¿Qué es la infraestructura de clave pública?

Autores

Josh Schneider

Staff Writer

IBM Think

Ian Smalley

Staff Editor

IBM Think

¿Qué es la infraestructura de clave pública?

La infraestructura de clave pública (PKI) es un marco integral para asignar, identificar y verificar la identidad del usuario a través de certificados digitales utilizados para permitir comunicaciones digitales confiables y seguras.

Junto con la criptografía de clave pública, los certificados digitales actúan como pasaportes virtuales, autenticando la identidad y los permisos de varios usuarios y entidades al establecer una comunicación segura de extremo a extremo a través de redes públicas o privadas.

Al abarcar elementos de software, hardware, políticas y procedimientos, la PKI formaliza el proceso para crear, distribuir, gestionar y revocar certificados digitales.

Boletín de noticias Think

¿Su equipo captaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su subscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/mx-es/privacy

Componentes clave de la infraestructura de clave pública

La infraestructura de clave pública (PKI) proporciona protocolos para validar la autenticidad de los certificados digitales que subrayan la confianza en los sistemas de criptografía de clave pública. La criptografía, piedra angular de la ciberseguridad, proporciona confidencialidad, integridad, no repudio y autenticidad. La PKI agrega validez a los sistemas criptográficos al vincular criptográficamente certificados digitales a usuarios únicos, instituciones, entidades y terceros.

Los siguientes son los componentes clave de una infraestructura de clave pública.

Autoridad de certificación (CA)

Una entidad de confianza responsable de emitir, almacenar y firmar certificados digitales. Las CA utilizan su propia clave privada para firmar certificados digitales que se pueden verificar a través de una clave pública solicitable.
Autoridad de registro (RA)

La misma entidad puede servir como autoridad de certificación y autoridad de registro, o la RA puede ser otro tercero. En ambos casos, la RA es responsable de verificar la identidad del usuario o dispositivo que solicita el certificado digital.
Base de datos de certificados

Una base de datos accesible que almacena certificados digitales individuales, incluidos metadatos como el período que el certificado es válido.
Directorio central

Una ubicación segura utilizada para almacenar e indexar claves criptográficas.
Sistema de gestión de certificados

Un conjunto de protocolos para gestionar sistemáticamente certificados digitales, incluido el acceso, la creación, el almacenamiento, la distribución y, lo que es más importante, la revocación.
Política de certificados

Una política de acceso público que detalla los procedimientos y estándares de la PKI. La política de certificados puede ser utilizada por terceros para evaluar la confiabilidad de la PKI.

Comprender la criptografía

La capacidad de establecer la transferencia segura de información entre usuarios, entidades y dispositivos permite que las plataformas de comercio electrónico y banca recopilen información financiera, habilita dispositivos conectados a Internet de las cosas (IoT) y establece líneas de comunicación confidenciales para servidores web de correo electrónico seguros.

Para enviar y recibir información segura a través de redes potencialmente vulnerables e inseguras, los especialistas en ciberseguridad confían en el cifrado de datos para cifrar (codificar) y descifrar (descodificar) de forma segura los datos confidenciales.

Los dos tipos principales de cifrado de datos se conocen como criptografía de clave pública y criptografía de clave privada.

¿Qué es la criptografía de clave pública?

También conocida como cifrado asimétrico o cifrado de clave pública, la criptografía de clave pública utiliza un par de claves, una clave pública compartida y una clave privada que es única para cada parte. La clave pública se utiliza para el cifrado, mientras que la clave privada se utiliza para el descifrado. Debido a que cada usuario tiene su propia clave privada, cada par de claves es único para cada usuario, mientras que la clave pública se comparte entre todos los usuarios.

¿Qué es la criptografía de clave privada?

También conocida como criptografía de clave simétrica o secreta, los criptosistemas de clave privada utilizan una sola clave tanto para el cifrado como para el descifrado. Para que este tipo de sistemas funcionen, cada usuario ya debe tener acceso a la misma clave secreta. Las claves privadas pueden compartirse a través de un canal de comunicación de confianza previamente establecido (como un mensajero privado o una línea segura) o, de manera más práctica, un método seguro de intercambio de clave, como el acuerdo de claves Diffie-Hellman. La gestión de claves segura y eficaz es un uso principal de la PKI que no se puede devaluar.

Casos de uso de criptografía

Establecer comunicaciones seguras a través de Internet es una de las aplicaciones más comunes de la criptografía. Transport Layer Security (TLS) y su predecesor, Secure Sockets Layer (SSL), utilizan algoritmos criptográficos para establecer conexiones protegidas entre navegadores web y servidores mediante certificados SSL/TLS para confirmar las identidades de usuarios y servidores. Al establecer canales seguros, estos protocolos garantizan que los datos compartidos entre el navegador de un usuario y el servidor de un sitio web permanezcan privados y no puedan ser interceptados por actores maliciosos.

