Resulta tentador considerar los certificados y las identidades automáticas como las tuercas y los tornillos de la pila tecnológica de su organización: funciones críticas pero puramente técnicas que se dejan en manos de los profesionales de TI. Sin embargo, una serie de problemas recientes y los cambios normativos que se avecinan están obligando a adoptar un enfoque más proactivo, ágil y estratégico desde arriba para señalar la importancia de aplicar correctamente estos principios básicos.
“La PKI (Infraestructura de Clave Pública) y la criptografía siempre han estado a un nivel muy bajo, en la maleza, pero son fundamentales para la seguridad, aunque los CIO probablemente no les hayan prestado mucha atención”, afirma Christian Simko, vicepresidente de Marketing de Producto de la plataforma de automatización de código reducido AppViewX. “Ahora está mucho más en el punto de mira, ya que la gestión de identidades de máquinas, la gestión de identidades no humanas y la criptografía postcuántica se están convirtiendo en temas candentes que van a afectar a la seguridad y el cumplimiento en toda la organización. Cuando se empieza a tener en cuenta el cumplimiento de las normativas, el director de sistemas de información también empieza a prestar más atención”.
Correo y máquinas
Es posible que haya notado que los mensajes de correo electrónico de su bandeja de entrada se etiquetan no sólo como ajenos a su organización, sino también como procedentes de remitentes no verificados. Esto forma parte de un impulso para mejorar la adopción de las normas existentes para la reputación del correo electrónico, que se basan en certificados para la autenticación, que la mayoría de las organizaciones simplemente han ignorado, incluso a medida que han aumentado las amenazas al correo electrónico.
“Debería ser una práctica recomendada, pero le sorprendería saber cuántas organizaciones se han quedado rezagadas y no la han implantado plena y eficazmente”, afirma Simko.
A principios de este año, Google y Yahoo, a los que pronto se unirá Microsoft, empezaron a exigir a cualquier organización que haya enviado 5.000 mensajes en un solo día que utilice la autenticación de correo electrónico SPF, DKIM y DMARC, ya que esto afectará a los restablecimientos de contraseña, las notificaciones de envío y los correos electrónicos de recibo de compra dirigidos a las direcciones de correo electrónico de los consumidores, así como a los boletines y material de marketing enviados directamente o a través de proveedores de correo electrónico como Mailchimp. Y mientras que los proveedores de correo electrónico de consumo están empezando con la aplicación contra los remitentes masivos que todavía les permiten continuar con políticas DMARC laxas, las protecciones sólidas de autenticación de correo electrónico son relevantes para todas las organizaciones, y es muy posible que se apliquen de manera más estricta y más amplia en el futuro.
Las empresas no sólo tienen que asegurarse de que DMARC se implementa correctamente en todos sus dominios y subdominios -incluso si no los utilizan para enviar correo electrónico, tienen que protegerse contra un hacker que los suplante como fuente de correo electrónico-, sino que también tienen que supervisar los informes de correos electrónicos rechazados debido a fallos de DMARC. Y esto es algo para lo que los CIO tendrán que presupuestar tiempo y recursos, ya sea internamente o a través de un proveedor de seguridad de correo. También deberían considerar la posibilidad de etiquetar y rechazar el correo electrónico entrante que no cumpla las normas de reputación. Esto puede reducir significativamente los correos electrónicos de phishing, pero el impacto potencial en la comunicación legítima de otras organizaciones que aún no han adoptado las normas de reputación del correo electrónico hace que sea una decisión más estratégica que técnica.
