La infraestructura de clave pública (PKI) es un sistema de procesos, tecnologías y políticas que permite cifrar y firmar datos. Asimismo, esta solución puede emitir certificados digitales que autentican la identidad de los usuarios, dispositivos o servicios. Estos certificados crean una conexión segura tanto para páginas web públicas como para sistemas privados, como a la red privada virtual (VPN), Wi-Fi interno, páginas wiki y otros servicios compatibles con la autenticación Multifactor (MFA). Esta infraestructura es la red de seguridad invisible que colocan las personas y los dispositivos en Internet detrás de la información.
Los usuarios confían en las claves criptográficas y los certificados asociados con ellas para mantener los datos privados y seguros. Uno de los casos de uso más generalizados de PKI es el protocolo TLS/SSL, que protege casi todas las comunicaciones HTTPS cifradas para así navegar de forma segura por sitios web, redes sociales, leer noticias, comprar en línea etc.De hecho, más del 90% de los sitios web están protegidos por comunicación encriptada HTTPS y esto significa que los certificados TLS de sitios web son los certificados PKI más utilizados. Pero la PKI es mucho más amplia que el tráfico y las comunicaciones de Internet cotidianas.
Casos de uso PKI
- Firmas digitales
Las «firmas húmedas«, escritas con tinta en papel, tienen muchas desventajas. Después de todo, enviar un contrato firmado físicamente para su aprobación puede llevar mucho tiempo. Los documentos legalmente vinculantes pueden requerir la firma en persona o la firma ante un testigo o notario, por lo que la demora no es el único factor. En este contexto, el uso de tecnología de firma digital acelera la firma y aprobación de documentos importantes, por ejemplo, cuando las personas firman contratos para nuevos servicios.
Pero si el usuario desea utilizar la firma digital en su negocio, debe asegurarse de que la firma digital sea genuina, que el documento no haya sido alterado y que nadie pueda verlo sin permiso. Ese es un trabajo para un certificado digital y la PKI que lo hace posible.
Para facilitarle las cosas a las empresas, se debe intentar utilizar una plataforma de firma de documentos que permita a las personas:
- establecer la autoría del documento
- asegurar la integridad de los datos/contenido
- administrar certificados y firmas a escala
- confirmar la identidad del remitente
- ¿Y qué pasa con las comunicaciones por correo electrónico?
El correo electrónico es una de las formas más populares de comunicación. Pero para algunas organizaciones, puede representar un gran riesgo para la seguridad de los datos. De hecho, el 22% de todas las infracciones comerciales involucran phishing de correo electrónico.
“PKI permite a los remitentes firmar sus correos electrónicos, al igual que admite la firma de documentos. Esto significa que puede enviar correos electrónicos encriptados y autenticados, manteniendo el contenido privado, pero sus destinatarios pueden verificar que proviene de usted” afirmó Dean Coclin, director senior de desarrollo empresarial en DigiCert.
Sin el correcto cifrado de extremo a extremo y la seguridad adecuada, la información personal confidencial podría filtrarse fuera de los negocios durante el tránsito. Aquí es donde PKI puede agregar una capa adicional de protección y autenticación consistentes e impermeables. Esto significa que la información confidencial, incluidos los correos electrónicos con archivos adjuntos, se puede enviar de forma segura, sin manipulación y de conformidad con las reglamentaciones federales.
Si los usuarios desean replicar el cifrado de correo electrónico y la firma digital dentro de su organización, DigiCert brinda algunos consejos útiles para mantenerse seguro de manera eficiente:
- Adoptar una política corporativa para la firma digital de correo electrónico
- Centralizar la administración y la implementación del certificado de correo electrónico en un portal integrado
- Utilizar certificados de correo electrónico preconfigurados siempre que sea posible
- Adoptar una herramienta que automatice la implementación de PKI
- Autenticación de tarjeta: tanto física como virtual
Los sistemas seguros basados en chips están cada vez más presentes tanto en las empresas B2B como en las B2C. Desde la autenticación de identificación electrónica en el sector público hasta las tarjetas que verifican las solicitudes de boletos de los empleados, y los pagos en todas las industrias, existen muchos casos de uso para las tarjetas inteligentes. Una de esas industrias que se beneficiará de la tecnología es el sector de la salud.
Con tantos datos confidenciales que entran y salen de los hospitales a diario, es esencial que la industria de la salud elimine las contraseñas pirateables y adopte un método más confiable. Aquí es donde entran en juego las tarjetas inteligentes. Estas tarjetas inteligentes pueden hacer lo siguiente:
- reducir las filtraciones de datos y el fraude
- proporcionar una mejor captura de datos
- poner la autenticación y el acceso a los datos en manos de los propios empleados
Para dar un ejemplo, el Servicio Nacional de Salud del Reino Unido utiliza tarjetas inteligentes, tanto físicas como virtuales, construidas sobre una infraestructura de certificado y PKI. La tarjeta virtual se almacena en el dispositivo móvil de un empleado, lo que reduce la probabilidad de que se filtren los datos del paciente. Es una solución flexible que permite a los empleados acceder a los datos que necesitan de forma segura (y están autorizados a verlos) y cuando los necesitan.
“Para las grandes organizaciones de atención médica, así como para las empresas de todos los sectores, recomendamos utilizar una herramienta que automatice el aprovisionamiento y la autenticación de tarjetas inteligentes. En última instancia, esto reducirá el error manual y devolverá el regalo del tiempo a sus equipos de TI”, agrega Dean Coclin.
Desde las firmas digitales hasta el cifrado de datos, la autenticación de usuarios, dispositivos y clientes, y la autenticación de tarjetas inteligentes, hay muchos argumentos para adoptar PKI y permitir una mejor gestión de certificados automatizada en las empresas de hoy.
Para las empresas con miles de certificados para administrar, o más, mantenerse al tanto del patrimonio de PKI puede ser un desafío, especialmente si depende de procesos manuales. Un certificado olvidado que vence puede cerrar los servicios web o abrir el negocio a una violación de datos o pirateo.