La criptografía también se usa para aplicaciones de mensajería comunes como el correo electrónico y WhatsApp para proporcionar cifrado de extremo a extremo (E2EE) y mantener la privacidad de las conversaciones de los usuarios. Con E2EE, solo el remitente y el destinatario previsto pueden descifrar y leer sus mensajes, lo que hace casi imposible que terceros (incluidos los propios proveedores de servicios de los usuarios) accedan al contenido.

Infraestructura de clave pública (PKI) y certificados digitales

Si bien la criptografía simétrica es más rápida, la criptografía asimétrica suele ser más práctica y segura. En la práctica, ambos tipos de criptosistemas suelen utilizarse juntos. Por ejemplo, un usuario puede optar por cifrar un mensaje largo mediante un sistema simétrico y luego utilizar un sistema asimétrico para compartir la clave privada. Si bien el sistema asimétrico será más lento, la clave simétrica probablemente será más corta y más rápida de descifrar que el mensaje completo.

Sin embargo, ambos tipos de sistemas pueden ser vulnerables a los llamados ataques de intermediario (MitM), en los que un intruso malicioso podría interceptar datos seguros durante la transmisión.

En un ataque de este tipo, un hacker o un actor malicioso podría interceptar una clave pública, crear su propia clave privada y luego reemplazar la clave pública auténtica por una que se haya visto comprometida. El hacker podría interceptar mensajes cifrados enviados entre partes a través del sistema asimétrico comprometido, descifrar el mensaje, leer el contenido, cifrarlo nuevamente y reenviarlo junto con el mensaje ahora comprometido. Para los usuarios, el efecto sería el mismo y el ataque efectivo sería indetectable.

Para evitar este tipo de ataques, la infraestructura de clave pública (PKI) utiliza certificados digitales (también conocidos como certificados PKI, certificados de clave pública y certificados X.509) para confirmar la identidad de las personas, dispositivos o aplicaciones que poseen las claves privadas y públicas correspondientes. PKI proporciona la infraestructura para asignar de manera efectiva la propiedad autenticada de las claves criptográficas, lo que garantiza que cuando la información se envíe a través de un criptosistema asimétrico, solo el destinatario verificado y previsto podrá descifrarla.

Componentes de un certificado digital

Utilizado para establecer una identidad verificable, un certificado digital contiene información específica, que incluye lo siguiente:

  • El nombre distinguido (DN) del propietario
  • La clave pública del propietario
  • La fecha de emisión
  • Una fecha de vencimiento
  • El DN de la CA emisora
  • La firma digital de la CA emisora

Capacidades de certificado digital

Si bien no todos los certificados digitales son iguales, todos los certificados digitales válidos deben:

  • Contener información para establecer la identidad de un individuo o entidad
  • Ser emitidos por una autoridad de certificación externa confiable y especificada
  • Ser resistentes a manipulaciones
  • Contener información para probar su autenticidad
  • Contener una fecha de vencimiento

¿Qué son las autoridades de certificación?

Poder confiar en la validez de un certificado digital es crítico para establecer una PKI confiable, por lo que una autoridad de certificación (CA) de terceros confiable es crucial.

Las CA confiables garantizan la identidad de los titulares de certificados. Son responsables de crear y emitir certificados digitales y de las políticas, prácticas y procedimientos asociados con la investigación de antecedentes de los destinatarios.

Específicamente, una CA establecerá lo siguiente:

  • Métodos de verificación para los destinatarios de certificados
  • El tipo de certificado emitido
  • Parámetros asociados con cada tipo de certificado
  • Procedimientos y requisitos de seguridad operativa

Una CA acreditada documenta y publica formalmente estas políticas para permitir a los usuarios e instituciones la oportunidad de evaluar las medidas de seguridad y confiabilidad de la CA. Una vez operativa, una CA sigue un orden establecido de operaciones para crear nuevos certificados digitales mediante criptografía asimétrica. 

Cómo crear un nuevo certificado digital

Los siguientes pasos describen el proceso para crear un nuevo certificado digital:

  1. Se crea y asigna una clave privada para el destinatario del certificado junto con una clave pública correspondiente.
  2. La CA solicita y examina cualquier información de identificación disponible para el propietario de la clave privada. 
  3. La clave pública y los atributos de identificación se codifican en una solicitud de firma de certificado (CSR).
  4. El propietario de la clave firma la CSR para establecer la posesión de la clave privada.
  5. La CA valida la solicitud y firma el certificado digital con la propia clave privada de la CA.

Al confirmar quién es el propietario de la clave privada utilizada para firmar un certificado digital, el certificado se puede utilizar para verificar no solo la identidad del titular del certificado, sino también la identidad (y reputación) de la CA y, por lo tanto, la confiabilidad del certificado en sí.

