¿Qué es la infraestructura de clave pública?

Autores

Josh Schneider

Staff Writer

IBM Think

Ian Smalley

Staff Editor

IBM Think

¿Qué es la infraestructura de clave pública?

La infraestructura de clave pública (PKI) es un marco integral para asignar, identificar y verificar la identidad del usuario a través de certificados digitales utilizados para permitir comunicaciones digitales fiables y seguras.

Junto con la criptografía de clave pública, los certificados digitales actúan como pasaportes virtuales, autenticando la identidad y los permisos de varios usuarios y entidades al establecer una comunicación segura de extremo a extremo a través de redes públicas o privadas.

Al abarcar elementos de software, hardware, políticas y procedimientos, la PKI formaliza el proceso de creación, distribución, gestión y revocación de certificados digitales.

Boletín de Think

¿Su equipo detectaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprenda rápidamente de tutoriales de expertos y artículos explicativos, directamente en su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/es-es/privacy

Componentes clave de la infraestructura de clave pública

La infraestructura de clave pública (PKI) proporciona protocolos para validar la autenticidad de los certificados digitales que subrayan la confianza en los sistemas de criptografía de clave pública. La criptografía, piedra angular de la ciberseguridad, proporciona confidencialidad, integridad, no repudio y autenticidad. La PKI añade validez a los sistemas criptográficos al vincular criptográficamente los certificados digitales a usuarios únicos, instituciones, entidades y terceros.

A continuación se enumeran los componentes clave de una infraestructura de clave pública.

Autoridad de certificación (CA)

Una entidad de confianza responsable de emitir, almacenar y firmar certificados digitales. Las CA utilizan su propia clave privada para firmar certificados digitales verificables a través de una clave pública que se puede solicitar.
Autoridad de registro (RA)

La misma entidad puede actuar como autoridad de certificación y autoridad de registro, o la RA puede ser otro tercero. En ambos casos, la RA es responsable de verificar la identidad del usuario o dispositivo que solicita el certificado digital.
Base de datos de certificados

Una base de datos accesible que almacena certificados digitales individuales, incluidos metadatos como el período de tiempo de validez del certificado.
Directorio central

Una ubicación segura utilizada para almacenar e indexar claves criptográficas.
Sistema de gestión de certificados

Un conjunto de protocolos para gestionar sistemáticamente los certificados digitales, incluidos el acceso, la creación, el almacenamiento, la distribución y, lo que es más importante, la revocación.
Política de certificados

Una política de acceso público que detalla los procedimientos y estándares de la PKI. La política de certificados puede ser utilizada por terceros para evaluar la fiabilidad de la PKI.

Comprender la criptografía

La capacidad de establecer la transferencia segura de información entre usuarios, entidades y dispositivos permite a las plataformas de comercio electrónico y banca recopilar información financiera, permite dispositivos conectados al Internet de las cosas (IoT) y establece líneas confidenciales de comunicación para servidores web de correo electrónico seguros.

Para enviar y recibir información segura a través de redes potencialmente vulnerables e inseguras, los especialistas en ciberseguridad confían en el cifrado de datos para cifrar (codificar) y descifrar (descodificar) datos confidenciales de forma segura.

Los dos tipos principales de cifrado de datos se conocen como criptografía de clave pública y criptografía de clave privada.

¿Qué es la criptografía de clave pública?

También conocida como cifrado asimétrico o cifrado de clave pública, la criptografía de clave pública utiliza un par de claves, una clave pública compartida y una clave privada que es única para cada parte. La clave pública se utiliza para el cifrado, mientras que la clave privada se utiliza para el descifrado. Dado que cada usuario tiene su propia clave privada, cada par de claves es único para cada usuario, mientras que la clave pública se comparte entre todos los usuarios.

¿Qué es la criptografía de clave privada?

También conocidos como criptografía de clave simétrica o secreta, los criptosistemas de clave privada utilizan una sola clave tanto para el cifrado como para el descifrado. Para que este tipo de sistemas funcionen, cada usuario ya debe tener acceso a la misma clave secreta. Las claves privadas pueden compartirse a través de un canal de comunicación de confianza previamente establecido (como un mensajero privado o una línea segura) o, de forma más práctica, mediante un método seguro de intercambio de claves, como el acuerdo de claves de Diffie-Hellman. La gestión de claves segura y eficaz es un uso principal de PKI que no puede devaluarse.

Casos de uso de la criptografía

Establecer comunicaciones seguras a través de Internet es una de las aplicaciones más comunes de la criptografía. Transport Layer Security (TLS) y su predecesor, Secure Sockets Layer (SSL), utilizan algoritmos criptográficos para establecer conexiones protegidas entre navegadores web y servidores mediante el uso de certificados SSL/TLS para confirmar las identidades de usuario y servidor. Al establecer canales seguros, estos protocolos garantizan que los datos compartidos entre el navegador de un usuario y el servidor de un sitio web permanezcan privados y no puedan ser interceptados por actores maliciosos.

