BuscarAsistencia técnicaPrueba gratuita
Contacto
Sectigo Blog

Aclarando X9 PKI: Qué son y qué no son los certificados X9

X9 PKI es un marco de certificados específico del sector financiero diseñado para la comunicación segura dentro de un ecosistema cerrado de instituciones financieras estadounidenses. A diferencia de la WebPKI de confianza global utilizada por los navegadores, X9 funciona como un modelo de confianza privada compartida que requiere la adopción explícita por parte de los participantes. Aunque ofrece un mayor control y estabilidad para los sistemas financieros, introduce contrapartidas como el riesgo compartido y la falta de confianza universal. Comprender estas diferencias es esencial para las organizaciones que evalúan si X9 PKI se ajusta a sus necesidades de seguridad e interoperabilidad.

Tim Callan
Por Tim Callan, Director de Cumplimiento Normativo21 de mayo de 2026

A medida que la conversación en torno a los certificados X9 gana fuerza, crece la confusión sobre lo que realmente representan y lo que no.

Así que vamos a simplificarlo.

¿Qué es X9 PKI?

En esencia, X9 PKI es un marco de certificados específico del sector financiero desarrollado por el Comité de Normas Acreditadas (ASC X9) para respaldar la comunicación segura entre bancos, sistemas de pago e infraestructuras financieras de EE.UU..

A diferencia de WebPKI, el sistema global de autoridades de certificación (CA) como Sectigo en el que confían los principales navegadores actuales, como Chrome, Safari y Firefox, X9 opera fuera de los ecosistemas de confianza de los navegadores. Esta distinción es importante.

WebPKI está diseñado para la Internet pública, donde miles de millones de usuarios y dispositivos deben confiar en los certificados. X9, por el contrario, está diseñado para un ecosistema cerrado de participantes financieros en EE.UU. que acuerdan explícitamente confiar en un marco compartido.

Una forma más sencilla de verlo:

  • WebPKI = confianza pública, distribuida globalmente
  • X9 PKI = confianza privada, compartida en un ecosistema definido con sede en EE.UU.

¿Por qué se creó X9?

Las instituciones financieras llevan mucho tiempo enfrentándose a las políticas impulsadas por los navegadores y lideradas por el Foro CA/Browser en el modelo WebPKI. Estas políticas, como las vinculadas a una menor vida útil de los certificados o a la preparación cuántica, están diseñadas para proteger a todas las organizaciones y a todos los usuarios de Internet a escala, pero pueden perturbar los sistemas bancarios cotidianos, como los cajeros automáticos o las redes de pago, que funcionan de forma muy diferente.

X9 se creó en respuesta a esta tensión:

  • Para dar más control a las instituciones financieras
  • Proporcionar coherencia en los sistemas interconectados
  • Reducir la dependencia de los proveedores de navegadores.

Desde este punto de vista, el objetivo de X9 tiene sentido.

Dónde tenemos que eliminar la confusión

Los departamentos de TI pueden tener la impresión de que X9 es una nueva forma de confianza "pública" o una evolución de WebPKI. Eso no es exacto.

X9 está fundamentalmente más cerca de un modelo PKI privado con una diferencia clave: En lugar de pertenecer y ser gestionado por una única organización o CA, es compartido por múltiples organizaciones bajo un marco de política común, lo que se denomina modelo de consorcio y es bastante común en PKI.

Esto crea un modelo híbrido:

  • No tiene confianza distribuida globalmente como WebPKI.
  • Pero tampoco ofrece un control total como una CA privada tradicional.

En otras palabras, los participantes deben optar por confiar en ella, como en cualquier CA privada. Más concretamente, deben instalar la raíz X9 propietaria en el almacén raíz de cada sistema cliente que intente conectarse a un certificado X9. Los sistemas operativos, navegadores o dispositivos no confían automáticamente en él.

Las desventajas de una CA privada compartida

Este enfoque de "ecosistema compartido" introduce importantes ventajas y desventajas que a menudo se pasan por alto.

En una configuración tradicional de PKI privada o CA privada:

  • Una organización controla sus políticas, infraestructura y riesgos.
  • Las decisiones de seguridad sólo afectan a esa organización.
  • Como la propia organización es la autoridad de certificación, tiene pleno conocimiento y control sobre quién puede poseer uno de estos certificados.

En X9

  • Las políticas se comparten entre múltiples participantes
  • Las decisiones de seguridad y los riesgos pueden afectar a todo el ecosistema.
  • Es mucho más difícil para los miembros de un consorcio comprender qué indica la propiedad de un certificado.

Esto es importante porque no todas las ventajas y desventajas en materia de seguridad son iguales. Por ejemplo, el sector de las infraestructuras de clave pública (PKI) en general ha ido evolucionando hacia una menor duración de los certificados, rotaciones más frecuentes de claves y raíces, mayor automatización y jerarquías de certificados creadas específicamente. Estos cambios existen por una razón: reducir el riesgo sistémico en grandes entornos de confianza.

X9 adopta intencionadamente un enfoque diferente, dando prioridad a la estabilidad y compatibilidad de los sistemas financieros. Pero cuando ese enfoque se aplica en un ecosistema compartido, el perfil de riesgo cambia.

En pocas palabras, en una PKI privada o en una configuración de CA privada, un cambio más lento puede ser aceptable. Pero en una instancia PKI compartida como X9, un cambio más lento afecta a todos los que confían en ella. Y mientras que muchos esquemas PKI de consorcio están limitados a miembros probados del consorcio que cumplen criterios específicos definidos, X9 está disponible para cualquier miembro del público. Esto significa que las organizaciones no pueden confiar en un certificado X9 como atestación de la identidad del suscriptor que lo posee.

¿Qué deben tener en cuenta las organizaciones a la hora de considerar X9 PKI?

X9 PKI no es intrínsecamente "buena" o "mala", pero a menudo se malinterpreta.

Es:

  • Un modelo de confianza específico del sector diseñado para la interoperabilidad financiera
  • Una CA privada compartida, no una infraestructura de confianza pública
  • Un sistema que requiere participación explícita y decisiones de confianza

No es:

  • Un sustituto de la WebPKI
  • Un sistema de confianza distribuido globalmente
  • Una forma de eludir las realidades de la evolución de las normas de seguridad
  • Un indicador de la identidad del titular de un certificado X9

X9 se creó para resolver problemas reales en entornos financieros. Pero representa un modelo de confianza diferente con distintas compensaciones, no una evolución directa de la WebPKI pública existente.

A medida que la confianza digital se vuelve más compleja, impulsada por la menor vida útil de los certificados, el crecimiento de la identidad de las máquinas y los cambios criptográficos, esas compensaciones importan más que nunca.

Entender qué es realmente X9 constituye el primer paso para asegurarse de que está eligiendo el enfoque correcto. Entender dónde encaja, y dónde no, es lo que en última instancia ayuda a las organizaciones a tomar la decisión correcta.