Pero los certificados para el correo electrónico son sólo una pequeña parte del problema. Gracias a la adopción de infraestructuras complejas como IIoT, JSON Web Tokens y Kubernetes, entre otras, las organizaciones ya tienen en uso cientos de miles de identidades de máquinas aseguradas por certificados SSL/TLS, con vidas útiles que van de años a minutos. Un único dispositivo físico puede ejecutar cientos de cargas de trabajo efímeras. Y los certificados suelen estar mal gestionados y protegidos, incluso por organizaciones de sectores regulados como el financiero. Erik Wahlstrom, vicepresidente analista de Gartner, calcula que las identidades de las máquinas suelen superar en un orden de magnitud a las de los humanos. Esa cifra sigue creciendo, especialmente con la adopción de herramientas de IA que necesitan credenciales tanto para los sistemas a los que acceden como para los humanos en cuyo nombre actuarán. El estudio de Coleman Parkes para el proveedor de automatización Venafi predijo que las organizaciones con más de 10.000 empleados tendrán que gestionar hasta 1,3 millones de identidades y certificados de máquinas en 2025.
Pero las secuencias de comandos manuales, las hojas de cálculo y las automatizaciones caseras no se adaptan a esas cifras, sobre todo porque la mayoría de las empresas tienen poca visibilidad del número de certificados e identidades de máquinas que ya están utilizando. “Cuando la gente haga un inventario y un descubrimiento más completos, se sorprenderá de lo rápido que crece ese número”, afirma Geoff Cairns, analista principal de Forrester Research.
No ayuda el hecho de que las cargas de trabajo se almacenen digitalmente en bases de datos y almacenes de usuarios divergentes. “Todos necesitan identificadores y credenciales como certificados secretos y claves, y las organizaciones deben gestionarlo todo”, afirma Wahlstrom. Sin embargo, esto no suele ocurrir, y se subestima el alcance de este reto, añade, sin que las organizaciones dispongan de una herramienta que les ayude a gestionar todo esto en sus entornos híbridos y multicloud.
El sector carece de madurez, sugiere Matt Caulfield, vicepresidente de Producto de Duo, filial de seguridad de Cisco, ya que “no existe un directorio estándar de identidad de máquinas y hay una confusa variedad de protocolos de autenticación y autorización máquina a máquina (M2M)”.
Los problemas trascienden los límites de la organización y la identidad tradicional, y los equipos de gestión de acceso que gestionan la infraestructura de clave pública existente, como Active Directory, a menudo no participan en todas las iniciativas que requieren certificados e identidades de máquina, ni siquiera en los debates sobre cómo gestionar el problema.
“La nube ha empeorado exponencialmente este problema”, advierte el director de soluciones de AppViewX, Murali Palanisamy. “La PKI suele configurarla y gestionarla el equipo interno de Microsoft, y no tienen mucho que decir en las decisiones sobre la nube y la transformación digital. El equipo de DevOps tiene más que ver con la velocidad y la agilidad: hacen lo que es bueno para conseguir las cosas más rápido, no necesariamente lo que sería estratégico o lo correcto o lo que es seguro”.
Incluso cuando las organizaciones finalmente deciden establecer políticas y estandarizar la seguridad para las nuevas implementaciones, mitigar las implementaciones existentes es un gran esfuerzo, y en la pila moderna, no hay un equipo de operaciones dedicado, dice.
Esto hace que sea más importante que los CIO se hagan cargo del problema, señala Cairns. “Especialmente en las organizaciones más grandes, complejas y globales, a menudo se subestima la magnitud de tratar de impulsar estas cosas a través de la organización”, dice. “Parte de ello es tener un buen manejo de la cultura y cómo abordar estas cosas en términos de mensajería, comunicaciones, aplicación de las políticas y prácticas correctas, y asegurarse de que tienes la participación adecuada de las partes interesadas en los distintos puntos de este proceso – un montón de aspectos de gobierno”. Y una serie de incidentes recientes y nuevas propuestas hacen que esto sea más urgente.
Se necesita una rotación más rápida
La combinación de la proliferación de identidades y una higiene de identidades deficiente crea vulnerabilidades. Los problemas con los certificados ya provocan habitualmente interrupciones y problemas de seguridad dentro de las organizaciones, a menudo porque las notificaciones de caducidad pasan desapercibidas, incluso dentro de proveedores tecnológicos de la talla de Microsoft. Estos problemas también dan a los atacantes acceso a la infraestructura de la nube, a las cargas de trabajo de la empresa y a la cadena de suministro de software cuando las credenciales están mal gestionadas y protegidas.