La criptografía también se utiliza para aplicaciones comunes de mensajería como correo electrónico y WhatsApp para proporcionar cifrado de extremo a extremo (E2EE) y mantener la privacidad de las conversaciones de los usuarios. Con el E2EE, solo el remitente y el destinatario pueden descifrar y leer sus mensajes, lo que hace casi imposible que terceros (incluidos los propios proveedores de servicios de los usuarios) accedan al contenido.

Infraestructura de clave pública (PKI) y certificados digitales

Mientras que la criptografía simétrica es más rápida, la criptografía asimétrica suele ser más práctica y segura. En la práctica, ambos tipos de criptosistemas suelen utilizarse juntos. Por ejemplo, un usuario podría optar por cifrar un mensaje largo utilizando un sistema simétrico y luego utilizar un sistema asimétrico para compartir la clave privada. Aunque el sistema asimétrico será más lento, la clave simétrica probablemente será más corta y rápida de descifrar que el mensaje completo.

Sin embargo, ambos tipos de sistemas pueden ser vulnerables a los llamados ataques de intermediario (man-in-the-middle), en los que un intruso malicioso podría interceptar datos seguros durante la transmisión.

En un ataque de este tipo, un hacker o un actor malicioso podría interceptar una clave pública, crear su propia clave privada y luego reemplazar la clave pública auténtica por una que se haya visto comprometida. A continuación, el hacker podría interceptar los mensajes cifrados enviados entre las partes a través del sistema asimétrico comprometido, descifrar el mensaje, leer el contenido, volver a cifrarlo y reenviarlo junto con el mensaje ahora comprometido. Para los usuarios, el efecto sería el mismo y el ataque efectivo sería indetectable.

Para evitar este tipo de ataques, la infraestructura de clave pública (PKI) utiliza certificados digitales (también conocidos como certificados PKI, certificados de clave pública y certificados X.509) para confirmar la identidad de las personas, dispositivos y/o aplicaciones que poseen los datos privados y las correspondientes claves públicas. La PKI proporciona el marco para asignar eficazmente la propiedad autenticada de las claves criptográficas, lo que garantiza que cuando la información se envíe a través de un criptosistema asimétrico, solo el destinatario verificado y previsto podrá descifrarla.

Componentes de un certificado digital

Utilizado para establecer una identidad verificable, un certificado digital contiene información específica, incluyendo la siguiente:

  • El nombre distinguido (DN) del propietario
  • La clave pública del propietario
  • La fecha de emisión
  • Una fecha de caducidad
  • El DN de la CA emisora
  • La firma digital de la CA emisora

Capacidades de certificados digitales

Aunque no todos los certificados digitales son iguales, todos los certificados digitales válidos deben:

  • Contener información para establecer la identidad de un individuo o entidad
  • Ser emitido por una autoridad de certificación externa de confianza y especificada
  • Ser resistente a manipulaciones
  • Contener información para demostrar su autenticidad
  • Contener una fecha de caducidad

¿Qué son las autoridades de certificación?

Poder confiar en la validez de un certificado digital es crítico para establecer una PKI fiable, por lo que es crucial contar con una autoridad de certificación (CA) de terceros de confianza.

Las CA fiables garantizan la identidad de los titulares de certificados. Son responsables de crear y emitir certificados digitales y de las políticas, prácticas y procedimientos asociados con la investigación de antecedentes de los destinatarios.

Específicamente, una CA establecerá lo siguiente:

  • Métodos de investigación para los destinatarios de los certificados
  • El tipo de certificado emitido
  • Parámetros asociados a cada tipo de certificado
  • Procedimientos y requisitos de seguridad operativa

Una CA acreditada documenta y publica formalmente estas políticas para permitir a los usuarios e instituciones la oportunidad de evaluar las medidas de seguridad y fiabilidad de la CA. Una vez operativa, una CA sigue un orden establecido de operaciones para crear nuevos certificados digitales mediante criptografía asimétrica. 

Cómo crear un nuevo certificado digital

Los siguientes pasos describen el proceso para crear un nuevo certificado digital:

  1. Se crea y asigna una clave privada para el destinatario del certificado junto con una clave pública correspondiente.
  2. La CA solicita y examina cualquier información de identificación disponible para el propietario de la clave privada. 
  3. La clave pública y los atributos de identificación se codifican en una solicitud de firma de certificado (CSR).
  4. El propietario de la clave firma la CSR para establecer la posesión de la clave privada.
  5. La CA valida la solicitud y firma el certificado digital con la propia clave privada de la CA.

Al confirmar quién es el propietario de la clave privada utilizada para firmar un certificado digital, el certificado se puede utilizar para verificar no solo la identidad del titular del certificado, sino también la identidad (y reputación) de la CA y, por lo tanto, la fiabilidad del propio certificado.

