Por qué las empresas deberían empezar ya a establecer una lista de materiales de criptografía (CBOM)

La criptografía protege las identidades, asegura los datos y genera confianza, lo que la convierte en una herramienta fundamental para la seguridad de las empresas modernas. Sin embargo, a pesar de su uso generalizado, la criptografía a menudo no alcanza todo su potencial, obstaculizada por una implementación desigual o desorganizada que deja lagunas en la cobertura.

La visibilidad limitada exacerba estos retos, dificultando discernir qué soluciones criptográficas están en uso y si resultan eficaces. Aunque soluciones como la gestión del ciclo de vida de los certificados (CLM) mejoran la visibilidad de elementos criptográficos específicos, a menudo se requiere una vigilancia o supervisión adicional.

Una lista de materiales criptográficos (CBOM) aborda estas cuestiones aportando estructura y supervisión a las estrategias de cifrado globales. Este recurso ayuda a revelar si existen activos y dónde, al tiempo que detalla las lagunas o vulnerabilidades. Más que una lista, la CBOM ofrece contexto para apoyar una gobernanza coherente y una toma de decisiones informada dentro de una empresa.

¿Qué es una lista de materiales criptográficos?

Una lista de materiales criptográficos proporciona un inventario exhaustivo que detalla todos los elementos criptográficos utilizados en software o sistemas. Con el fin de ayudar a las organizaciones a identificar y abordar los riesgos criptográficos, una lista de materiales criptográficos revela dónde existen los activos criptográficos (como claves criptográficas, algoritmos y certificados digitales) y cómo se utilizan. No se trata de un inventario estático; este recurso ofrece contexto para revelar el propósito de cada elemento criptográfico, junto con las dependencias asociadas.

Tim Callan de Sectigo explica que un CBOM ayuda a las organizaciones a responder preguntas criptográficas críticas: "¿Cuál es la criptografía que estamos usando [y] cómo la estamos usando?".

Un CBOM no debe confundirse con la lista de materiales de software (SBOM), que la Cybersecurity and Infrastructure Security Agency describe como un "bloque de construcción clave en la seguridad del software y la gestión de riesgos de la cadena de suministro de software", que ofrece un "inventario anidado" que detalla una serie de componentes de software. El Instituto Nacional de Normas y Tecnología (NIST) lo compara con las "etiquetas de ingredientes alimentarios en los envases".

El CBOM cumple una función similar, pero se centra en los componentes criptográficos responsables de la seguridad de las soluciones de software. Este inventario específico es necesario porque los puntos ciegos siguen siendo comunes en las prácticas de seguridad actuales, y muchos responsables de TI tienen dificultades para comprender (o mantenerse al día) los activos criptográficos.

Por qué un CBOM es más que una lista

El valor de un CBOM no reside sólo en lo que contiene, sino más bien en cómo describe estos elementos y cómo los activos criptográficos detallados juegan en el panorama más amplio de la resiliencia criptográfica. Esto debería describir tanto las soluciones actuales como los riesgos u oportunidades futuros, contextualizando los activos criptográficos en función de los objetivos de agilidad criptográfica y la preparación cuántica.

Tim Callan, de Sectigo, explica que el CBOM ideal aclarará lo siguiente: ¿es el entorno criptográfico actual "adecuado para su propósito" y, si no lo es, qué se necesita para hacerlo adecuado para su propósito? Este recurso debe adoptar un enfoque global, yendo más allá de los activos que se incluyen para ver cómo estas soluciones criptográficas abordan los riesgos o vulnerabilidades (como el potencial de algoritmos obsoletos), cómo promueven la preparación (como la rotación de claves en respuesta a cambios normativos) y cómo impulsan el impacto empresarial.

Jason Soroko, de Sectigo, sugiere que reformulemos este concepto como "CBOM contextual". Como mínimo, debería incluir la justificación de los activos criptográficos actuales, revelando por qué son necesarios al tiempo que se reconocen los riesgos que conllevan y cómo, en caso necesario, pueden actualizarse o sustituirse. Además, los CBOM deben capturar

