Riesgos del descontrol de los certificados para la autenticación

Jordi Hidalgo, CPO de Redtrust.

Publicado el 23 Ene 2023

76744_01

La digitalización ha terminado de consolidar al certificado digital como uno de los elementos más importantes en la empresa. Sus casos de uso, como la firma documental o la autenticación, han mejorado las comunicaciones digitales con otras organizaciones y administraciones, agilizando los trámites y aumentando la productividad. Asimismo, el certificado se ha demostrado fundamental a la hora de combatir el robo y la suplantación de la identidad.

Sin embargo, la falta de control sobre los certificados digitales corporativos presenta una serie de riesgos que ponen en peligro la autenticación y, con ello, la seguridad de la identidad digital. Tales amenazas van desde la dispersión y pérdida de los certificados hasta su uso sin control, sin olvidar la ausencia de un registro histórico de acciones o la interrupción de la actividad.

Dispersión, pérdida y uso sin control

Una de las prácticas más comunes que genera la falta de control de los certificados es la instalación de copias en los equipos de trabajo, un procedimiento que, además, y en el momento de renovarlos, implica su actualización individual. Por su parte, la exportación, transporte e instalación en otros dispositivos alejados de los límites y del control de la empresa también muestra la ineficiencia de una gestión descentralizada.

Y es que, la dispersión de los certificados permite que cualquier empleado sea capaz de acceder a ellos sin límite, pudiendo autenticarse y realizar trámites para los que no está autorizado, o efectuar copias de los mismos para instalarlos en otros equipos. Resaltar que esta ausencia de control es directamente proporcional a la falta de protección sobre la identidad digital, por lo que la empresa puede verse inmersa en un incidente de suplantación de identidad. Lo mismo ocurre en caso de recibir un ciberataque. Si un certificado está almacenado en un dispositivo víctima de una agresión, quedará expuesto para su uso ilegítimo.

Otro de los grandes riesgos que presenta la falta de control sobre los certificados tiene que ver con el acceso a los diferentes documentos digitales y el manejo que los trabajadores hacen de ellos.

Dejar a merced de los usuarios el uso de los certificados representa un grave peligro para la operativa empresarial y la seguridad digital. Por eso, el acceso a los diferentes certificados y su utilización por parte de los empleados debe restringirse en función de la posición que el trabajador ocupe dentro de la organización, según las tareas que este individuo desempeñe o atendiendo a cualquier otra limitación que la empresa estime y/o según sus políticas de control de acceso.

Ausencia de registro e interrupción de la actividad

¿Conocen las empresas todas las acciones que realizan los empleados con los certificados? Básicamente, no. Y el problema es que la falta de monitorización de estas operaciones puede afectar a la trazabilidad de los certificados, además de derivar en problemas para la operativa, seguridad y reputación corporativa de producirse un incidente de seguridad.

Y qué decir tiene que, si un mismo certificado está duplicado sin control en varios dispositivos, la dificultad de descubrir el origen de su uso se incrementa o si los empleados se autentican en remoto mientras teletrabajan; hablaríamos ya de una falta de supervisión total.

No obstante, si hay un peligro que atemoriza a cualquier empresario es el de una interrupción de la actividad. En este contexto, no son pocas las organizaciones que han sufrido una parada en su actividad a consecuencia de certificados que han caducado de forma inesperada, ante la inexistente gestión de su ciclo de vida.

Ciertamente, trabajar con un elevado volumen de certificados dificulta el hecho de conocer sus fechas de caducidad, más aún si estos han sido emitidos durante diferentes momentos en el tiempo. Para remediarlo, muchas empresas utilizan hojas de cálculo para anotar la fecha de expiración de cada certificado, una práctica rudimentaria que no facilita la anticipación.

La centralización como solución

La dispersión de los certificados digitales se erradica mediante la centralización, siendo esta la solución para una gestión segura y controlada.

Es más, gracias a la centralización, los certificados quedan custodiados en un único repositorio en lugar de alojarse en los equipos de los trabajadores, con el ahorro de costes y tiempo que esto supone para los equipos de IT. Paralelamente, las compañías eluden por completo cualquier brecha de seguridad originada por el transporte de los certificados, evitando su exportación o duplicado, ya que ni los certificados ni sus claves privadas abandonan el servidor donde se custodian.

Otra ventaja de la centralización es que los empleados disponen de los certificados siempre que lo necesitan, autenticándose de forma segura desde cualquier lugar y momento. Un beneficio de especial interés, sobre todo, cuando ya son más de 1,58 millones de personas las que teletrabajan (datos correspondientes al último trimestre de 2021) y requieren el uso de certificados en remoto. Además, la custodia de los certificados en un repositorio seguro impide que los ciberdelincuentes accedan a ellos en caso de recibir un ataque cibernético, securizando por completo este activo estratégico.

¿Qué te ha parecido este artículo?

La tua opinione è importante per noi!

Redacción

Artículos relacionados

Artículo 1 de 3