¿Qué es la PKI y cómo funciona?

La infraestructura de clave pública (Public key infrastructure, PKI) es un marco de seguridad que utiliza pares de claves criptográficas y certificados digitales para autenticar identidades, cifrar datos y proteger las comunicaciones digitales. Es la columna vertebral del correo electrónico seguro, la banca en línea, las plataformas en la nube y casi todas las interacciones digitales de confianza.

La PKI es una parte esencial de la seguridad de los datos, ya que crea la capa de confianza que sustenta las interacciones seguras en sistemas, dispositivos y datos empresariales críticos.

En esta guía, exploraremos cómo la PKI crea una base segura para las operaciones digitales, protegiendo datos, identidades y transacciones en un mundo de crecientes riesgos cibernéticos.

• La PKI es la base de la confianza digital, ya que permite el cifrado, la autenticación y las firmas digitales que mantienen seguros los datos, los dispositivos y las identidades.
• Un sistema de PKI incluye certificados, claves, autoridades de certificación, autoridades de registro, HSM y software de gestión de apoyo, todos los cuales trabajan juntos para verificar identidades y proteger información sensible en todos los sistemas.
• PKI es compatible con casos de uso clave como el cifrado SSL/TLS, correo electrónico seguro, firma de documentos, autenticación del usuario, seguridad de IoT y gestión de identidades de máquinas.
• Entre las ventajas de la PKI figuran las comunicaciones seguras, el control de acceso, la autenticación y la firma de código para verificar la integridad del software.
• Los sectores que manejan datos confidenciales, como el financiero, el gubernamental y el sanitario, utilizan sistemas PKI para cumplir estrictos requisitos de privacidad.

La infraestructura de clave pública incluye las políticas, las funciones, el hardware, el software y los procedimientos necesarios para crear, administrar, distribuir, usar, almacenar y revocar certificados digitales. Estos certificados funcionan como pasaportes digitales o permisos de conducir, verificando usuarios, dispositivos y servicios antes de que puedan conectarse o compartir datos.

La PKI permite a usuarios y sistemas intercambiar datos de forma segura al tiempo que confirma la identidad de ambas partes. Protege actividades sensibles como la banca en línea, el comercio electrónico y el correo electrónico cifrado. En los entornos informáticos actuales, estos sistemas son esenciales para la ciberseguridad y para mantener el cumplimiento de las leyes y normativas de protección de datos. 

Por ejemplo, cuando un empleado se conecta al portal interno de una empresa desde su oficina en casa, la PKI cifra la conexión y verifica la identidad del servidor. También firma digitalmente los intercambios de datos para garantizar que no han sido alterados en tránsito. Esto permite a los empleados y sistemas compartir información confidencial con confianza, sabiendo que se están comunicando con entidades legítimas y autorizadas. 

A medida que las amenazas cambian y la computación cuántica se hace más real, la PKI respalda la agilidad criptográfica. Esto significa que las organizaciones pueden adoptar normas de cifrado más estrictas, incluidas las diseñadas para resistir ataques cuánticos, sin interrumpir sus operaciones.

La PKI no es una única herramienta, sino un sistema de piezas conectadas. Juntos, gestionan el cifrado, protegen los datos y aseguran la comunicación entre usuarios, dispositivos y servicios.

Los componentes de una infraestructura de clave pública incluyen los siguientes:

• Claves de PKI: Un par de claves utilizado para el cifrado. Esto protege los datos haciéndolos ilegibles para cualquiera excepto para el destinatario previsto. En criptografía, a cada clave pública le corresponde una clave privada. La clave pública se distribuye libre y abiertamente, mientras que la privada es secreta para el propietario.
• Certificados digitales: Credenciales electrónicas que vinculan la identidad del titular del certificado a un par de claves que pueden utilizarse para cifrar y firmar información.
• Autoridad de certificados (CA): Una entidad que verifica identidades y emite certificados digitales.
• Autoridad de registro (RA): Se encarga de aceptar las solicitudes de certificados y autenticar a la persona u organización que las presenta.
• Repositorios de certificados: Sistemas de almacenamiento seguro que contienen certificados digitales para su consulta y validación.
• Software de gestión centralizada: Software que permite a las organizaciones gestionar claves y certificados digitales desde un único lugar.
• Módulo de seguridad de hardware (HSM): Dispositivos físicos que realizan operaciones criptográficas y almacenan claves privadas de forma segura.

