2024 ha sido un año de importantes avances en el sector de la ciberseguridad. Si echamos la vista atrás a las predicciones de GlobalSign del año pasado, muchas de las tendencias que vimos entonces parece que continuarán el año que viene, ya que vemos cambios continuos en áreas como la Inteligencia Artificial (IA), la Computación Post-Quantum (PQC) y la disminución de la vida útil de los certificados.
La IA se ha asentado firmemente en el sector y ahora asistimos al desarrollo de la normativa a medida que se va implantando en muchas herramientas en línea. Mientras tanto, eIDAS 2.0 y los monederos/billeteras de identidad digital europeos siguen siendo un tema candente, ya que afectan a las normas del sector, y la nueva normativa en desarrollo también parece dispuesta a tener sus propios efectos el año que viene. El PQC también sigue siendo objeto de especulación, y las primeras normas que se han publicado este año hacen que el post-quantum parezca estar más cerca que nunca.
Este blog explorará estas tendencias y otras más junto con el efecto que probablemente tendrán el año que viene, junto con cómo esperamos que lleguen a dar forma a la industria de la Infraestructura de Clave Pública (PKI) en el futuro, y cómo lo que hemos visto este año será relevante de cara al próximo.
1. El auge de la IA en PKI
A medida que avanzan la IA y el aprendizaje automático, su integración en los sistemas PKI se está convirtiendo en algo esencial. Los ataques de phishing y spoofing basados en IA son cada vez más sofisticados, lo que hace que los métodos de detección tradicionales sean menos eficaces. Para estar a la altura, las ciberdefensas deben seguir el ejemplo. La dependencia de PKI de la criptografía asimétrica proporciona un marco sólido para autenticar y proteger las comunicaciones, pero con el ritmo al que se están desarrollando las herramientas de IA, será necesario estar alerta en el futuro para desarrollar constantemente defensas que respondan a amenazas cada vez más automatizadas e inteligentes.
La IA ya está provocando una creciente prevalencia de material falso en el mercado como resultado de las prolíficas herramientas de generación de contenidos. En el futuro, esto significará que será necesaria una sólida verificación de la identidad para que los usuarios puedan confiar en los contenidos que ven y con los que interactúan en línea. Tampoco es improbable que veamos cambios en la adaptación para mejorar la conciencia de los usuarios sobre las fuentes de contenido, ya sea a través de regulaciones u orgánicamente.
«El avance de la IA no solo difuminará las líneas entre contenidos reales y falsos, sino que también aumentará significativamente la prevalencia de material falso en el mercado. Como resultado, la necesidad de una verificación de identidad robusta y vinculante se convertirá en esencial para que los usuarios confíen en cualquier forma de contenido multimedia.» - Mohit Kumar, Vicepresidente de Gestión de Productos
En cuanto a la regulación, es probable que sigamos oyendo hablar de nueva legislación para abordar el creciente uso de la IA en todo el mundo. Por supuesto, ya lo estamos viendo, con normativas como la Ley de Inteligencia Artificial de la UE, que entrará plenamente en vigor en 2025, y varias iniciativas estadounidenses que hacen hincapié en el uso responsable de la IA; como la Ley de Responsabilidad Algorítmica, la Ley de Iniciativa Nacional de IA y las principales normativas a nivel estatal que están aplicando estados como Nueva York y California.
Los efectos que esto tendrá en la gestión de PKI se dejarán sentir durante el próximo año, en el que la IA y el aprendizaje automático desempeñarán un papel más importante en la predicción de la caducidad de los certificados, la detección de anomalías y la prevención de interrupciones. Los proveedores de seguridad están integrando cada vez más la IA en sus plataformas PKI para obtener estas ventajas, lo que demuestra su creciente papel en el sector, que avanza hacia soluciones más inteligentes y ágiles.
2. Preparación para la criptografía postcuántica (PQC)
La computación cuántica supone una amenaza significativa para los métodos de cifrado tradicionales, lo que hace necesario el desarrollo de algoritmos criptográficos resistentes a la cuántica. A medida que avanza la tecnología cuántica, aumenta el interés por proteger los datos frente a estas futuras amenazas.