Seguridad de infraestructura de clave pública

Para establecer aún más la confianza, las CA utilizan sus propias claves públicas y privadas y emiten certificados para sí mismas (certificados autofirmados) y entre sí. Esta práctica requiere una jerarquía de CA, en la que una CA excepcionalmente fiable actúa como autoridad de certificación raíz, de confianza para autofirmar sus propios certificados, así como los certificados de otras CA.

Si las claves de una CA se ven comprometidas, un hacker podría emitir certificados falsos y crear una violación de seguridad masiva. Como tal, las autoridades de certificación raíz operan principalmente fuera de línea y bajo los protocolos de seguridad más estrictos. En caso de que una CA raíz o una CA subordinada se vean comprometidas, están obligadas a hacer públicos los detalles de dicha infracción y a proporcionar listas de revocación de certificados para cualquier posible titular o destinatario del certificado.

Todo esto hace que la seguridad de las claves privadas sea muy importante para las CA. Una clave privada que cae en las manos equivocadas es mala en cualquier caso, pero es devastador para las CA porque alguien puede emitir certificados de manera fraudulenta.

Protección de certificados raíz

Los controles de seguridad y el impacto de la pérdida se vuelven aún más graves a medida que se mueve en la cadena de una jerarquía de CA porque no hay forma de revocar un certificado raíz. Si una CA raíz se ve comprometida, la organización debe hacer pública esa violación de seguridad. Como resultado, las CA raíz tienen las medidas de seguridad más estrictas.

Para cumplir con los más altos estándares de seguridad, las CA raíz casi nunca deben estar en línea. Como buenas prácticas, las CA raíz deben almacenar sus claves privadas en cajas fuertes de nivel NSA dentro de centros de datos con seguridad 24/7 a través de cámaras y guardias físicos. Todas estas medidas pueden parecer extremas, pero son necesarias para proteger la autenticidad de un certificado raíz.

Aunque una CA raíz debe estar fuera de línea el 99,9 % del tiempo, hay ciertos casos en los que necesita estar en línea. En concreto, las CA raíz deben conectarse para crear claves públicas, claves privadas y nuevos certificados, así como para garantizar que su propio material de claves siga siendo legítimo y no se haya dañado o comprometido de ninguna manera. Lo ideal es que las CA raíz ejecuten estas pruebas entre dos y cuatro veces al año.

Por último, es importante tener en cuenta que los certificados raíz caducan. Los certificados raíz suelen durar entre 15 y 20 años (en comparación con los aproximadamente 7 años de los certificados de las CA subordinadas). Introducir y generar confianza en una nueva raíz no es fácil, pero es importante que estos certificados caduquen porque cuanto más tiempo se ejecutan, más vulnerables se vuelven a los riesgos de seguridad.

Recursos

Descubra por qué KuppingerCole clasifica a IBM como líder

El informe de KuppingerCole sobre plataformas de seguridad de datos ofrece orientación y recomendaciones para encontrar los productos de protección y gobierno de datos sensibles que mejor se adapten a las necesidades de los clientes.
IBM® X-Force Threat Intelligence Index 2025

Obtenga información para prepararse y responder a los ciberataques con mayor rapidez y eficacia con IBM X-Force Threat Intelligence Index.
El impacto económico total (TEI) de la protección de datos Guardium

Descubra los beneficios y el ROI de IBM Security Guardium Data Protection en este estudio TEI de Forrester.
Gartner Market Guide for AI TRiSM

Acceda a este informe de Gartner para aprender a gestionar el inventario completo de IA, proteger las cargas de trabajo de IA con barreras de seguridad, reducir el riesgo y gestionar el proceso de gobierno para lograr la confianza en la IA para todos los casos de uso de IA en su organización.
Amplíe sus conocimientos con tutoriales gratuitos sobre seguridad

Siga unos pasos bien definidos para completar las tareas y aprenda a utilizar las tecnologías en sus proyectos de manera eficaz.
¿Qué es la gestión de identidades y accesos (IAM)?

La gestión de identidades y accesos (IAM) es una disciplina de ciberseguridad que se ocupa del acceso de los usuarios y los permisos de recursos.
Soluciones relacionadas
Soluciones de seguridad y protección de datos

Proteja los datos en varios entornos, cumpla la normativa sobre privacidad y simplifique la complejidad operativa.

         Explore las soluciones de seguridad de datos
    IBM Guardium

    Descubra IBM Guardium, una familia de software de seguridad de datos que protege los datos confidenciales en el entorno local y en la nube.

     

             Explore IBM Guardium
      Servicios de seguridad de datos

      IBM proporciona servicios integrales de seguridad de datos para proteger los datos empresariales, las aplicaciones y la IA.

             Explore los servicios de seguridad de datos
      Dé el siguiente paso

      Proteja los datos de su organización en nubes híbridas y simplifique los requisitos de conformidad con soluciones de seguridad de datos.

             Explore las soluciones de seguridad de datos Solicite una demostración en directo