Sectigo: “El mercado demanda cada vez más soluciones automatizadas”

En esta entrevista, exploramos cómo la empresa líder en soluciones de ciberseguridad aborda el desafío de equilibrar la seguridad con la comodidad del usuario. Javier Fernández, Enterprise Regional Sales Manager de la compañía, nos ofrece su perspectiva sobre cómo los certificados digitales y otras tecnologías avanzadas juegan un papel crucial en la autenticación de los usuarios.

Sectigo, proveedores de certificados SSL/TLS con más de 1.3 mil millones de certificados emitidos, se dedica a desarrollar soluciones que ayudan a proteger los sitios web y las transacciones en línea del cifrado y la falsificación de identidad, protegiendo la identidad digital y simplificando el acceso a servicios sin comprometer la seguridad.

– ¿Podrías explicar brevemente el impacto de las amenazas cibernéticas en la demanda y desarrollo de los certificados SSL/TLS?

Sectigo, con más de 20 años en el mercado, originalmente se centraba en SSL/TLS y es una autoridad certificadora pública. Con el crecimiento de las ciberamenazas, la necesidad de seguridad digital se ha vuelto crucial. Sectigo emite certificados que aseguran páginas web y va más allá con soluciones de autenticación e identidad del usuario.

Recientemente, Google eliminó a Entrust de sus navegadores, lo cual afecta significativamente al mercado de autoridades certificadoras. Esto implica que miles de millones de usuarios ya no confiarán en los certificados de Entrust, obligando a los clientes a migrar hacia otras autoridades. Este movimiento podría repetirse con otros navegadores y empresas, lo que deja a Entrust en una situación complicada en el ámbito de las certificaciones SSL. A pesar de esto, casi todas las páginas web utilizan certificados digitales, esencial para protegerse contra ciberamenazas y establecer una identidad digital confiable en servicios públicos y plataformas financieras.

– ¿Cómo ha impactado la inteligencia artificial en el ámbito de los certificados digitales, tanto en términos de desarrollo de soluciones como en resolver posibles vulnerabilidades?

En realidad, la inteligencia artificial no tiene un gran impacto en nuestro trabajo. En su mayor parte, la IA puede ser utilizada tanto por los ciberatacantes como por quienes defienden sistemas para desarrollar herramientas específicas. En nuestro caso, nos dedicamos principalmente a la identificación digital, asegurando que usuarios y aplicaciones sean quienes dicen ser. Por lo tanto, hasta ahora, la IA no ha influido significativamente en nuestro negocio. Aunque podría facilitar la gestión del ciclo de vida de los certificados, permitiéndonos identificar servicios necesarios en momentos específicos, en general, no está directamente relacionada con nuestras soluciones actuales.

– ¿Cuáles son los desafíos que enfrentan las pymes españolas al implementar certificados digitales en sus páginas web?

Principalmente, el principal desafío para las pequeñas empresas es el desconocimiento. Hoy en día, la conciencia sobre la necesidad de identificación digital es generalizada, especialmente en trámites con la administración pública donde se requiere certificación para garantizar la autenticidad. Sin embargo, en el sector de las pequeñas empresas, el problema radica en la falta de recursos y conocimientos técnicos para implementar y gestionar adecuadamente certificados SSL u otros tipos de certificaciones digitales.

El desafío no es solo obtener el certificado, sino también gestionarlo de manera efectiva. Muchas veces, las pequeñas empresas no tienen los recursos para monitorear regularmente la caducidad de los certificados o para renovarlos a tiempo. Esto puede resultar en problemas operativos y pérdida de confianza por parte de los clientes.

Para abordar esta situación, nosotros ofrecemos soluciones SaaS que permiten a las empresas de todos los tamaños gestionar sus certificados de forma centralizada y eficiente. Esta aplicación proporciona una plataforma donde pueden monitorizar y gestionar todos sus certificados desde una sola interfaz, ya sea que sean grandes corporaciones o pequeñas empresas. Así, independientemente del tamaño, todas las empresas pueden cumplir con los requisitos de seguridad digital necesarios para operar en el mercado actual.

– ¿Cómo visualizan ustedes el futuro de la criptografía cuántica en términos de seguridad?