Los algoritmos criptográficos resistentes a la cuántica están diseñados para resistir la potencia de cálculo de los ordenadores cuánticos, garantizando la seguridad permanente de las comunicaciones y los datos digitales. Google y el NIST lideran los esfuerzos para implementar estas nuevas normas, y Google ha introducido recientemente un algoritmo criptográfico híbrido post-cuántico en Chrome.
Reglamentos como las primeras normas de cifrado poscuántico del NIST, publicadas a principios de este año, ponen de relieve que la tecnología poscuántica puede estar más cerca que nunca, y seguirá siendo objeto de seguimiento por parte de la industria. Es probable que el año que viene sea inevitable que haya más normativas que contemplen la post-cuántica, ya que la preocupación por su eventual llegada sigue creciendo y los gobiernos y organizaciones se ven obligados a considerar los efectos de su adopción.
«A medida que la computación cuántica siga avanzando, también debería crecer el interés por los algoritmos criptográficos resistentes a la cuántica y el cifrado cuántico... Quizá 2025 sea el año en que estos nuevos métodos empiecen a suplantar al cifrado actual.» - Amanda Faverty, Directora de Cuentas de Empresa
Las organizaciones y las Autoridades Certificadoras (CA) deben adaptarse rápidamente a estos cambios adoptando un cifrado resistente a la tecnología cuántica y manteniéndose a la vanguardia de los requisitos normativos. Esto garantizará la seguridad y la fiabilidad continuas de las identidades y las comunicaciones digitales. Prepararse para la criptografía poscuántica es una prioridad inmediata para la industria. A medida que avanza la computación cuántica, el enfoque en el desarrollo y la implementación de algoritmos criptográficos resistentes a la tecnología cuántica será esencial para mantener la seguridad.
Confianza digital a prueba de futuro con certificados seguros
3. Identidad digital y cambios normativos
Ya hemos analizado una serie de cambios normativos, que siempre iban a ser inevitables a medida que la tecnología de vanguardia se volviera más utilizada en el dominio público. A medida que la industria siga viendo circunstancias cambiantes a medida que entendamos mejor la actividad en línea, seguiremos viendo cambios en torno a cómo se autentica, mide y protege la identidad digital.
Las amenazas cibernéticas en desarrollo son el núcleo de esto, lo que lleva a requisitos más estrictos para la gestión de certificados digitales. Estos estándares de cumplimiento se centran especialmente en industrias en riesgo como la atención médica, las finanzas y la fabricación. Estos se pueden ver en el desarrollo de regulaciones como PSD3 en Europa, que se espera que se implemente durante 2025-2026, o actualizaciones a HIPAA en los EE. UU. que se aplicarán a partir de 2025. Estas regulaciones enfatizan la verificación y el cumplimiento de la identidad digital, lo que impulsa a las organizaciones a adoptar soluciones PKI sólidas.
PKI es vital para garantizar interacciones digitales seguras y compatibles. A medida que aumentan las amenazas impulsadas por la IA y las demandas regulatorias, las organizaciones deben aprovechar PKI para proteger las identidades digitales y cumplir con los requisitos de cumplimiento de manera efectiva.
4. Internet de las cosas (IoT) y PKI
Con el crecimiento continuo de los dispositivos IoT, que se espera que alcancen los 55,7 mil millones para 2025, PKI es cada vez más esencial para proteger la comunicación, la autenticación y la integridad de los datos de los dispositivos. Es probable que PKI llegue a proporcionar una capa de seguridad fundamental dentro de los ecosistemas de IoT, asegurando que cada dispositivo pueda comunicarse de manera segura y autenticar su identidad. Sus funciones en la protección de la industria solo se expandirán con el tiempo y verán una mayor responsabilidad en áreas como:
- Seguridad de la comunicación del dispositivo: encripta las transmisiones de datos, protegiéndolas de la interceptación y la manipulación.
- Autenticación: utiliza certificados digitales para verificar las identidades de los dispositivos, lo que garantiza que solo los dispositivos legítimos puedan acceder a la red.
- Integridad de los datos: firma los datos con claves privadas, lo que permite a los destinatarios verificar su integridad y origen.