La PKI reúne estos componentes para aplicar políticas de confianza a usuarios, dispositivos y sistemas. Mediante la verificación de identidades, el cifrado y la gestión de certificados, crea un marco escalable que solo permite a las entidades de confianza intercambiar información.

La PKI funciona mediante cifrado, un subconjunto de la criptografía que transforma datos legibles en un formato ilegible mediante algoritmos matemáticos.

Los algoritmos de cifrado se dividen en dos categorías principales. El cifrado simétrico utiliza la misma clave para cifrar y descifrar datos. Si esa clave se ve comprometida, los datos dejan de estar seguros.

En cambio, el cifrado asimétrico utiliza dos claves vinculadas. Una es pública y se comparte ampliamente, mientras que la otra es privada y se mantiene en secreto. El cifrado PKI utiliza este método para codificar datos, autenticar usuarios y proteger transacciones.

El proceso paso a paso ilustra cómo funciona la PKI en la práctica:

1. Cada usuario, dispositivo o sistema genera una clave privada (mantenida en secreto) y una clave pública (compartida abiertamente).
2. Una autoridad de certificación (Certificate Authority, CA) valida la identidad de la entidad y emite un certificado digital, vinculando la clave pública a dicha identidad. La conexión de la identidad a un par de claves admite la autenticación de PKI, que verifica que solo los usuarios, dispositivos y sistemas de confianza pueden acceder a los recursos sensibles.
3. Al enviar datos cifrados, el remitente utiliza la clave pública del destinatario. Solo la clave privada correspondiente puede descifrarlo.
4. El remitente también puede aplicar una firma digital utilizando su propia clave privada.
5. El sistema del destinatario comprueba el certificado con una CA. Puede utilizar una lista de revocación de certificados (CRL) o un protocolo de estado en línea (OCSP) para asegurarse de que no ha sido revocado, lo que confirma la confianza en la clave. Esto demuestra el origen de los datos, garantizando su integridad y confirmando que no han sido modificados.
6. Si una clave o certificado se ve comprometido, los sistemas PKI pueden revocarlo, manteniendo la seguridad en toda la red.

Al verificar las identidades y proteger los datos, la PKI fomenta la confianza entre todos los usuarios. También evita los ataques de intermediario (MITM), la suplantación de identidad y el spoofing. Por ejemplo, aunque un atacante intercepte un mensaje, no podrá descifrarlo sin la clave privada.

Las organizaciones pueden gestionar la PKI sin tener que invertir en una infraestructura tecnológica interna significativa o en conocimientos especializados con PKI-as-a-Service (PKIaaS). Esta solución basada en la nube ofrece gestión de certificados escalable, rotación automatizada de claves y supervisión, ayudando a organizaciones de todos los tamaños a mantener comunicaciones y transacciones seguras.

Certificados digitales

Un certificado digital, a veces denominado «certificado de clave pública», es un documento electrónico utilizado para identificar al propietario de una clave pública. Esto permite al destinatario confirmar que la clave procede de una fuente legítima, mitigando el riesgo de un ataque MITM. 

Los certificados suelen incluir:

• Información identificable, como el nombre del titular del certificado, el número de serie del certificado y su fecha de caducidad.
• Una copia de la clave pública, que otros pueden utilizar para cifrar datos y verificar firmas digitales, respaldando tanto la confidencialidad como la autenticación.
• La firma digital de la CA emisora para confirmar la autenticidad.

Una gestión del ciclo de vida de los certificados adecuada es fundamental para mantener un intercambio de datos seguro y garantizar que el cifrado y la autenticación funcionan correctamente. Los certificados PKI deben rastrearse y supervisarse desde su emisión hasta su caducidad, y renovarse según sea necesario. También pueden revocarse si están comprometidos o caducados.

