Use bien los certificados digitales y evite dolores de cabeza

0

El cifrado asimétrico o de Clave Pública, está considerado y reconocido universalmente, como un medio seguro y confiable que contribuye a garantizar identidad, autenticidad y no repudio, sin embargo, la falta de medidas de protección y custodia de las claves de los certificados que utilizamos habitualmente, contribuyen a debilitar su fortaleza, además de propiciar y facilitan el “fraude por suplantación de identidad “

Por Jesús Rodriguez Cabrero
Usabilidad y futuro de los certificados digitales

El uso de certificados está cada día más extendido y la previsión es que crezca en los próximos años. Se puede observar como en el mundo empresarial es cada vez mayor el número de empresas que utilizan certificados digitales corporativos para trámites específicos como la facturación electrónica.

¿Utilizamos correctamente los certificados?

A pesar de que ésta tecnología, es sólida y fiable, no debemos de olvidar que la socialización de los conocimientos informáticos y de seguridad facilitan el acceso a mafias delictivas y hackers a un manejo fraudulento de los sistemas de cifrado y firma electrónica. Si a esto, le sumamos la posibilidad de tener dentro de nuestra organización un hacker no identificado ( no olvidemos que una gran parte de los ataques se producen dentro de nuestra propia red ) , nos encontramos que existen una serie de riesgos, que debemos de tener identificados y controlados para minimizar la probabilidad de ocurrencia que conlleva, en éste caso, que las claves de los certificados estén expuestas . Solo de éste modo evitaremos sobresaltos.

¿Cómo podemos minimizar los posibles riesgos?

Los certificados digitales, lo conforman 2 parejas de claves, la pública que podemos mostrar a un tercero y la privada que en ningún caso puede ser conocida o accedida por un tercero ya que se trata de nuestra identidad y de nuestra firma. Proteger y custodiar de manera segura las claves privadas de nuestros certificados contribuye a evitar su sustracción para no tener que enfrentarnos ante un posible fraude por la suplantación de nuestra identidad.

Presuponer que la utilización de un certificado digital, en sí mismo, es una garantía de seguridad, es un error, si no tenemos en cuenta dos reglas de oro:

La primera es tener la certeza de que los certificados que utilizamos son confiables, es decir que sus claves han sido generadas por una CA ( Autoridad de Certificación ) confiable y que se ha utilizado para ello un hardware criptográfico ( HSM) certificado por un laboratorio acreditado y reconocido internacionalmente. No podemos obviar que la fortaleza de los certificados reside precisamente en quien y como se han generado las claves de los mismos.

La segunda regla tiene que ver con la forma en que custodiamos las claves de los certificados que utilizamos, especialmente con la clave privada, la cual en ningún caso podemos tener expuesta en el contenedor de Windows, de la misma forma que no dejaríamos puesta la llave en la cerradura de la puerta de nuestra casa, aunque se trate de una puerta blindada. Desafortunadamente, lo anterior, acostumbra a ser habitual, lo que conlleva un serio riesgo de posible fraude por suplantación de identidad.

¿Cómo deberíamos proteger y gestionar las claves de nuestros certificados?

La mayor parte de los usuarios acostumbran a utilizar como sistema de almacenamiento de las claves de los certificados bien una Smart Card, bien un Token o en la mayoría de los casos el propio contenedor de Windows de nuestro PC.

En los dos primeros casos, la utilización de un dispositivo seguro de almacenamiento contribuye a custodiar y proteger las claves y a salvaguardar la identidad, cosa que no sucede cuando el sistema de custodia y salvaguarda de las claves pasa a ser el contenedor de Windows.

En el mundo empresarial, algunos usuarios departamentales (RRHH, Administración, etc. ) ante la inoperatividad y lentitud que supondría utilizar Smart Card para realizar procesos de firma electrónica ( caso de la Factura Electrónica y otros ) en los cuales se utiliza un certificado corporativo de empresa, se opta porque dichos usuarios compartan las claves de los certificados corporativos, almacenándolas, de manera insegura, en sus PCs asumiendo con ello, consciente o inconscientemente, un alto riesgo de exposición.

Si a esto le añadimos la ausencia de gestión y control sobre los usuarios que tienen acceso a las claves privadas de los certificados y al uso que hacen de las mismas, estamos debilitando el uso de la tecnología de clave pública y exponiendo a la empresa a cualquier tipo fraude por suplantación de identidad, con el agravante, en la mayoría de los casos, de no poder determinar la identidad del usuario en cuestión.

La solución a lo anterior está en establecer una política de protección y control de las claves de los certificados e implantar, en el caso de las empresas, un sistema centralizado y seguro para el almacenamiento de las claves de los certificados. Este sistema debería contar con un Hardware Criptográfico (HSM) para custodiar y proteger las claves y permitir el acceso, únicamente a los usuarios autorizados, tras su autenticación, contando además con la posibilidad de auditar el uso de las claves por parte de los usuarios autorizados.

En resumen, la confianza en el uso de los certificados digitales, requiere de la protección y custodia segura de las claves, así como de definir procedimientos y establecer mecanismos, en el caso del mundo empresarial, que nos permitan saber: ¿Quién firmó? ¿Qué firmó? y ¿Cuándo?

Jesús Rodriguez Cabrero es el Director General de REALSEC.

Expresa tus ideas

Quieres tener tu propia personalidad?...
consigue tu gravatar!