos de confidencialidad, los certificados de autenticación ayudan a mitigar los riesgos para los controles de acceso y los certificados digitales ayudan a mitigar los riesgos para la integridad. Por lo tanto, la PKI puede aplicarse a diversas aplicaciones, como:

  • Para proteger varias páginas web.
  • Para cifrar archivos y protegerlos.
  • Para autenticar inicios de sesión con el uso de tarjetas inteligentes.
  • Cifrado y autenticación de mensajes de correo electrónico mediante S/MIME.
  • Para autenticar conexiones a una VPN específica.
  • Para autenticar nodos que se conectarán a una red inalámbrica.

Desarrollar la combinación adecuada de PKI pública y privada

Tras identificar los riesgos de seguridad de la red y los procedimientos para mitigarlos, un usuario u organización está listo para planificar la arquitectura del sistema PKI. La configuración más madura consiste en construir una arquitectura híbrida, que incluya PKI privada y pública. Esta suele utilizar la PKI pública para proteger los sitios web y otros servicios públicos, mientras que la PKI privada protege los internos. Con la PKI, la identidad se vincula a la clave pública mediante el proceso de firma. Esta firma la realiza una raíz o un intermediario que la conecta. Los certificados emitidos por las raíces de confianza son válidos. Si la raíz que vinculó la identidad al almacén general está presente en el almacén de confianza, se puede confiar en la identidad vinculada a la clave pública.

Elegir si construir o comprar CA, es decir, CA interna o CA alojada

Tras decidir dónde se necesitan certificados privados para los servicios internos, el siguiente paso es determinar si es necesario crear una CA (PKI interna) o comprarla (PKI alojada). Ambas son buenas opciones, pero la decisión se reduce a los recursos y el personal que se dedicarán a esta configuración de PKI. Un servicio alojado ayuda a crear la raíz y la protege a un nivel acorde con la confianza pública. Aun así, una CA interna puede otorgar acceso y control totales al proceso de emisión, a la vez que asume los costos de software, licencias, hardware y capacitación. Pero la pregunta más importante es si una PKI gestionada internamente justifica la inversión en dinero, tiempo y personal, ya que la gestión de un sistema de PKI interno tiene tanto beneficios como costos ocultos.

Descubriendo cómo automatizar la entrega de certificados a los dispositivos

Para que la PKI funcione sin problemas a gran escala, es necesario automatizar el proceso de implementación de certificados. El cambio en los estándares de la industria y la reducción de los periodos de validez de los certificados significan que la automatización dejará de ser una opción en el futuro próximo, convirtiéndose en una necesidad. Habrá cientos o miles de dispositivos que gestionar. Solo aprovechando la automatización se podrá gestionar esto eficientemente y contribuir a mantener la seguridad, reduciendo la probabilidad de errores humanos e incidentes relacionados con los certificados. Los cuatro métodos más comunes para gestionar la automatización son:

  • APIs REST

    La CA elegida debe permitir el uso de puntos finales de API RESTful como parte de la programación para utilizar el software de administración de dispositivos empresariales.

  • Protocolo Simple de Inscripción de Certificados (SCEP)

    Esta ruta requiere un agente SCEP en los dispositivos para trabajar en conjunto con el software de gestión de dispositivos empresariales. Posteriormente, el software envía el script al dispositivo, indicándole que obtenga un certificado.

  • Inscripción en Transporte Seguro (EST)

    EST es el sucesor de SCEP. Es casi similar, salvo que admite la criptografía de curva elíptica (ECC), un tipo de criptografía que ayuda a crear claves criptográficas más rápidas, cortas y eficientes.

  • Inscripción automática de Microsoft AD

    Esto se utiliza para automatizar la entrega de certificados directamente al almacén de claves de Microsoft para todas las PC y servidores de Windows.

Conclusión

Tras planificar con éxito la integración de una PKI en la red, es posible implementarla tanto para la PKI pública como para la privada. Es necesario construir una PKI, ya que la situación actual de seguridad es crucial. 

Descubra nuestra

Blogs relacionados

Modernización de la infraestructura de clave pública (PKI) para mitigar el TNFL.

Modernización de la infraestructura de clave pública (PKI) para mitigar el TNFL.

Marzo 16, 2026
Control de PKI

Mantener el control de PKI en un mundo donde la nube es lo primero

Marzo 4, 2026
NDES y SCEP

Explicación de NDES y SCEP: la columna vertebral de la inscripción automatizada de certificados

Marzo 2, 2026

Explore

Más temas