Para nosotros, la criptografía cuántica representa un mercado muy significativo. Es uno de nuestros principales motivos de estar aquí, ya que buscamos proporcionar soluciones a nuestros clientes para cuando esta tecnología esté lista. La implementación de la tecnología cuántica y supercomputadoras significa que cualquier persona podría descifrar un certificado digital y extraer información de una transacción en un tiempo mínimo. Actualmente, los ataques comunes implican interceptar el tráfico entre usuarios y aplicaciones bancarias para obtener datos, pero con la computación cuántica, el tiempo necesario para descifrar certificados se reduce drásticamente. Mientras que hoy puede llevar años, con la supercomputación, esto se reduce a minutos.

Nuestra solución radica en prevenir estas amenazas. Por ejemplo, mediante la gestión del ciclo de vida del certificado (CLM), ofrecemos agilidad criptográfica para adaptarnos a estos cambios. Con la tecnología cuántica, la duración de los certificados digitales tiende a acortarse para minimizar el riesgo de exposición prolongada. Permitimos a nuestros clientes cambiar certificados en cualquier momento para evitar problemas de seguridad, como exposiciones o vulnerabilidades en el cifrado.

– ¿Podrías destacar algunas de las características más innovadoras y distintivas de vuestra plataforma de gestión de certificados?

Siguiendo esa línea, como compañía nos enfocamos principalmente en el ámbito empresarial. Desde la perspectiva de Sectigo, podemos diferenciar dos áreas clave: la emisión de certificados digitales como autoridad certificadora y la gestión interna de estos certificados. Tecnológicamente, nos destacamos por nuestra agilidad en criptografía. Nuestra herramienta permite descubrir y monitorizar la ubicación de certificados digitales desde la perspectiva del usuario, máquina o cualquier servicio. A partir de ahí, automatizamos el despliegue y uso de estos certificados.

Por ejemplo, dentro de nuestro portafolio tenemos integraciones con los principales fabricantes de seguridad de sistemas. Esto facilita, por ejemplo, desplegar un servicio en Amazon, Azure o Google, donde podemos automáticamente gestionar certificados para contenedores o aplicaciones. Antes, la gestión de certificados solía ser manual y tediosa, con el riesgo de que certificados robados o no revocados permitieran acceso no autorizado a servicios.

Nuestro objetivo es centralizar y automatizar esta gestión desde un único punto. Si un dispositivo o PC es comprometido, nuestra solución puede cancelar automáticamente el certificado correspondiente. Anteriormente, cuando un empleado dejaba la compañía, sus certificados solían permanecer activos inadvertidamente, pero ahora podemos revocarlos automáticamente cuando se da de baja al usuario.

El mercado demanda cada vez más soluciones automatizadas, eliminando la necesidad de tareas tediosas y propensas a errores humanos. Nuestra tecnología permite reaccionar proactivamente a situaciones críticas mediante integraciones automáticas, asegurando que todo el flujo de trabajo esté parametrizado según las necesidades de cada empresa.

– ¿Cómo ha evolucionado este tema desde el inicio de la pandemia? Con el auge del teletrabajo, los certificados y la autenticación de usuarios han cobrado gran relevancia. ¿Qué cambios y desafíos destacarías en este contexto?

Claro, uno de los principales efectos de la pandemia es precisamente eso. Antes, todos trabajaban desde sus PCs en la oficina con controles de seguridad mínimos, ya que estaban conectados a través de cables o Wi-Fi controlados. Ahora, con el teletrabajo, la gente lleva sus dispositivos a todas partes: PCs, teléfonos, tablets. Esto aumenta la necesidad de una seguridad más estricta, donde el simple usuario y contraseña no son suficientes. Se requieren certificados digitales tanto para los dispositivos como para los usuarios.

Por otro lado, la dispersión de usuarios implica ofrecer más servicios desde la oficina. Antes, una VPN era suficiente para acceder a todo, como el correo electrónico. Ahora, se necesita asegurar la navegación con servicios SaaS que proporcionen seguridad básica. Todo esto implica un crecimiento constante en el uso de certificados digitales, tanto para los usuarios como para los servicios que se les proveen.

