Redacción Digital Inside España
La gestión de la infraestructura de clave pública (PKI, por sus siglas en inglés) vuelve a colocarse en el centro de la conversación sobre ciberseguridad y continuidad de servicio. CyberArk ha presentado los resultados de un estudio encargado a Ponemon Institute (firma independiente de investigación), que recoge la visión de casi 2.000 profesionales de TI y seguridad de todo el mundo sobre el estado de la seguridad de la PKI y su impacto en la operativa empresarial.
Kurt Sand, director general de Machine Identity Security en CyberArk afirmó: “La rápida expansión de las identidades de máquina ha cambiado por completo el modelo operativo de la PKI. La complejidad de gestionar un número cada vez mayor de certificados se ve agravada por los sistemas heredados, los procesos manuales y las limitaciones de recursos . A medida que aumenta el volumen de certificados y se reducen sus periodos de validez, el impacto financiero y operativo de una PKI no gestionada crecerá rápidamente. Ahora es el momento para que las organizaciones automaticen y modernicen su PKI con el fin de reducir la carga operativa y mejorar su postura general de seguridad”.
Para contextualizar, la PKI es el sistema que permite crear y gestionar certificados digitales, que funcionan como credenciales para verificar la identidad de usuarios y dispositivos. Esa verificación es la base de la confianza en las comunicaciones digitales: un certificado válido ayuda a asegurar que quien se conecta es quien dice ser y que la comunicación se realiza de forma fiable.
El Dr. Larry Ponemon, presidente y fundador Ponemon Institute señaló: “La PKI es fundamental para garantizar la confianza, la seguridad y la privacidad en las comunicaciones digitales. Sin embargo, como demuestra la investigación, las organizaciones no confían en la capacidad de la PKI para proteger frente a amenazas de seguridad ni para mantenerse al día con el crecimiento de dispositivos y cargas de trabajo. Para aumentar la eficacia de la PKI, creo que más empresas adoptarán la IA para reducir la carga operativa y lograr mejores resultados en materia de seguridad”.
El informe señala que los sistemas PKI obsoletos se han convertido en el principal obstáculo para una gestión segura de certificados y se asocian a vulnerabilidades en el 60% de las organizaciones. La investigación enmarca este problema en un escenario de demanda creciente de identidad digital, impulsada por el aumento de identidades de máquina y por cargas de trabajo en entornos nativos en la nube y modelos Zero Trust, que elevan el volumen y la complejidad del ciclo de vida de los certificados.
El estudio describe una PKI que sigue siendo esencial, pero cuyo funcionamiento se resiente cuando se apoya en entornos heredados, con herramientas fragmentadas y procesos manuales. En ese punto, la capacidad de las organizaciones para atender la demanda de certificados no escala al mismo ritmo que el crecimiento de necesidades, con un efecto directo sobre recursos y costes operativos.
De media, las organizaciones declaran gestionar más de 114.000 certificados internos con solo cuatro empleados a tiempo completo dedicados a la PKI. Esa presión sobre los equipos se refleja también en la externalización: el 63% afirma verse obligado a recurrir a terceros para gestionar la PKI por falta de recursos y de personal especializado, según los datos del informe. En paralelo, el 34% identifica los costes y riesgos asociados a la PKI heredada como la principal barrera para una PKI segura.
El documento también pone el foco en la operativa diaria de los certificados. El seguimiento y la renovación manual, además de consumir tiempo, aumenta la probabilidad de errores y genera exposición a interrupciones y a problemas de seguridad. El 56% de las organizaciones indica haber sufrido interrupciones no planificadas por certificados caducados o errores de configuración. En el plano estrictamente de ciberseguridad, el informe recoge que el 60% experimentó vulnerabilidades derivadas de criptografía débil y que el 58% sufrió compromisos de seguridad vinculados a autoridades certificadoras de terceros. A ello se suma otro vector crítico en PKI: el 43% afirma haber sufrido el robo de claves privadas de servidores.
En este contexto, el informe vincula el crecimiento de identidades de máquina con un cambio del modelo operativo de la PKI: más certificados, mayor complejidad y una carga de gestión que se agrava si el entorno es heredado y dependiente de tareas manuales. La investigación también sitúa la modernización y la automatización como la vía para reducir presión operativa y reforzar la seguridad.
La fotografía de confianza, según los resultados, es contenida. Solo el 46% asegura confiar plenamente en que su PKI puede cumplir los requisitos normativos, y el 48% afirma estar seguro de su eficacia frente a ciberataques o amenazas internas. A partir de ahí, el informe relaciona mejores niveles de confianza con dos capacidades concretas: visibilidad unificada del inventario de certificados y adopción de IA dentro de la estrategia de PKI. Entre las organizaciones con alta confianza en el cumplimiento, el 75% declara disponer de visibilidad unificada, frente al 47% en el conjunto total, y el 61% afirma haber incorporado IA como parte de su estrategia de PKI, frente al 50% del total de la muestra.
El estudio concluye que, en las organizaciones que invierten en automatización y en una visión unificada, la carga operativa desciende, se reducen interrupciones y mejoran los niveles de cumplimiento en la PKI. En la práctica, el mensaje para responsables de TI y compras tecnológicas es claro: el peso de certificados y su gestión, especialmente en entornos heredados, puede trasladarse a riesgo operativo y de seguridad si no se acompaña de modernización y automatización.
