La tormenta perfecta de PKI: cómo matar tres pájaros de un tiro (spoiler: la piedra es la automatización)
Los certificados de 47 días, la criptografía post-cuántica (PQC) y los plazos de TLS mutuo (mTLS) están colisionando. La automatización es la única piedra que los resuelve todos.
Todos conocemos la frase "matar dos pájaros de un tiro": tener la oportunidad de realizar dos tareas por el rendimiento de una. En el vertiginoso mundo de las TI, encontrar dos pájaros de un tiro es la regla de oro.
Como se comentó en un episodio reciente de Root Causes Podcast, en el mundo de las TI y, más concretamente, en el panorama de la infraestructura de clave pública (PKI), se están produciendo cambios importantes que evolucionan rápidamente. Esta evolución está presentando a las organizaciones no dos, sino tres grandes pájaros o, mejor dicho, crisis concurrentes.
¿La buena noticia? La solución a todas ellas es la misma piedra. No se trata sólo de gestionar certificados; se trata de conseguir una Gestión del Ciclo de Vida de los Certificados (CLM) unificada e interorganizativa, impulsada por una verdadera automatización.
He aquí los tres retos de PKI: los "tres pájaros" que están a punto de golpear a su empresa simultáneamente, y cómo un único proyecto coordinado puede abordarlos todos.
Ave 1: La marcha hacia los 47 días
El sector avanza rápidamente hacia una menor duración de los certificados. Esta marcha hacia certificados de 47 días está obligando a las organizaciones a adoptar una cadencia de renovación mensual de los certificados antes de la fecha límite de marzo de 2029. Esto significa 12 veces más renovaciones y 12 veces más riesgo de interrupciones y tiempos de inactividad.
Para las organizaciones que dependen de hojas de cálculo manuales, tickets internos y procesos ad hoc, este cambio no es un inconveniente, es un acontecimiento de extinción. Según Tim Callan en este episodio del podcast Root Causes, "los métodos antiguos serán cada vez menos sostenibles y acabarán por romperse por completo". Si a tu equipo le cuesta renovar un certificado anualmente, imagínate hacerlo cada 47 días.
El primer paso para sobrevivir: debes saber exactamente qué tienes en producción, dónde están y quién es responsable de ellos. Esto comienza con el Descubrimiento.
Ave 2: El mandato de seguridad de la preparación para la criptografía postcuántica (PQC)
La carrera por asegurar los sistemas contra futuros ataques cuánticos está en marcha. Para los arquitectos de seguridad, prepararse para la PQC es una empresa enorme, pero la fase inicial es idéntica a prepararse para el mandato de 47 días.
¿Cuál es el primer paso para prepararse para la criptografía post-cuántica? Inventariar.
Debe localizar todos los activos criptográficos, comprender sus casos de uso y determinar su prioridad de migración. Aunque PQC afecta a mucho más que a los certificados de servidor TLS, éstos constituyen la "parte del león" de la carga de trabajo inmediata. Este mandato garantiza que ya existe un solapamiento masivo con el reto operativo de acortar la vida útil.
Ave 3: La fecha límite del fin del TLS mutuo (mTLS)
Este es el pájaro más nuevo, y quizás el más pasado por alto. La industria ha anunciado la desaparición definitiva de los certificados de autenticación de cliente utilizados para Mutual TLS.
La fecha límite es dura: 15 de junio de 2026.
Es posible que las grandes empresas ni siquiera sepan dónde están utilizando actualmente un certificado de servidor para la autenticación de cliente. Este mandato obliga a otra búsqueda inmediata y a gran escala en todo el entorno de TI para identificar y sustituir estos certificados.
De nuevo, la tarea necesaria es la misma: ¿Puede decir, ahora mismo, los números exactos de sus certificados de servidor TLS frente a sus certificados de autenticación de cliente? Para la mayoría, la respuesta es "no".
La piedra: Unificar los esfuerzos en silos con la automatización
Históricamente, estos problemas se gestionan en silos. Un arquitecto de seguridad informa al CISO sobre las amenazas PQC, mientras que un director de operaciones informa al CIO sobre el mandato de 47 días. El trabajo se duplica increíblemente, lo que puede dar lugar a un despilfarro de recursos, propósitos cruzados y múltiples evaluaciones de herramientas que compiten entre sí.
La "piedra única" que mata a todos estos pájaros es la gestión unificada del ciclo de vida de los certificados (CLM) impulsada por la automatización.
CLM proporciona el arco de visibilidad esencial que se extiende por toda la organización, ofreciendo una visión única y centralizada de cada certificado, independientemente del tipo, proveedor o ubicación. Al tratar los tres mandatos como un único proyecto coordinado, las organizaciones pueden
- Crear un inventario único: Eliminar los esfuerzos redundantes de descubrimiento.
- Automatizar la renovación: Implantar un sistema que pueda gestionar las renovaciones mensuales de certificados de 47 días sin intervención humana.
- Lograr agilidad: Obtenga la capacidad de identificar, migrar y sustituir activos rápidamente, ya sea debido a PQC, a la eliminación de mTLS o a un evento de revocación.
Elevar la conversación
Para que este enfoque unificado tenga éxito, la propiedad debe ser elevada. Dejar este trabajo a la "gente que está en las trincheras" (los administradores de Linux o los directores de TI) hará que no se vea el panorama completo.
Esta convergencia de plazos es un problema de riesgo, no sólo operativo. Requiere la atención del CTO, CEO o Jefe de Producto: alguien con alcance sobre los equipos de seguridad y operativos.
Si su empresa aún no ha iniciado un proyecto único y coordinado centrado en la visibilidad y automatización completas de los certificados, ahora es el momento de empezar. Los plazos son reales, están convergiendo, y la penalización por la inacción es un aumento exponencial del riesgo operativo y de seguridad.
Conclusión
Sectigo está aquí para ayudar. Nuestro objetivo dentro de la industria es educar e informar a la gente sobre estos cambios drásticos de la industria. Como CA de renombre y proveedor de CLM, desarrollamos recursos para ayudarle en estos cambios monumentales.
Nuestro kit de herramientas de 47 días es un primer paso para iniciar el debate en su organización sobre la automatización antes de la primera fecha límite de marzo de 2026 a sólo 200 días. ¿Quiere saber más? Póngase en contacto con nosotros hoy mismo y estaremos encantados de indicarle la dirección correcta.