La infraestructura de clave pública (PKI) es un sistema de procesos, tecnologías y políticas que permite cifrar y firmar datos. Asimismo esta solución puede emitir certificados digitales que autentican la identidad de los usuarios, dispositivos o servicios.
Dichos certificados crean una conexión segura tanto para páginas web públicas como para sistemas privados, como a la red privada virtual (VPN), Wi-Fi interno, páginas wiki y otros servicios compatibles con la autenticación multifactor (MFA). Esta infraestructura es la red de seguridad invisible que colocan las personas y los dispositivos en Internet detrás de la información.
Los usuarios confían en las claves criptográficas y los certificados asociados con ellas para mantener los datos privados y seguros. Uno de los casos de uso más generalizados de PKI es el protocolo TLS/SSL, que protege casi todas las comunicaciones HTTPS cifradas para así navegar de manera segura en sitios web y redes sociales, leer noticias o comprar en línea.
De hecho, más del 90 por ciento de los sitios web está protegido por comunicación encriptada HTTPS, lo que significa que los certificados TLS son los PKI más utilizados.
Visto ese panorama, DigiCert destaca tres casos de uso de PKI.
- Firmas digitales
Las “firmas húmedas”, escritas con tinta en papel, tienen muchas desventajas. Después de todo, enviar un contrato firmado físicamente para su aprobación puede llevar mucho tiempo. Los documentos legalmente vinculantes pueden requerir la firma en persona o ante un testigo o notario, por lo que la demora no es el único factor.
En este contexto, el uso de tecnología de firma digital acelera la firma y la aprobación de documentos importantes, por ejemplo, cuando las personas firman contratos para nuevos servicios.
Pero si el usuario desea utilizar la firma digital en su negocio, debe asegurarse de que la firma digital sea genuina, que el documento no haya sido alterado y que nadie pueda verlo sin permiso. Ese es trabajo para un certificado digital y la PKI que lo hace posible.
Para facilitarles las cosas a las empresas, se debe intentar utilizar una plataforma de firma de documentos que permita a las personas:
- Establecer la autoría del documento.
- Asegurar la integridad de datos/contenido.
- Administrar certificados y firmas a escala.
- Confirmar la identidad del remitente.
2. ¿Y qué pasa con las comunicaciones por correo electrónico?
El correo electrónico es una de las formas más populares de comunicación. Pero para algunas organizaciones, puede representar un gran riesgo para la seguridad de los datos. De hecho, el 22% de todas las infracciones comerciales involucran phishing de correo electrónico.
“PKI permite a los remitentes firmar sus correos electrónicos, al igual que admite la firma de documentos. Esto significa que puede enviar correos electrónicos encriptados y autenticados, manteniendo el contenido privado, pero sus destinatarios pueden verificar que proviene de usted”, afirma Dean Coclin, director senior de desarrollo empresarial en DigiCert.
Sin el correcto cifrado de extremo a extremo ni la seguridad adecuada, la información personal confidencial podría filtrarse fuera de los negocios durante el tránsito. Aquí es en donde PKI puede agregar una capa adicional de protección y autenticación consistentes e impermeables. Esto significa que la información confidencial, incluidos los correos electrónicos con archivos adjuntos, se puede enviar de forma segura, sin manipulación y de conformidad con las reglamentaciones federales.
Si los usuarios desean replicar el cifrado de correo electrónico y la firma digital dentro de su organización, DigiCert brinda algunos consejos útiles para mantenerse seguro de manera eficiente:
- Adoptar una política corporativa para la firma digital de correo electrónico.
- Centralizar la administración y la implementación del certificado de correo electrónico en un portal integrado.
- Utilizar certificados de correo electrónico preconfigurados siempre que sea posible.
- Adoptar una herramienta que automatice la implementación de PKI.
3. Autenticación de tarjeta: tanto física como virtual
Los sistemas seguros basados en chips están cada vez más presentes tanto en las empresas B2B como en las B2C. Desde la autenticación de identificación electrónica en el sector público hasta las tarjetas que verifican las solicitudes de boletos de los empleados y los pagos en todas las industrias, existen muchos casos de uso para las tarjetas inteligentes. Una de esas industrias que se beneficiará es la salud.
Con tantos datos confidenciales que entran y salen de los hospitales a diario, es esencial que la industria de la salud elimine las contraseñas pirateables y adopte un método más confiable. Aquí entran en juego las tarjetas inteligentes, que pueden hacer lo siguiente:
- Reducir las filtraciones de datos y el fraude.
- Proporcionar una mejor captura de datos.
- Acercar la autenticación y el acceso a los datos a los empleados.
Para dar un ejemplo, el Servicio Nacional de Salud del Reino Unido utiliza tarjetas inteligentes, tanto físicas como virtuales, construidas sobre una infraestructura de certificado y PKI. La tarjeta virtual se almacena en el dispositivo móvil de un empleado, lo que reduce la probabilidad de que se filtren los datos del paciente. Es una solución flexible que permite a los empleados acceder a los datos que necesitan de forma segura (y están autorizados a verlos) y cuando los necesitan.
“Para las grandes organizaciones de atención médica, así como para las empresas de todos los sectores, recomendamos utilizar una herramienta que automatice el aprovisionamiento y la autenticación de tarjetas inteligentes. En última instancia, esto reducirá el error manual y devolverá el regalo del tiempo a sus equipos de TI”, indica Coclin.
Desde las firmas digitales hasta el cifrado de datos, la autenticación de usuarios, dispositivos y clientes, y la autenticación de tarjetas inteligentes, existen muchos argumentos para adoptar PKI y permitir una mejor gestión de certificados automatizada en las empresas.