• Dependencias operativas. Un CBOM debe demostrar cómo se relacionan los activos criptográficos con varios procesos y sistemas empresariales. Esto revela qué dispositivos, servicios o API dependen de claves, certificados o algoritmos específicos. Este contexto nos recuerda que los activos criptográficos no funcionan de forma aislada.
• Criticidad del sistema. La criticidad hace referencia a lo importante que es cada solución criptográfica para la postura de seguridad global de una empresa. Un CBOM puede ayudar a los equipos a determinar qué elementos criptográficos soportan los sistemas de misión crítica, mejorando tanto la seguridad como la continuidad operativa.
• Exposición al riesgo si falla la criptografía. Un CBOM exhaustivo no se limitará a abordar los mejores escenarios posibles, sino que revelará lo que podría ocurrir en caso de situaciones adversas y dónde podrían resultar más vulnerables las empresas. Esto podría detallar el potencial de interrupciones de certificados a gran escala, violaciones de cumplimiento o rupturas de confianza en respuesta a soluciones criptográficas fallidas.
• Preparación para la actualización o migración. Algunos activos criptográficos son más adaptables que otros y, en medio de los rápidos cambios digitales, es importante saber qué se necesita para actualizar o sustituir las soluciones sin interrumpir las operaciones o los flujos de trabajo existentes. La lista de materiales debe destacar los obstáculos que podrían impedir o retrasar las actualizaciones, especialmente en el caso de avances cuánticos o depreciación de algoritmos.

Cómo apoya la ciberseguridad y la preparación para el futuro

Un CBOM puede proporcionar mejoras inmediatas en las estrategias criptográficas a nivel empresarial, junto con un amplio soporte para soluciones de seguridad integrales e incluso preparación para el futuro para ayudar a las organizaciones a prepararse para los retos de seguridad del mañana.

Las ventajas incluyen:

• Mejora la visibilidad. Un CBOM mejora la visibilidad criptográfica al consolidar los activos descubiertos en un inventario estructurado, proporcionando una visión clara de dónde y cómo se utilizan los activos criptográficos y reduciendo los puntos ciegos en todo el entorno. Es importante destacar que esto también vincula los activos criptográficos a las aplicaciones, servicios y procesos relevantes, mostrando el panorama general de la protección criptográfica en relación con la postura de seguridad global.
• Refuerza la gobernanza. Proporciona el inventario estructurado necesario para aplicar políticas de seguridad estrictas en todos los equipos, departamentos y entornos digitales. Esto mejora la preparación para auditorías, garantizando que las prácticas criptográficas no sólo cumplen la normativa, sino que además están totalmente documentadas.
• Mejora las respuestas a incidentes y correcciones. En el caso de un incidente adverso (como la expiración de un certificado o el compromiso de una clave), un CBOM permite una respuesta más rápida al garantizar que los sistemas afectados se identifican y solucionan rápidamente.
• Prepara para el cambio post-cuántico. Una lista de materiales criptográficos apoya la preparación cuántica llamando la atención sobre los algoritmos criptográficos y las claves que pueden ser vulnerables a ataques cuánticos en el futuro. Esta información puede ayudar a las empresas a impulsar la agilidad criptográfica, guiando los preparativos para la eventual adopción de algoritmos resistentes a la cuántica. Dado que se espera que la computación cuántica a gran escala surja en los próximos años, ahora es el momento de adoptar medidas que apoyen una transición sin problemas a una criptografía segura desde el punto de vista cuántico.

¿Cómo elaborar un CBOM?

El desarrollo de un CBOM comienza por determinar quién es el responsable de inventariar y gestionar los diversos activos criptográficos. Seleccione equipos o profesionales que posean no sólo experiencia criptográfica, sino también un profundo conocimiento de las políticas de seguridad específicas de la empresa.

A partir de ahí, el desarrollo y la implantación del CBOM dependerán de los activos y recursos específicos en juego. En general, sin embargo, este proceso sigue unos pocos pasos clave:

• Descubrir los activos criptográficos. Los activos criptográficos no pueden entenderse o gestionarse adecuadamente hasta que se conocen. Esto ocurre durante el proceso de descubrimiento, que debe abarcar todos los sistemas, aplicaciones y dispositivos relevantes de la empresa. La visibilidad total sólo puede lograrse si se identifica cada algoritmo, clave y certificado.
• Catalogar todos los componentes. A medida que se descubren los componentes, deben añadirse a un recurso organizado y centralizado que proporcione una única fuente de verdad. Además de enumerar algoritmos, claves y certificados digitales, este catálogo debe destacar detalles esenciales como la longitud de las claves, las fechas de caducidad y la función.
• Explique el contexto. Recuerde: un CBOM es más que una lista. Aporte matices a este recurso con información de apoyo, destacando las dependencias, la criticidad y el impacto potencial del fallo de un activo.
• Evalúe el riesgo futuro. Considere dónde pueden quedarse cortos los activos criptográficos actuales o qué retos es probable que surjan en un futuro próximo. Por ejemplo, la amenaza cuántica se aborda mejor mediante certificados digitales actualizados, seguros para la cuántica o híbridos, y mediante el uso de un sistema automatizado de gestión del ciclo de vida de los certificados.
• Mantener el CBOM. No se trata de un recurso estático, sino que debe adaptarse junto con los activos criptográficos y las amenazas o retos que pretenden abordar. El mantenimiento incluye la adición de nuevos componentes a medida que se despliegan, con cambios detallados en las claves o certificados, y la eliminación de activos cuando ya no se utilicen.