A veces los resultados son simplemente embarazosos, pero un certificado caducado que rompía la inspección de tráfico TLS en Equifax condujo a la violación masiva de datos en 2017. “Las complejidades traídas por la adopción de la nube y DevOps – todas estas cosas que están impulsando el crecimiento exponencial de las identidades de máquina establecen organizaciones para una increíble cantidad de expansión de identidad y susceptibilidad a los atacantes que quieren moverse dentro de la organización”, dice Cairns.
La combinación de un mayor escrutinio y la mercantilización de las autoridades de certificación por parte de los proveedores de la nube y nuevos proveedores como Let’s Encrypt va a ejercer más presión sobre las empresas, haciendo insostenibles las malas prácticas internas. “El mercado de certificados TLS se ha convertido en una cuestión de adquisición y costes más que de otra cosa, pero algunos de los últimos incidentes hacen que las cosas vuelvan a centrarse más en la confianza y la seguridad subyacentes”, añade.
El momento oportuno lo es todo
Muchas grandes organizaciones pronto tendrán que revocar y volver a aprovisionar certificados TLS a gran escala. Una de cada cinco empresas de la lista Fortune 1000 utiliza Entrust como autoridad de certificación y, a partir del 1 de noviembre de 2024, Chrome seguirá los pasos de Firefox y dejará de confiar en los certificados TLS de Entrust debido a un patrón de fallos de cumplimiento, que la autoridad de certificación argumenta que, irónicamente, fueron causados en ocasiones por clientes empresariales que pedían más tiempo para hacer frente a la revocación. Los navegadores mostrarán advertencias de seguridad en lugar de bloquear completamente el acceso a los sitios que utilicen certificados de Entrust emitidos después del 31 de octubre de 2024, pero muchas organizaciones querrán cambiar de CA para evitar que los usuarios pierdan la confianza en sus sitios.
Esto también sienta un precedente para una aplicación más estricta de las políticas de seguridad de los certificados de los navegadores, tras años de tensiones entre los proveedores de navegadores y las CA. Incluso sin eso, los clientes de DigiCert, incluidos los que gestionan infraestructuras críticas como sistemas sanitarios y redes de telecomunicaciones, tuvieron que sustituir recientemente más de 83.000 certificados TLS, la mayoría con sólo 24 horas de preaviso, porque durante los últimos cinco años su portal de autoservicio para clientes no creaba correctamente los registros para la verificación DNS. Las notificaciones llegaron por correo electrónico un lunes por la mañana, lo que obligó a muchas empresas a rotar los certificados en varios sistemas.
En la actualidad, pocas organizaciones están preparadas para gestionar estos problemas con eficacia, pero es una experiencia que tendrán que desarrollar porque estos problemas seguirán ocurriendo, advierte Palanisamy. “Ha caído un rayo muchas veces”, afirma. “Esto no es algo raro. Va a ser la norma, así que tenemos que prepararnos”.
Sugiere que parte del problema es que las autoridades de certificación necesitan mantener certificados raíz para la generación de claves que son válidos durante décadas. “En un mundo digital, es casi como los años de los dinosaurios”, dice. “Tienes que mantener la clave viva y coleando durante 30 años. Hay que mantenerla y gestionarla. Es una infraestructura crítica que hay que mantener durante mucho tiempo”. La rotación de personal y la disminución de los márgenes también dificultan las cosas.
Irónicamente, la propuesta de Google de reducir la validez de los certificados TLS a sólo 90 días podría aliviar esa carga, porque los requisitos de validez de la raíz bajarían a entre cinco y siete años. Pero si esto se hace realidad, las empresas tendrán que rotar los certificados con tanta frecuencia que necesitarán automatización para seguir el ritmo. Los certificados TLS de cara al público solían ser válidos hasta tres años, pero se redujeron primero a 825 días (dos años más los 30 días previos a la expiración, cuando deben renovarse), y ahora a 398 días (un año más 30 días). Recientemente, Google propuso acortarlo a sólo 90 días, lo que significa que los certificados tendrían que renovarse cada dos o tres meses. No está claro si el Foro CA/Browser apoyará el cambio, pero si Google decide aplicarlo a Chrome de todos modos, su considerable cuota de mercado podría empujar a las autoridades de certificación a hacer de los 90 días el valor por defecto, lo que requeriría hasta seis veces más renovaciones de certificados.