Seguridad de infraestructura de clave pública

Para establecer aún más la confianza, las CA utilizan sus propias claves públicas y privadas y emiten certificados para sí mismas (certificados autofirmados) y entre sí. Esta práctica requiere una jerarquía de CA, en la que una CA excepcionalmente confiable actúa como una autoridad de certificación raíz, confiable para autofirmar sus propios certificados, así como los certificados de otras CA.

Si las claves de una CA se ven comprometidas, un hacker podría emitir certificados falsos y crear una violación de seguridad masiva. Como tal, las autoridades de certificación raíz operan principalmente fuera de línea y bajo los protocolos de seguridad más estrictos. En caso de que una CA raíz o una CA subordinada se vean comprometidas, tienen la obligación de hacer públicos los detalles de dicha violación y proporcionar listas de revocación de certificados para cualquier posible titular o destinatario del certificado.

Todo esto hace que la seguridad de las claves privadas sea muy importante para las CA. Una clave privada que cae en las manos equivocadas es mala en cualquier caso, pero es devastador para las CA porque alguien puede emitir certificados de forma fraudulenta.

Protección de certificados raíz

Los controles de seguridad y el impacto de la pérdida se vuelven aún más graves a medida que se mueve en la cadena de una jerarquía de CA porque no hay forma de revocar un certificado raíz. En caso de que una CA raíz se vea comprometida, la organización debe hacer pública esa violación de seguridad. Como resultado, las CA raíz tienen las medidas de seguridad más estrictas.

Para cumplir con los más altos estándares de seguridad, las CA raíz casi nunca deben estar en línea. Como mejores prácticas, las CA raíz deben almacenar sus claves privadas en cajas fuertes de nivel NSA dentro de centros de datos de última generación con seguridad 24/7 con cámaras y guardias físicos. Todas estas medidas pueden parecer extremas, pero son necesarias para proteger la autenticidad de un certificado raíz.

Aunque una CA raíz debe estar fuera de línea el 99.9 % del tiempo, hay ciertas instancias en las que sí necesita estar en línea. Específicamente, las CA raíz deben estar en línea para la creación de claves públicas, claves privadas y nuevos certificados, así como para garantizar que su propio material de claves siga siendo legítimo y no se haya dañado o comprometido de ninguna manera. Idealmente, las CA raíz deberían ejecutar estas pruebas entre dos y cuatro veces al año.

Por último, es importante tener en cuenta que los certificados raíz caducan. Los certificados raíz suelen durar entre 15 y 20 años (en comparación con aproximadamente 7 años para los certificados de CA subordinadas). Introducir y generar confianza en una nueva raíz no es fácil, pero es importante que estos certificados caduquen porque cuanto más tiempo se ejecutan, más vulnerables se vuelven a los riesgos de seguridad.

Recursos

Descubra por qué KuppingerCole clasifica a IBM como líder

El informe de plataformas de seguridad de datos de KuppingerCole ofrece orientación y recomendaciones para encontrar productos de protección y gobernanza de datos confidenciales que satisfagan mejor las necesidades de los clientes.
IBM X-Force Threat Intelligence Index 2025

Obtenga insights para prepararse y responder a los ciberataques con mayor rapidez y eficacia con IBM X-Force Threat Intelligence Index.
El impacto económico total (TEI) de la protección de datos Guardium

Descubra los beneficios y el retorno de la inversión (ROI) de IBM Security Guardium Data Protection en este estudio TEI de Forrester.
Gartner Market Guide for AI TRiSM

Acceda a este informe de Gartner para aprender a gestionar el inventario completo de IA, proteger las cargas de trabajo de IA con medidas de seguridad, reducir el riesgo y gestionar el proceso de gobernanza para lograr la confianza en la IA para todos los casos de uso de IA en su organización.
Amplíe sus habilidades con tutoriales gratuitos de seguridad

Siga pasos claros para completar tareas y aprenda a usar tecnologías de manera efectiva en sus proyectos.
¿Qué es la gestión de identidad y acceso (IAM)?

La gestión de identidad y acceso (IAM) es una disciplina de ciberseguridad que se ocupa del acceso de los usuarios y las licencias de recursos.
Soluciones relacionadas
Soluciones de seguridad y protección de datos

Proteja los datos en múltiples entornos, cumpla la normativa sobre privacidad y simplifique la complejidad operativa.

         Explore las soluciones de seguridad de datos
    IBM Guardium

    Descubra IBM Guardium, una familia de software de seguridad de datos que protege los datos confidenciales on premises y en la nube.

     

             Explore IBM Guardium
      Servicios de seguridad de datos

      IBM ofrece servicios integrales de seguridad de datos para proteger los datos empresariales, las aplicaciones e IA.

             Explore los servicios de seguridad de datos
      Dé el siguiente paso

      Proteja los datos de su organización en las distintas nubes híbridas y simplifique los requisitos de cumplimiento normativo con soluciones de seguridad de datos.

             Explore las soluciones de seguridad de datos Reserve una demostración en vivo