Cómo Sectigo ayuda a hacer operativo el CBOM

Un CBOM ofrece una visión muy necesaria del panorama criptográfico de una organización, pero ofrece el mayor valor cuando se combina con la automatización que mantiene inventarios precisos, actualizados y procesables. Para la mayoría de las empresas, esto comienza con los activos criptográficos que apuntalan la mayoría de las relaciones de confianza digital: los certificados digitales.

Sectigo Certificate Manager (SCM) permite a las organizaciones pasar de un inventario pasivo a una resiliencia criptográfica activa, proporcionando una única plataforma para descubrir, monitorizar y automatizar el ciclo de vida completo de todos los certificados digitales de la empresa. Con una visibilidad centralizada y flujos de trabajo estandarizados, SCM transforma los conocimientos de CBOM en una fortaleza operativa continua, garantizando que los activos criptográficos sigan siendo fiables, conformes y alineados con las necesidades empresariales.

Pero hacer operativo un CBOM es sólo la mitad del reto. A medida que las organizaciones descubren claves débiles, algoritmos obsoletos, configuraciones erróneas o certificados comprometidos dentro de su CBOM, también necesitan remediar rápidamente las debilidades criptográficas antes de que interrumpan la continuidad del negocio. SCM acelera esta corrección mediante:

• La identificación de activos criptográficos débiles o no conformes, incluidos algoritmos vulnerables, longitudes de clave insuficientes o certificados emitidos por CA no fiables.
• La automatización de la rotación de claves y certificados para sustituir los activos de riesgo sin tiempo de inactividad operativa.
• Sustitución instantánea de certificados comprometidos o sospechosos, restableciendo la confianza en todos los sistemas dependientes con flujos de trabajo fluidos.
• Migración de activos a estándares más sólidos, como certificados híbridos o de seguridad cuántica, para garantizar la criptoagilidad a largo plazo.
• Imponer el cumplimiento de la gobernanza y las políticas, garantizando que todos los activos actualizados cumplan los requisitos de seguridad de la organización.

Esta capacidad de remediación automatizada se alinea directamente con la estrategia QUANT de Sectigo, un marco holístico para guiar a las organizaciones hacia la era post-cuántica a través de la evaluación proactiva, la planificación de la migración y la adopción de tecnologías quantum-safe. QUANT está diseñada para ayudar a las empresas a hacer frente a los principales riesgos emergentes, incluyendo la amenaza Harvest Now, Decrypt Later y las vulnerabilidades en las firmas digitales de larga duración que pueden extenderse a la frontera cuántica.

Cuando se combina con los conocimientos de CBOM, la estrategia QUANT de Sectigo permite a las organizaciones:

• Identificar activos criptográficos vulnerables a futuros ataques cuánticos
• Priorizar la remediación de claves y firmas de larga duración que deben permanecer seguras más allá de los plazos criptográficos actuales.
• Validar estrategias de certificados híbridos y post-cuánticos a través de Sectigo PQC Labs, un entorno dedicado para probar activos seguros cuánticos.
• Construir procesos operativos cripto-ágiles antes de los plazos de depreciación y reemplazo planeados por el NIST para 2030-2035.

Juntos, SCM, CBOM y la estrategia QUANT forman un ecosistema completo y con visión de futuro para la resistencia criptográfica, que ayuda a las organizaciones no sólo a comprender su postura criptográfica actual, sino a reforzarla continuamente a medida que evolucionan las amenazas y se acerca la era cuántica. Obtenga más información sobre SCM o programe una demostración hoy mismo.

Entradas relacionadas:

Salvando las distancias: Riesgos de la visibilidad parcial en la gestión del ciclo de vida de los certificados

Mejores prácticas de gestión del ciclo de vida de los certificados (CLM)

Ataques "cosechar ahora, descifrar después" y la amenaza cuántica