Además, el mercado está adoptando soluciones como SASE y SDONE para adaptarse a esta nueva realidad de trabajo remoto y seguridad digital. También ha habido un aumento significativo en los servicios en la nube y el IoT, que ahora requieren una certificación más rigurosa.

Desde el punto de vista normativo, cumplimos con las regulaciones europeas de certificación digital, como el eIDAS en Europa o el ESIGN Act en Estados Unidos, que permite a los usuarios autenticarse de manera reconocida en toda Europa.

– Centrándonos ahora en el tema de la firma digital, ¿qué ventajas e innovaciones ofrece Sectigo frente a sus competidores?

Desde el punto de vista de la certificación digital de usuario, todo se centra en la normativa. Si quieres ser una autoridad certificadora, debes garantizar la seguridad y la gestión de las claves privadas. En ese sentido, no ofrecemos más que el resto. Los certificados son esencialmente iguales. Lo que diferencia a Sectigo es nuestra capacidad para gestionar de manera unificada el ciclo de vida del certificado. Esto facilita a las empresas realizar gestiones como validaciones, descubrimientos o revocaciones de certificados de manera rápida y eficiente. La ventaja radica en que desde nuestra consola, ya sea para nuestros certificados o de terceros, puedes visualizar y administrar todo.

Desde el punto de vista de las autoridades certificadoras, la verdadera innovación es proporcionar herramientas que cumplen con las normativas establecidas. No todos necesitan certificados, pero todos estamos regidos por las mismas normas en términos de innovación y eficiencia en la emisión y revocación. La clave está en la herramienta que ofrecemos para facilitar estos procesos. Esa es nuestra innovación: centralizar y simplificar el ciclo de vida del certificado, manteniendo siempre el cumplimiento normativo como prioridad absoluta.

– ¿Cómo implementan tecnologías emergentes como la biometría en la autenticación de usuarios?

Nosotros facilitamos el servicio para el que tú solicitas y recibes los certificados. Garantizamos que eres quien dices ser al firmar estos certificados. A partir de ahí, nos integramos con cualquier solución que necesites para la autenticación dentro de tu compañía. Si usas un sistema Windows, automatizamos la obtención del certificado y lo desplegamos en tu máquina.

Desde ese punto, tú decides los controles de acceso para los usuarios en la red. Nos adaptamos a cualquier solución que ya tengas, como sistemas biométricos o soluciones MDM. No proporcionamos directamente un sistema biométrico; en cambio, certificamos tu identidad digital mediante certificados de máquina, de usuario o una combinación de ambos. Si tienes un dispositivo móvil que necesita control, nos integramos con tu solución MDM. Así, cuando te conectes a la red con tu usuario y dispositivo, tendrás tu certificado digital instalado y podrás acceder a servicios que requieran autenticación digital.

– Un tema crucial que preocupa a los proveedores de soluciones de ciberseguridad es la fricción con los usuarios al verificar su identidad. ¿Cómo equilibra vuestro enfoque esta necesidad sin afectar a la experiencia del cliente?

Claro, afecta porque cuantas más barreras se pongan para acceder a un servicio, más complicado será para el usuario, ¿verdad? Desde el ámbito de la identidad digital mediante certificados, es crucial que estos procesos no afecten negativamente al día a día. Por ejemplo, un certificado en tu dispositivo que autentica sin que te des cuenta. Pero cuando hablamos del usuario directamente, si antes usabas usuario y contraseña, ahora debes seleccionar un certificado. Es un poco como con @clave para servicios públicos, donde simplificamos al máximo.

En el entorno corporativo, integrar esto implica distintos niveles. Desde casa, el dispositivo corporativo certificado valida sin problemas. Si me piden un certificado para autenticarme en la red, debo seleccionarlo para demostrar mi identidad. Entonces, ¿afecta? Sí, pero como mencionaba antes, es parte del avance tecnológico. Hace años, declarar impuestos era complicado; hoy, usar certificados digitales es más sencillo para quienes estamos familiarizados. Educación y simplicidad son clave para minimizar la complejidad y mejorar la experiencia del usuario.