Estos casos de uso están respaldados por la adopción de la autenticación PKI por parte de plataformas líderes como AWS IoT y Microsoft Azure IoT Hub. Además de eso, la regulación en curso, como la Ley de Mejora de la Ciberseguridad de IoT de 2020 y, más recientemente, la legislación como el régimen de Infraestructura de Telecomunicaciones y Seguridad de Productos (PSTI) del Reino Unido, siguen haciendo hincapié en la gestión de la identidad de los dispositivos, lo que impulsa a los fabricantes a integrar la PKI. A medida que la cantidad de dispositivos IoT conectados continúa acelerándose, el papel de la PKI en la provisión de soluciones de seguridad sólidas será cada vez más importante.
5. Arquitectura de confianza cero (Zero Trust)
La adopción de modelos Zero Trust está creciendo, lo que hace que PKI sea esencial para la autenticación basada en identidad y la comunicación cifrada. La expansión de Zero Trust significará que habrá requisitos más allá de la comunicación externa y la seguridad continua también deberá cubrir la verificación continua de usuarios, dispositivos y aplicaciones, y PKI proporcionará el marco de seguridad necesario.
Esta tendencia es un efecto continuo de múltiples regulaciones que están comenzando a impulsar a las organizaciones hacia Zero Trust en un esfuerzo por mejorar los estándares de ciberseguridad. La Orden Ejecutiva de EE. UU. sobre Ciberseguridad de mayo de 2021 ordenó un cambio hacia arquitecturas Zero Trust y continúa impulsando a las organizaciones hacia su adopción. Zero Trust significa una necesidad de verificación constante, lo que destaca el papel fundamental de PKI en el establecimiento de identidades seguras. De hecho, Gartner predice que para 2025, más del 60% de las empresas reemplazarán las VPN tradicionales con Zero Trust Network Access (ZTNA), dependiendo en gran medida de PKI para la autenticación segura.
“La adopción de modelos Zero Trust seguirá creciendo, lo que convierte a PKI en un componente fundamental para permitir la autenticación basada en identidad y la comunicación cifrada”. – Debbie Hayes, directora de marketing de productos
PKI es y seguirá siendo crucial para la implementación de modelos de Confianza Cero, ya que proporciona una seguridad sólida para la verificación de identidad y la comunicación cifrada. A medida que aumenta la adopción de la Confianza Cero (Zero Trust), el papel de PKI en el mantenimiento de entornos seguros y compatibles será cada vez más importante.
6. Crecimiento de las soluciones basadas en la nube
A medida que las empresas siguen adoptando arquitecturas nativas de la nube, se prevé que aumente la adopción de PKI para proteger las aplicaciones basadas en la nube, los microservicios y los entornos en contenedores. Este cambio está impulsado por la necesidad de medidas de seguridad sólidas que puedan seguir el ritmo de la naturaleza dinámica y escalable de los entornos en la nube. Gartner predice que para 2025, más del 95 % de las nuevas cargas de trabajo digitales se implementarán en plataformas nativas de la nube, lo que subraya el papel fundamental de PKI en la protección de estos entornos y la garantía de la integridad y la autenticación de los datos en sistemas diversos y distribuidos.
Se espera que las soluciones PKI evolucionen significativamente para admitir implementaciones nativas de la nube sin problemas, centrándose en proporcionar una gestión de certificados escalable y flexible adaptada a los requisitos únicos de los servicios basados en la nube. Las capacidades mejoradas de automatización e integración serán características clave que permitirán a las organizaciones gestionar certificados de manera eficiente en ecosistemas de nube complejos.
A medida que los microservicios y los entornos en contenedores se vuelven más frecuentes, la necesidad de una comunicación segura entre estos componentes impulsará la adopción de PKI, lo que garantizará que cada microservicio y contenedor pueda autenticarse y comunicarse de manera segura, evitando el acceso no autorizado y las violaciones de datos. El futuro de PKI en soluciones basadas en la nube se caracterizará por su capacidad de escalar con las crecientes demandas de los entornos de nube, lo que permitirá a las empresas adaptarse rápidamente a las cambiantes necesidades de seguridad y garantizar una protección continua sin comprometer el rendimiento.
7. El acortamiento de los ciclos de vida de los certificados requiere criptoagilidad
En respuesta a las cambiantes preocupaciones de seguridad y las regulaciones de la industria, se espera que continúe la tendencia hacia el acortamiento de la vida útil de los certificados. Este cambio está impulsado por la necesidad de mejorar la seguridad al reducir la ventana de oportunidad para que se exploten los certificados comprometidos. La vida útil más corta de los certificados significa que, incluso si un certificado se ve comprometido, su período de validez es limitado, lo que minimiza el daño potencial.