Autoridades de certificación

Una autoridad de certificación es una organización externa de confianza que crea y emite certificados digitales. Validan identidades y ayudan a establecer cadenas de confianza para comunicaciones digitales seguras.

Todas las CA mantienen listas de revocación de certificados (CRL), que documentan los certificados revocados antes de su fecha de caducidad prevista. Esto ayuda a las organizaciones a identificar los certificados que ya no son válidos o seguros.

En términos generales, existen dos tipos de CA:

• CA raíz: La entidad de mayor confianza en un sistema PKI. Las CA raíz utilizan certificados autofirmados y establecen la base de la confianza al emitir certificados a CA subordinadas o directamente a los usuarios finales.
• CA subordinada: Estas están certificadas por una CA raíz o una subordinada superior. Estas autoridades heredan la confianza y expiden certificados a usuarios, dispositivos o sistemas. 

Cada certificado de la cadena es responsable de certificar la autenticidad del siguiente, creando una ruta de confianza continua y fiable de arriba abajo. Cualquier compromiso entre las CA puede romper esta cadena, socavando potencialmente la seguridad de la PKI.

Las CA toman medidas específicas para crear certificados:

1. Generación de claves: Un usuario o sistema crea un par de claves pública y privada.
2. Solicitud de certificado: Una solicitud de firma de certificado (CSR) se envía a una CA e incluye su clave pública y la información de identidad.
3. Verificación: La CA valida la identidad del usuario, a menudo con la ayuda de una RA. 
4. Emisión de certificado: Una vez verificado, la CA emite un certificado digital que contiene la clave pública del usuario y otros datos de identificación. Este certificado también está firmado por la clave privada de la CA, creando una firma digital.

La gestión de estos pasos a gran escala requiere automatización, aplicación de políticas y visibilidad. Los servicios de certificación ayudan a las organizaciones a reducir riesgos y cumplir las expectativas de conformidad sin añadir complejidad.

Sistemas de gestión de certificados

Los sistemas de gestión de certificados son soluciones informáticas que facilitan todos los aspectos del ciclo de vida de los certificados, desde la emisión y el aprovisionamiento de certificados hasta la validación, la revocación y la renovación. Estas herramientas reducen el riesgo, mejoran la visibilidad y garantizan que los activos criptográficos se manejen de forma coherente.

Por ejemplo, algunas soluciones mantienen registros detallados de todas las actividades relacionadas, lo que ayuda a cumplir los requisitos normativos y las auditorías internas. Al centralizar la gestión en una única fuente de información, las organizaciones reducen el riesgo de vencimientos pasados por alto o del uso indebido de certificados, a la vez que fortalecen la protección de los datos.

Los sistemas automatizados ayudan a evitar la «proliferación de certificados», cuando se despliegan miles de certificados en entornos complejos sin un control centralizado. Estos sistemas controlan las fechas de caducidad, gestionan las renovaciones y revocan los certificados cuando es necesario para mantener la seguridad de los sistemas.

La automatización también puede ayudar a las empresas a aplicar políticas de PKI a escala, lo que les permite asignar recursos informáticos de forma más eficiente y garantizar la coherencia en toda la organización. En general, la gestión automatizada de certificados evita errores, interrupciones y vulnerabilidades que pueden interrumpir las operaciones y ofrecer oportunidades para la explotación delictiva.

Módulos de seguridad hardware

Los HSMs desempeñan un papel fundamental en la arquitectura de seguridad de la PKI. Estos dispositivos físicos protegen los procesos criptográficos mediante la generación, el almacenamiento y la manipulación de claves en un entorno reforzado y a prueba de manipulaciones.

Por ejemplo, un HSM puede generar un par de claves utilizando generadores de números aleatorios de alta calidad, esenciales para un cifrado fuerte. Como las claves nunca salen del dispositivo en texto plano, se minimiza la exposición a las amenazas.

