Redirecting you to
Click if you are not redirected within 5 seconds
Suche
USD
Español
Ponte en contacto
Prueba gratuita
Entrada de blog mar. 03, 2025

La falacia del todo o nada: un obstáculo para una mejor ciberseguridad

En ciberseguridad, la perfección es un mito. Sin embargo, una y otra vez nos encontramos con argumentos basados en una mentalidad de «todo o nada»: la creencia errónea de que si una medida de seguridad no es 100 % infalible, no vale la pena implementarla. Esta falacia, que ha persistido durante años, conduce a la inacción y a una mayor vulnerabilidad. En lugar de luchar por una perfección inalcanzable, los profesionales de la seguridad deben adoptar mejoras incrementales que mitiguen el riesgo y mejoren la resiliencia.

Tabla de Contenidos

1. Comprender la falacia del todo o nada
2. Ventajas de seguridad de la reducción de la vida útil de los certificados
3. Superar la resistencia al cambio
4. Adoptar mejoras incrementales de seguridad

Comprender la falacia del todo o nada

La falacia del todo o nada es la tendencia a rechazar las mejoras de seguridad simplemente porque no eliminan el riesgo por completo. Este razonamiento descarta las mejoras incrementales basándose en que persiste algún riesgo residual. Por ejemplo, la autenticación multifactor (MFA) reduce significativamente el riesgo de acceso no autorizado, pero no es infalible. Los atacantes pueden encontrar formas de sortearla, pero eso no significa que la MFA deba abandonarse por completo. La misma lógica se aplica a la gestión del ciclo de vida de los certificados, la segmentación de la red y otras innumerables medidas de seguridad.

Esta mentalidad está surgiendo actualmente en el debate en torno a la propuesta de acortar la vida útil de los certificados SSL/TLS a 47 días. Algunos sostienen que, dado que una clave privada comprometida podría seguir siendo explotada dentro de este período, reducir la duración del certificado ofrece pocos beneficios de seguridad. Sin embargo, esta postura ignora las claras ventajas de limitar la ventana de ataque, mejorar la adopción de la automatización y reforzar la postura de seguridad general.

Ventajas de seguridad de la reducción de la vida útil de los certificados

Históricamente, la vida útil de los certificados ha disminuido constantemente: de cinco y diez años a tres, luego a dos, luego a 398 días y ahora potencialmente a 47 días. Cada reducción ha sido un paso hacia una mejor seguridad, y no hay ninguna razón lógica para detener este progreso ahora.

Acortar la vida útil de los certificados aborda varias preocupaciones clave de seguridad:

  1. Reducir el periodo de ataque: si se pone en peligro una clave privada, el periodo de oportunidad del atacante está directamente vinculado al periodo de validez del certificado. Un certificado válido durante 398 días proporciona a un atacante más de un año de explotación potencial. Un certificado de 47 días reduce drásticamente este periodo de tiempo.
  2. Fomentar la adopción de la automatización: La reducción de la vida útil de los certificados incentiva a las organizaciones a automatizar la gestión de certificados, lo que reduce el riesgo de errores humanos, renovaciones olvidadas y configuraciones erróneas que pueden provocar interrupciones y vulnerabilidades.
  3. Abordar las amenazas modernas: Los atacantes se infiltran cada vez más en las redes y permanecen sin ser detectados durante largos períodos antes de ejecutar un ataque. Cuanto más tiempo siga siendo válido un certificado comprometido, más daño podrá infligir un adversario. La reducción de la vida útil dificulta que los atacantes aprovechen las credenciales robadas.

Superar la resistencia al cambio

Los detractores de la reducción de la vida útil de los certificados suelen expresar su preocupación por la sobrecarga operativa, argumentando que las renovaciones frecuentes añaden complejidad. Sin embargo, esta perspectiva es miope. Las organizaciones que dependen de la gestión manual de certificados ya están en riesgo debido al error humano. La automatización elimina estas preocupaciones y, al mismo tiempo, refuerza la seguridad. El cambio a una vida útil más corta debe verse como una oportunidad para modernizar la gestión de certificados y no como una carga.

Además, los argumentos en contra de acortar la vida útil a menudo no reconocen que la ciberseguridad es un juego de reducción de riesgos, no de eliminación. El hecho de que los atacantes puedan encontrar formas de explotar las vulnerabilidades no significa que debamos abstenernos de ponérselo más difícil. El objetivo es minimizar las oportunidades para los adversarios, no lograr un estado imposible de seguridad absoluta.

Adoptar mejoras incrementales de seguridad

La seguridad es un proceso continuo de mejora, no un estado binario de seguro o inseguro. Las organizaciones deben abandonar la mentalidad de todo o nada y reconocer que cada paso hacia una mayor seguridad, por pequeño que sea, contribuye a una defensa más sólida. Ya sea implementando MFA, automatizando la gestión de certificados o reduciendo la vida útil de los certificados, toda medida que reduzca el riesgo merece la pena.

El panorama de la ciberseguridad está en constante evolución y los atacantes se adaptan en consecuencia. Las organizaciones que se resisten al cambio debido a un pensamiento anticuado se exponen a sí mismas. El futuro de la seguridad digital radica en la agilidad, la automatización y el compromiso con el progreso. Cuanto antes superemos la falacia del todo o nada, más fuertes serán nuestras defensas.

¿Quieres saber más? Ponte en contacto con nosotros para reservar una demo de Sectigo Certificate Manager.

Entradas asociadas:

Preparándose para el futuro: La propuesta de Apple de 47 días de vida útil del certificado

7 razones para acortar los periodos de validez de los certificados SSL

Gestión manual vs automatizada de certificados SSL