Puede que sea una escala de tiempo demasiado agresiva para la mayoría de las organizaciones. Palanisamy lo calificó de función forzosa que requeriría mejores controles, prácticas y bases de seguridad. “En la práctica, no es posible hacerlo manualmente, para cada dispositivo y cada certificado de la organización”, afirma.
Revocar y sustituir certificados manualmente implica utilizar varios sistemas para generar y distribuir claves, lo que suele llevar una o dos horas por certificado; sin embargo, las automatizaciones caseras podrían hacerlo en 15 o 30 minutos. Los sistemas automatizados eficaces integrados con una serie de CA, lo que significa trabajar con una serie de API, SDK, agentes y el protocolo ACME, así como con sistemas empresariales y herramientas DevOps populares, pueden generar nuevas claves en unos segundos o minutos si hay un coste para el certificado que debe aprobarse como parte del flujo de trabajo. Esto debería ser lo suficientemente eficaz como para hacerlo de forma proactiva poco antes de que caduque, sacando el máximo partido de los certificados de corta duración.
Incluso sin certificados de 90 días, las organizaciones deben planificar con antelación la adopción del conjunto de normas de cifrado postcuántico recientemente aprobadas por el NIST, tanto para el cifrado general como para las firmas digitales. Es probable que las autoridades de certificación no estén preparadas para emitirlos hasta 2026, pero aún queda poco tiempo para prepararse para la complejidad adicional que añadirá a los certificados.
Para evitar que las organizaciones tengan que instalar certificados TLS duplicados -uno para los clientes que entienden los nuevos algoritmos y otro para los que no-, TLS está estandarizando suites de cifrado híbridas que utilizan algoritmos de cifrado tanto tradicionales como poscuánticos. Con ello se pretende simplificar la transición, pero también se refleja el hecho de que, aunque pueden ser realmente más rápidos, muchos algoritmos poscuánticos son nuevos y no se han analizado tan a fondo como los enfoques criptográficos actuales, por lo que puede ser necesario revertirlos si se descubren vulnerabilidades más adelante.
Al igual que con la transición de TLS 1.2 a 1.3, es probable que surjan algunos problemas. Cuando Chrome y Edge 124 activaron por defecto el intercambio de claves TLS postcuántico híbrido de Google a principios de este año, los servidores web que no implementaban TLS correctamente empezaron a rechazar conexiones. De hecho, los problemas de compatibilidad detectados en pruebas anteriores de Google y Cloudflare ya han retrasado varios años el despliegue de las claves poscuánticas en los navegadores.
Algunos servicios en la nube ya admiten el intercambio híbrido de claves postcuánticas, y pronto se convertirá en estándar. Los CIO deben estar preparados no sólo para probar la compatibilidad de sistemas y servicios, sino también para la carga añadida de gestionar certificados e identidades de máquinas para la transición postcuántica mucho antes de que los ordenadores cuánticos capaces de romper el cifrado tradicional sean una realidad, porque la información que se recoge hoy puede seguir siendo sensible cuando pueda descifrarse.
Independientemente de que la causa sean los ordenadores cuánticos u otros cambios, las organizaciones deben ser capaces de cambiar a nuevos algoritmos criptográficos más seguros cuando sea necesario. “Llegará un día en que las tecnologías de gestión de secretos y certificados de las organizaciones experimentarán una transformación inevitable y masiva que las dejará obsoletas”, advierte Wahlstrom, de Gartner. “Es sólo cuestión de tiempo. La criptoagilidad se trata de lo rápido que puedes volver a levantarte al otro lado”.