La decisión del CA/Browser Forum en 2020 de reducir el período de validez máximo de los certificados SSL/TLS a un año refleja esta tendencia. Esta medida tenía como objetivo mejorar la seguridad al garantizar que los certificados se renueven con mayor frecuencia, lo que reduce el riesgo de explotación a largo plazo de los certificados comprometidos. El impulso hacia esta medida aumentó este año, cuando Apple propuso una medida audaz para acortar la vida útil de los certificados SSL/TLS públicos a solo 47 días para 2027. Esta propuesta, anunciada en la última reunión del CA/Browser Forum, sigue el impulso anterior de Google para limitar la validez de los certificados a 90 días.
El aumento de los ataques de phishing y los incidentes de emisión incorrecta de certificados también ha empujado a las organizaciones a adoptar duraciones de certificados más cortas. Al limitar el período de validez de los certificados, las organizaciones pueden tener un mejor control y mitigar los riesgos asociados con estas amenazas.
La automatización de los procesos de renovación de certificados es un factor clave para esta tendencia. Al automatizar el proceso de renovación, las organizaciones pueden garantizar que los certificados se actualicen rápidamente sin el riesgo de errores humanos o descuidos. Esto no solo mejora la seguridad, sino que también reduce la carga administrativa asociada con la gestión manual de certificados y ayuda a fomentar un estado de criptoagilidad que ha surgido como crítico para mantener operaciones seguras.
“Con los avances en torno a la disminución de la vida útil de los certificados digitales, es imperativo que las organizaciones busquen adaptar sus modelos de seguridad teniendo en cuenta la criptoagilidad. Al adoptar soluciones automatizadas, las empresas pueden reducir el riesgo de certificados comprometidos o vencidos, mantenerse a la vanguardia de las amenazas en evolución y mantener una seguridad sólida en un panorama digital cada vez más dinámico”. - Laurence Pawling, vicepresidente de Infraestructura Global
El acortamiento de los ciclos de vida de los certificados es un avance crítico. A medida que las organizaciones continúan enfrentándose a amenazas sofisticadas, el paso hacia una vida útil de los certificados más corta, facilitada por la automatización, desempeñará un papel crucial en la mejora de la seguridad y la protección de los activos digitales. Esta tendencia subraya la importancia de las estrategias de gestión de certificados ágiles y proactivas en el panorama de la ciberseguridad en constante evolución.
Optimiza tu ecosistema de certificados hablando con nosotros hoy
Cómo afrontar los cambios del sector con proveedores de soluciones de seguridad de confianza
Las tendencias que vimos en 2023 se han materializado en gran medida y han seguido desarrollándose a lo largo de 2024, lo que prepara el terreno para los desarrollos futuros. Las organizaciones deben mantenerse informadas y ser proactivas a la hora de adoptar estas tendencias para crear infraestructuras de seguridad resilientes capaces de soportar amenazas en constante evolución.
“2025 será un año de profundos cambios para la industria de PKI y CA, donde la IA, el rigor normativo y las tecnologías de vanguardia como la criptografía resistente a la cuántica convergerán para crear una infraestructura digital más segura y flexible”. – Arnaud Vanderoost, vicepresidente de ventas para EMEA
El futuro de PKI es prometedor, con avances continuos que garantizan una seguridad digital sólida y confiable en un mundo cada vez más interconectado. Las organizaciones deberán revisar su seguridad y la forma en que gestionan los certificados digitales para mantenerse a la vanguardia el próximo año. PKI sigue siendo una piedra angular de las comunicaciones digitales, ya que proporciona las herramientas necesarias para autenticar identidades, cifrar datos y garantizar la integridad de las transacciones.
GlobalSign, un líder de confianza en el campo de la seguridad digital, ofrece soluciones PKI integrales diseñadas para satisfacer las necesidades de las empresas modernas. Con experiencia en gestión escalable y flexible de certificados, automatización de procesos de renovación e integración con los principales proveedores de la nube, GlobalSign está bien equipada para ayudar a las organizaciones a mejorar su postura de ciberseguridad.
¿Estás listo para mejorar tu seguridad? Comunícate con nuestros expertos hoy mismo..