Otra función importante es el almacenamiento de claves privadas. Mantener las claves dentro de hardware seguro las protege de ser extraídas o comprometidas por entidades no autorizadas. Esto no solo protege las claves, sino que permite a las empresas aplicar estrictas políticas de seguridad a nivel de hardware. Por ello, para las empresas de sectores que requieren una alta fiabilidad de seguridad, como el financiero o el gubernamental, los HSM son esenciales en los sistemas PKI para proteger los datos y respaldar la confianza.

Comprender dónde se utiliza la PKI aclara su valor. Estas son algunas de las formas más significativas en que las organizaciones aprovechan la PKI en su beneficio.

Comunicación segura

PKI es una piedra angular para proteger diversas formas de comunicación digital, como el correo electrónico, los servicios de mensajería, etc. No solo salvaguarda estos canales, sino que también los hace más fiables para todas las partes implicadas, incluidos consumidores, socios, empleados, ciudadanos, reguladores, etc.

Autenticación y control de acceso

PKI proporciona mecanismos de autenticación sólidos para los usuarios que acceden a sistemas, redes o servicios en línea. Los certificados pueden servir como forma de identificación digital segura, garantizando que el acceso solo se concede a usuarios verificados.

Estas capacidades hacen de la PKI una parte clave de un modelo de seguridad Zero Trust. Zero Trust funciona según el principio de «Nunca confíes, siempre verifica», que requiere una autenticación continua para confirmar cada usuario y dispositivo que accede a los recursos, independientemente de su ubicación. Al integrar PKI en una estrategia Zero Trust, las organizaciones pueden mejorar la seguridad, agilizar el cumplimiento y reducir el riesgo de ciberamenazas a escala.

Firma de documentos y sellado de tiempo

Las firmas digitales con tecnología PKI verifican la autenticidad e integridad de los documentos electrónicos. Esto es esencial para el papeleo legal, los contratos y otros registros en los que se requiere una prueba de originalidad, confidencialidad y consentimiento.

Los certificados de firma de documentos sirven para tres propósitos fundamentales:

• Autenticidad: El certificado confirma que el documento ha sido firmado por la persona o entidad que posee la clave privada correspondiente a la clave pública del certificado.
• Integridad: Cualquier alteración del documento una vez firmado invalida la firma digital. Esto garantiza que el documento recibido es exactamente el que el firmante tenía intención de enviar, sin ninguna modificación.
• No repudio: El firmante no puede negar la autenticidad de su firma en un documento, ya que la firma digital y el certificado asociado proporcionan pruebas sólidas de la identidad del firmante y de su acuerdo con el contenido del documento en el momento de la firma.

Además, la combinación de comodidad y sólida garantía de seguridad de las firmas digitales favorece una mayor eficiencia y una aceleración de los ingresos: hasta el 80 % de los acuerdos con firma digital se completan en menos de un día, y el 44 % en menos de 15 minutos.

Firma de código

Los desarrolladores de software utilizan los certificados de firma de código para autenticar sus scripts. De este modo, los usuarios finales pueden verificar que el software que descargan no ha sido alterado. Esto ayuda a proteger contra el malware, mantener la integridad del software y fomentar la confianza de los consumidores.

Integridad del software

La PKI se utiliza en la firma de código para verificar el origen y la integridad del software. Garantiza que las aplicaciones, los controladores y las actualizaciones no han sido manipulados durante su distribución.

Internet de las cosas (IoT)

Los dispositivos inteligentes que recogen, almacenan y transmiten datos a otras máquinas son potencialmente vulnerables a las ciberamenazas. A medida que el número de dispositivos conectados y cargas de trabajo sigue creciendo, especialmente en entornos de nube e IoT, garantizar una autenticación segura y escalable se ha convertido en un reto importante.

Al proporcionar a cada dispositivo un certificado digital único, la PKI establece una base de confianza escalable que permite verificar que los dispositivos que se comunican sean realmente legítimos. Esto impide el acceso no autorizado, la suplantación de identidad y la manipulación de datos, incluso en redes grandes y distribuidas.

