Marc Sureda
La evolución de los requisitos para los certificados TLS entra en una nueva fase. El mandato progresivo del CA/Browser Forum reducirá su validez máxima de los 398 días actuales a 200 días en marzo de 2026, hasta llegar a solo 47 días en 2029. Esto supondrá ciclos de renovación mucho más cortos para las organizaciones. En este contexto, los departamentos de TI deberán afrontar un aumento significativo del volumen de renovaciones y adaptar sus procesos de gestión antes de que estos nuevos plazos se generalicen.
En este escenario, CyberArk (compañía especializada en seguridad de identidad y cotizada en el Nasdaq (CYBR)), ha anunciado el lanzamiento de TLS Certificate Renewal Impact Calculator junto con TLS Certificate Discovery Scan. Con estas dos soluciones, la empresa quiere facilitar que los equipos de TI y ciberseguridad conozcan su nivel real de exposición y puedan cuantificar el impacto operativo y económico de trabajar con ciclos de renovación mucho más breves. Ambas herramientas están diseñadas para ofrecer a los responsables de seguridad una base de cálculo que les permita anticiparse al cambio normativo y tomar decisiones sobre posibles proyectos de automatización.
El acortamiento de la vida útil de los certificados TLS implica que las organizaciones deberán renovarlos al menos ocho veces al año y, previsiblemente, llegar a una cadencia prácticamente mensual. Para las entidades que siguen dependiendo de procesos manuales, el impacto previsto es elevado. Según los datos facilitados por CyberArk, una empresa que hoy gestiona manualmente 500 certificados dedica unas 2.000 horas anuales a esta tarea, cifra que podría superar las 24.000 horas en 2029, lo que equivaldría a pasar de un equipo de dos personas a uno de 24 solo para mantener el ritmo de renovaciones. Este salto en horas y recursos se traduce en mayores costes y en una presión adicional sobre los equipos internos.
El riesgo no se limita a la carga de trabajo. El aumento del volumen de renovaciones incrementa también la probabilidad de interrupciones relacionadas con certificados caducados o gestionados de forma inadecuada. Un estudio realizado por CyberArk indica que el 72% de los líderes de seguridad experimentó al menos una caída relacionada con certificados en el último año, mientras que el 67% sufrió interrupciones mensuales y el 45% registró incidentes de este tipo con frecuencia semanal. A medida que los ciclos de renovación se acorten, el margen para detectar y corregir problemas antes de que afecten a los sistemas productivos será cada vez menor.
Kurt Sand, director general de Machine Identity Security en CyberArk afirma: “La reducción de la vida útil de los certificados no es solo un cambio normativo, es un riesgo para el negocio. Las organizaciones se enfrentarán a un volumen de renovaciones que los procesos manuales no pueden asumir. Esto se traduce en más costes, mayor presión operativa y un incremento del riesgo de caídas de sistemas que pueden derivar en pérdidas económicas y de reputación. Con estas nuevas herramientas, ofrecemos a los equipos de seguridad una forma sencilla de evaluar su exposición y justificar la necesidad de automatizar antes de que lleguen las interrupciones”.
TLS Certificate Renewal Impact Calculator se presenta como una calculadora que permite visualizar cómo afectarán los periodos de validez de 47 días al número de renovaciones y a los recursos necesarios para gestionarlas. Esta herramienta está orientada a que los responsables de TI puedan estimar las horas de trabajo asociadas a los nuevos ciclos, proyectar los costes operativos y calcular el retorno de la inversión (ROI) de posibles iniciativas de automatización. El objetivo es proporcionar una base cuantitativa que permita tomar decisiones informadas sobre inversiones en modernización de la gestión de certificados.
Por su parte, TLS Certificate Discovery Scan está diseñada para ofrecer una visión del estado actual del parque de certificados. Esta función permite identificar certificados públicos caducados, próximos a expirar, mal configurados o no conformes, facilitando así la detección de puntos débiles en la infraestructura de certificados de la organización. De este modo, los equipos de seguridad pueden relacionar los resultados de descubrimiento con los cálculos de impacto y priorizar acciones correctivas o proyectos de automatización en función del riesgo y el esfuerzo estimado.
Las herramientas anunciadas se enmarcan en el esfuerzo de CyberArk por reforzar la visibilidad sobre las capacidades de gestión de certificados incluidas en su CyberArk Identity Security Platform. La compañía sitúa estas capacidades como parte de una plataforma de seguridad de identidad orientada a garantizar que cada identidad dispone de controles de privilegio adecuados al acceder a recursos en entornos multicloud, integrando la gestión de certificados dentro de una estrategia más amplia de control de acceso y privilegios.
CyberArk ha puesto ya a disposición de las organizaciones TLS Certificate Renewal Impact Calculator, con el objetivo de que puedan empezar a prepararse para un escenario de renovaciones cada 47 días. El componente TLS Certificate Discovery Scan complementa esta aproximación al ofrecer un mapa actualizado de certificados públicos caducados, cercanos a su expiración, mal configurados o no conformes, sobre el que apoyar la planificación de medidas preventivas y de automatización.
