¿Cómo almacenar certificados digitales y claves criptográficas garantizando la seguridad de la empresa? Sin duda, el camino pasa siempre por la adopción de buenas prácticas.
Es decir, el almacenamiento de certificados digitales y claves criptográficas proporciona una capa de seguridad crítica que protege todos los activos virtuales de una empresa.
Las violaciones debidas a ataques basados en la confianza se deben precisamente a un almacenamiento inadecuado y a una mala gestión.
Cuando tiene éxito, un ataque llevado a cabo contra un certificado digital puede tener efectos desastrosos para cualquier organización. Además de los aspectos de seguridad, los certificados caducados causan grandes pérdidas en el negocio.
Por lo tanto, no basta con implantar una política de uso de certificados digitales y claves criptográficas: también es necesario desarrollar asertivamente procesos de almacenamiento y gestión.
Siga leyendo este post para obtener más información sobre el almacenamiento de certificados digitales.
El almacenamiento de certificados digitales y los ataques basados en la confianza
Como sabe, los certificados digitales y las claves criptográficas son esenciales para las empresas. Al fin y al cabo, protegen los datos, mantienen la privacidad de las comunicaciones y establecen la confianza entre las partes que se comunican.
En la práctica, los certificados digitales se utilizan para varios fines. Entre ellas figuran la comprobación de identidad, el cifrado de archivos, la autenticación web, la seguridad del correo electrónico y la verificación de firmas de software.
A pesar de su importancia, muchas empresas son vulnerables a las infracciones porque permiten que la gestión de certificados y claves criptográficas se considere un problema operativo, en lugar de una vulnerabilidad de seguridad que debe solucionarse de inmediato.
De hecho, es mucho más un fallo en las políticas y procesos de almacenamiento de certificados digitales que una vulnerabilidad causada por la ausencia de actualizaciones de seguridad o fallos que puedan comprometer cualquier tipo de estructura tecnológica de una organización.
Al fin y al cabo, los hackers se centran en las claves criptográficas y los certificados como vectores de ataque. Con malas intenciones, los roban para obtener un estatus de confianza y luego lo utilizan para evitar ser detectados y saltarse los controles de seguridad.
El ataque se produce precisamente cuando se rompe la confianza
Los ciberdelincuentes utilizan ataques basados en la confianza para infiltrarse en las empresas, robar información valiosa y manipular dominios. Es decir, si las claves privadas utilizadas para firmar un certificado digital caen en las manos equivocadas, se puede violar el sistema y tumbar el sitio.
Cuando se pierden estas claves criptográficas, se pierde mucho tiempo y energía accediendo a los sistemas o renovando los certificados.
Para que se haga una idea, si los certificados de firma de código utilizados para firmar una aplicación para iPhone o Android, por ejemplo, se ven comprometidos, un desarrollador no autorizado podría lanzar malware con la ayuda de la identidad corporativa violada.
Para reducir el riesgo de ataques basados en la confianza, los certificados digitales y las claves criptográficas deben protegerse y almacenarse de forma segura. Así se evita que se pierdan o caigan en malas manos.
Opciones de almacenamiento de certificados digitales y prácticas recomendadas
Cada vez que se emite un certificado digital, se genera un par de claves (privada y pública).
Sin duda, la mejor práctica es mantener segura la clave privada.
Después de todo, si alguien puede utilizarlo, puede crear sitios de phishing con el certificado de su organización en la barra de direcciones, autenticarse en redes corporativas haciéndose pasar por usted, firmar aplicaciones o documentos en su nombre y leer sus correos electrónicos cifrados.
En muchas empresas, los certificados digitales y las claves criptográficas constituyen la identidad de sus empleados y, por tanto, una extensión de la identificación de su organización. Su protección equivale a la de las huellas dactilares cuando se utilizan credenciales biométricas.
Desde luego, no permitirías que un pirata informático obtuviera tu huella dactilar. Entonces, ¿por qué dejarle acceder a tu certificado digital?
|
Almacenamiento de certificados digitales
Las modalidades más utilizadas para almacenar certificados digitales en Brasil son dos: A3, en token o tarjeta, y A1, en archivo en el ordenador u otro dispositivo.
A3 almacenado en token
Se trata de un tipo de certificado que se almacena en un token criptográfico, un dispositivo similar a un pendrive, que debe conectarse directamente a un puerto USB del ordenador del usuario o del servidor donde se vaya a ejecutar el sistema. Además, no es posible copiar, de lo contrario se bloquearán los soportes.
A3 almacenado en la tarjeta
Este tipo de certificado se almacena en una tarjeta inteligente con chip, como las nuevas tarjetas bancarias. En resumen, debe conectarse a un lector que debe enchufarse a un puerto USB del ordenador del usuario o del servidor donde vaya a funcionar el sistema. Asimismo, no es posible realizar copias, so pena de bloquear los medios criptográficos.
A1 almacenado en un archivo de un ordenador u otro dispositivo
Es un archivo electrónico guardado en el ordenador del usuario o en el servidor donde se ejecutará el sistema. Suele tener las extensiones .PFX o .P12 y no necesita fichas ni tarjetas para ser transportado de un lado a otro.
Almacenamiento en la nube A1
Con él podrá acceder a su certificado y firmar digitalmente documentos a través de cualquier dispositivo: ordenadores de sobremesa, teléfonos inteligentes y tabletas. Por último, también gana en seguridad y elimina la preocupación por daños físicos, robos y pérdidas.
No pierda sus certificadosdigitales
En resumen, el almacenamiento de certificados digitales debe ser eficiente y tratarse como una prioridad en la organización.
La elección de la mejor forma de almacenamiento dependerá de las políticas y procesos de seguridad implantados en la empresa y, principalmente, de quién utiliza los certificados y para qué se utilizan.
De este modo, las normativas que deba cumplir su empresa, los costes y los recursos internos estarán asegurados gracias al almacenamiento de certificados digitales.
Acerca de Eval
EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004 ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.
Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.
Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.
Eval, la seguridad es un valor.