Más allá de la autenticación, la infraestructura de clave pública también permite el cifrado de extremo a extremo de los datos en tránsito, garantizando que las comunicaciones entre dispositivos, aplicaciones y cargas de trabajo en la nube sigan siendo seguras y a prueba de manipulaciones.

La PKI es esencial en sectores que se enfrentan a amenazas únicas y en los que las violaciones de datos acarrean graves consecuencias legales, financieras y normativas.

• Las finanzas confían en la PKI para la banca en línea segura, la autenticación de transacciones y el cumplimiento de los estrictos requisitos KYC (Conozca a su cliente) y AML (Prevención del blanqueo de capitales). La sólida seguridad de los certificados digitales ayuda a proteger los datos de los clientes durante las transferencias, verifica las identidades en grandes transacciones y evita el fraude y el acceso no autorizado.
• Los organismos públicos confían en la PKI para la comunicación segura de información clasificada, la firma digital de documentos oficiales y la verificación de la identidad de los ciudadanos. También admite transacciones seguras en línea, como la declaración de impuestos y el alta en la Seguridad Social y otras prestaciones. Al garantizar la autenticidad y la integridad, la PKI ayuda a mantener la confianza en los sistemas gubernamentales digitales.
• Las organizaciones sanitarias utilizan PKI para proteger las historias clínicas electrónicas (HCE), cumplir la normativa HIPAA sobre datos de pacientes y autenticar dispositivos médicos en las redes. También puede garantizar la confidencialidad durante las citas de telemedicina y los portales de pacientes, lo que permite a los sistemas sanitarios ofrecer servicios en línea y a distancia a una mayor población de pacientes.
• Las grandes empresas con fuerzas de trabajo dispersas implementan PKI para todo, desde la encriptación del correo electrónico hasta el acceso a VPN y la autenticación de dispositivos IoT. A medida que las organizaciones se enfrentan a ataques cada vez más sofisticados, la PKI ayuda a garantizar que solo los usuarios y dispositivos verificados puedan acceder a los recursos.

Estas prácticas recomendadas lo ayudarán a reforzar la implantación de su PKI y le permitirán gestionar los certificados de forma segura.

• Mantener las políticas y procedimientos actualizados: Las políticas de certificación (CP) y las declaraciones de prácticas de certificación (CPS) son esenciales para la PKI. La CP es un documento exhaustivo que describe las diferentes clases de certificados emitidos por una autoridad de certificación y sus políticas aplicables. La CPS detalla el modo en que la CA aplica estas políticas desde el punto de vista técnico. Mantener actualizados estos documentos es fundamental para preservar la seguridad, la confianza y el cumplimiento de la legislación. Deben revisarse y modificarse periódicamente para adaptarse al panorama dinámico de la ciberseguridad, la tecnología y los cambios normativos.
• Proteger las claves privadas: Mecanismos sólidos como los HSM brindan protección física y lógica contra la manipulación y el acceso no autorizado.
• Practicar una rotación y renovación periódicas de las llaves: Las claves y los certificados no deben utilizarse indefinidamente. Establezca una rutina para la rotación periódica de claves y certificados a fin de mitigar los riesgos asociados con la exposición de claves y evitar vencimientos inesperados. Este tipo de agilidad criptográfica es cada vez más esencial para prepararse para las amenazas poscuánticas, ya que los malos actores buscan recopilar datos ahora y descifrarlos cuando estén disponibles los ordenadores cuánticos con capacidad para descifrar los algoritmos actuales.
• Implementar esquemas de autenticación fuerte: Exija la autenticación de factores múltiples (MFA) para reforzar la seguridad al acceder a los sistemas de PKI y realizar operaciones sensibles, como la emisión o la revocación de certificados.
• Centralizar la administración de certificados y claves: Implemente herramientas y procesos que brinden mayor visibilidad y control para gestionar todo el ciclo de vida de los certificados, desde la emisión hasta la revocación. Esto también facilita las auditorías y el cumplimiento de la normativa, ya que permite la transparencia y la trazabilidad.
• Establecer políticas de copia de seguridad y recuperación de claves: Establezca y pruebe periódicamente los procedimientos de copia de seguridad y recuperación para confirmar que los componentes críticos de la PKI pueden restablecerse de forma rápida y segura tras una interrupción o un desastre.