Construir su estrategia de identidad de máquina
Las empresas están empezando a prestar atención, dice Wahlstrom. El equipo de IAM de Gartner recibió el año pasado el doble de llamadas sobre gestión de identidades de máquinas que sobre autenticación multifactor (MFA). “No porque la MFA no sea importante, pero la gestión de las identidades de máquina es extremadamente urgente para las organizaciones en estos momentos”, afirma.
Para recuperar el control, aconseja a los CIO que establezcan una estrategia para los certificados y las identidades de máquina, empezando por definir su propio alcance de lo que se incluye, y basarlo en las necesidades técnicas para asegurarse de que no se dejan influir por las exageraciones de los proveedores.
Se está produciendo una consolidación, con la adquisición por parte de grandes proveedores de soluciones de identidad de otros más pequeños y especializados en identidades automáticas, y el aumento del valor empresarial de las herramientas. Pero la gestión de la identidad automática requiere mucho trabajo. “Hoy en día no existe una única solución que resuelva todos los aspectos”, afirma Cairns. “Empieza con un proceso de gobernanza que comprenda las necesidades empresariales de la organización, en lo que se refiere a las identidades de máquina, y cómo se están utilizando. Entender esos casos de uso, y los requisitos específicos y únicos de la organización, y luego pasar a sus selecciones de tecnología”.
Wahlstrom recomienda que los directores de sistemas de información creen un equipo interfuncional que elimine los silos de herramientas tradicionales en la identidad empresarial y asigne responsabilidades y rendición de cuentas en todo el tejido de identidades en evolución para las identidades automáticas. “Lo que vemos que falla en la mayoría de las organizaciones es que no se establece la propiedad en todas las unidades de negocio implicadas y se salta directamente a automatizarlo todo ahora”, afirma. “Establezca procesos, haga descubrimiento y establezca expectativas sobre cuánto puede automatizar”.
El inventario debe incluir un descubrimiento y una auditoría continuos, en lugar de ser algo puntual. El marco del ciclo de vida del certificado 2020 del NIST (SP 1800-16) es un buen punto de partida, ya que cubre los riesgos y las mejores prácticas para la gestión de certificados de servidor TLS a gran escala, incluidos los procesos automatizados de emisión, renovación y revocación, pero todavía hay muchas cuestiones que las empresas deben tener en cuenta, desde la longitud de las claves y los algoritmos hasta la adquisición y propiedad de los certificados. Si decide utilizar varias CA para minimizar los riesgos de revocación y disponibilidad, ¿cómo se asignarán? ¿Cómo se rastrean las configuraciones de los certificados en función de la estructura organizativa, la finalidad y el riesgo?
Ya se anima a las organizaciones que hacen algún tipo de negocio con el gobierno federal estadounidense a que automaticen los procesos de seguridad, incluida la gestión de identidades y certificados. Pero Cairns advierte que no hay que apresurarse a automatizar antes de saber de qué certificados e identidades de máquina se dispone y cuáles son los casos de uso.
“Las estrategias de certificados, claves SSH, secretos e identidades no humanas no son todas iguales”, afirma. “Por ejemplo, para controlar mejor la rotación de certificados, establezca una práctica de gestión del ciclo de vida de los certificados. Obtenga visibilidad de sus certificados inventariándolos, mantenga información actualizada sobre ellos e implemente alertas de caducidad. A continuación, y no antes, garantice un funcionamiento ininterrumpido en casos de uso de certificados de gran volumen y/o corta duración implantando la automatización y la gestión del ciclo de vida no basada en estándares cuando sea necesario”.
Los recientes problemas pueden dar a los CIO una idea de cuánto trabajo supondrá crear y poner en marcha su estrategia. Junto con la propuesta de Google sugerida por Cairns, son llamadas de atención para las empresas. “Estos incidentes ponen de relieve las realidades empresariales y el hecho de que es necesario ocuparse de esto para sus propios fines empresariales, agilidad y resiliencia”.
Read More from This Article: CIO, escuche: o planifica la gestión de certificados en plena evolución o se esfumarán
Source: News