La gestión de servicios PKI es útil para organizaciones que necesitan PKI pero no disponen de los conocimientos necesarios. En estas situaciones, un proveedor de PKI gestionada ayuda a administrar las políticas, el hardware y el software para garantizar que la PKI funciona de acuerdo con las mejores prácticas.

La PKI en la nube es un modelo de implementación basado en servicios, en el cual la autoridad de certificación (CA), la gestión de claves y las herramientas de ciclo de vida están alojadas por un proveedor. Las organizaciones pueden implementar y gestionar certificados digitales sin necesidad de invertir o mantener su propia infraestructura física. En comparación con la PKI local, que ofrece un control total pero requiere importantes costos y recursos informáticos, la PKI en la nube ofrece una implementación más rápida, un escalado más sencillo y una gestión simplificada.

La PKI en la nube es ideal para empresas con entornos informáticos grandes o distribuidos. Permite una emisión de certificados más rápida, admite la gestión automatizada del ciclo de vida y mejora la visibilidad para el cumplimiento de la normativa.

También existen modelos de implementación híbridos. Los despliegues de PKI híbridos combinan servicios basados en la nube con infraestructura local. Este modelo ofrece a las organizaciones una mayor flexibilidad, permitiéndoles mantener el control sobre los componentes sensibles al tiempo que se benefician de la escalabilidad de la nube.

Las organizaciones deben elegir el modelo que se ajuste a sus recursos, prioridades y objetivos, que les ayude a cumplir los requisitos normativos y que pueda adaptarse a los cambios en la carga de trabajo.

La infraestructura de clave pública seguirá siendo la base de la confianza digital a medida que evolucionen los métodos criptográficos. Pero tendrá que seguir el ritmo de esos avances y cambios tecnológicos y empresariales.

Con la rápida aproximación de la computación cuántica, los algoritmos de clave pública actuales dejarán de ser seguros, amenazando la confidencialidad e integridad de las comunicaciones digitales. Para prepararse, las empresas deben centrarse ahora en la criptoagilidad para garantizar su capacidad de seguir el ritmo de la tecnología sin interrumpir las operaciones. 

El NIST publicó las primeras normas de cifrado poscuántico en 2024 para ayudar a estandarizar los algoritmos diseñados para resistir los ataques cuánticos. Estas nuevas normas modificarán la forma en que las organizaciones protegen las identidades, los datos y las transacciones. La transición a la criptografía poscuántica requiere una planificación cuidadosa, visibilidad en todos los sistemas de certificados y herramientas escalables para la gestión del ciclo de vida.

Para mantenerse a la vanguardia, las organizaciones necesitan sistemas PKI que admitan la automatización y permitan integrar nuevos algoritmos sin interrupciones. La agilidad, la visibilidad y la preparación en materia de normas son fundamentales para sortear tanto la evolución de la normativa como las futuras amenazas criptográficas.

Entrust ofrece una variedad de soluciones de software PKI, incluidas las opciones nativas de la nube PKI as a Service (PKIaaS), servicios PKI gestionados y nuestra solución PKI en las instalaciones, Entrust Certificate Authority. Esto permite a su organización equilibrar la habilitación y la seguridad en función de sus necesidades específicas y su ecosistema digital.

Para las organizaciones que buscan una solución integral para todas sus necesidades de gestión de la seguridad criptográfica, la plataforma de seguridad criptográfica de Entrust proporciona todos los componentes críticos de la infraestructura de clave pública, combinados con la gestión del ciclo de vida de los certificados, la gestión de claves y secretos y los HSM en una potente interfaz de gestión centralizada.

Pruebe usted mismo la plataforma consultando nuestra demostración interactiva hoy mismo.