¿Qué es un certificado digital? Todo sobre ello (2023)

¿Qué es un certificado digital?

Ahora que la seguridad en la web preocupa tanto a usuarios individuales como a organizaciones, el tema de los certificados digitales aparece más que nunca. Se oye hablar de certificados digitales de todo tipo utilizados en línea, en redes internas, y probablemente usted mismo los haya utilizado sin dudarlo.

Sabe que tienen algo que ver con la seguridad de las comunicaciones o la restricción del acceso, pero no sabe si merecen la pena. Después de todo, si ha intentado conseguir uno para su empresa, sabrá que no son baratos, a pesar de las muchas opciones de precios. Entonces, ¿qué es un certificado digital?

Resumen

• Un certificado digital, similar a un DNI electrónico, establece la identidad de una entidad (como una persona, una organización o un sitio web) en línea, fomentando la confianza en las comunicaciones digitales.
• Arraigados en la infraestructura de clave pública (PKI), los certificados digitales contienen datos cruciales: la clave pública del propietario, los datos del emisor del certificado, las fechas de validez y un número de serie único, todo ello firmado digitalmente por una autoridad de certificación (CA) de confianza.
• Desempeñan un papel vital en la seguridad del tráfico web a través de HTTPS, permitiendo la transferencia cifrada de datos y verificando la autenticidad del servidor, evitando así ataques como la interceptación de datos y la suplantación de sitios web.

No se convierta en víctima del cibercrimen. Proteja sus dispositivos con el mejor antivirus y su privacidad con la mejor VPN.

Ejemplos de certificados digitales de distintos tipos

Los certificados digitales vienen en muchas formas y tienen varios usos. He aquí los tipos que debe conocer.

Certificados digitales TSL/SSL

Siempre que vea una designación HTTPS en una dirección web o URL, ese servidor tiene un certificado TLS/SSL.

Este tipo de certificado digital se utiliza principalmente para cifrar y proteger las comunicaciones, de ahí su uso en aplicaciones de correo electrónico.

Su funcionamiento es sencillo. El certificado permite o impide que los servidores intercambien mensajes con los clientes, dependiendo de cómo vaya el proceso de validación.

El certificado TLS/SSL puede ser un certificado del lado del servidor o del lado del cliente.

Certificado TLS/SSL del servidor

Este tipo de certificado de servidor utiliza los protocolos TLS y SSL para proteger las comunicaciones entre los dispositivos cliente y los servidores.

Para ello, pide al servidor que muestre un certificado digital que indique que es el destinatario deseado.

En este escenario, el dispositivo cliente que se conecta al servidor realiza un proceso de validación de la ruta de certificación. El proceso hace coincidir el host con el sujeto del certificado y muestra que una autoridad de certificación de confianza fue la responsable de emitir el certificado.

Curiosamente, el host debe identificarse siempre como “Nombre común”. Dado que estos certificados podrían ser válidos para un montón de nombres de host, dominios y subdominios, deberían contener un campo separado para nombres de sujeto alternativos.

Certificados de cliente TLS/SSL

Un certificado del lado del cliente es un tipo de identificación que ayuda a los usuarios y a los dispositivos a identificarse entre sí.

Estos certificados son útiles en aplicaciones de protección de bases de datos. Otro uso es en los servicios de correo electrónico, donde los certificados de cliente autentifican los correos electrónicos para el destinatario.

No son tan comunes en los navegadores web, pero son populares en las redes privadas virtuales (VPN) y en las aplicaciones de servicios de escritorio remoto para autenticar dispositivos de confianza.

Una gran diferencia entre esto y un certificado de servidor es quién se encarga de la autenticación. En este caso, el proveedor o emisor del certificado realiza la autenticación cuando el cliente solicita el acceso.

Además, un certificado de cliente puede mostrar a menudo un nombre personal o incluso un identificador de dirección de correo electrónico en lugar de un nombre de host, como ocurre con los certificados de servidor.

Certificados digitales de firma de código

Este certificado lo utilizan los desarrolladores y editores de software. Utilizan certificados de firma de código para firmar su software y demostrar que es auténtico.

Los usuarios que los descarguen pueden verificar su autenticidad antes de instalarlos para asegurarse de que no han sido estafados o están a punto de instalar algo potencialmente infectado con malware.

Un certificado TLS/SSL también tiene subtipos basados en su metodología de validación.

Organización

Un certificado validado por una organización es lo más común en la industria del comercio electrónico.

Ampliado

Las grandes organizaciones y empresas que necesitan proteger información sensible utilizan un certificado de validación ampliada.

Este tipo de certificado TSL/SSL proporciona una autenticación empresarial completa y suele asociarse al nivel de seguridad más elevado.

Dominio

El certificado validado de dominio es el método más rápido y la opción preferida para la mayoría de los sitios web, especialmente debido a lo barato que es conseguir uno.

¿Dónde se obtienen los certificados digitales?

Si necesita un certificado digital, debe obtenerlo de una fuente de confianza. Eso suele significar una autoridad de certificación.

Una autoridad de certificación, CA por sus siglas en inglés, es responsable de almacenar, firmar y emitir certificados digitales.

Se trata de entidades de confianza y autorizadas por los propietarios de certificados y cualquier parte que necesite un certificado para validar una solicitud de autenticación.

Tener un certificado digital no es suficiente para que alguien verifique y autentique su firma digital. Para ello, necesita una clave pública reconocida del emisor, que es la autoridad de certificación.

Afortunadamente, existen muchas CA ampliamente reconocidas. La ventaja de trabajar con una de ellas es que sus claves públicas están preinstaladas en navegadores populares como Firefox, Safari, Chrome, Edge, etc.

Por lo tanto, puede utilizar fácilmente sus certificados firmados en línea.

Como alternativa, puede crear un certificado digital con cuestiones diferentes, por ejemplo, utilizando el servicio JSCAPE MFT Server. Lamentablemente, esto le dará un certificado autofirmado que puede no ser reconocido o validado automáticamente.

He aquí por qué.

Comprender los certificados digitales firmados y autofirmados

Las autoridades de certificación reconocidas son emisores de confianza. Realizan las diligencias debidas antes de firmar un certificado solicitado a través de una solicitud de firma de certificado, o CSR.

Las entidades emisoras verifican la validez de la información incluida en un certificado digital para garantizar que la parte que los utiliza es digna de confianza.

De ahí que los certificados firmados se consideren fiables y se prefieran en el espacio en línea.

De hecho, ésta es la norma del sector. Los usuarios que intenten conectarse a sitios web con certificados autofirmados recibirán una advertencia del navegador.

La advertencia es diferente según el navegador, pero generalmente informa al usuario de que la dirección a la que intenta acceder no es de confianza o de que la conexión podría no ser segura.

Aunque el usuario puede proceder a conectarse de todos modos, el simple hecho de recibir esa advertencia podría desanimar a algunas personas e incluso hacerles creer que el sitio es falso.

Eso no quiere decir que los certificados autofirmados no sean buenos. En la mayoría de los casos, son utilizados internamente por grandes empresas y organizaciones.

¿Por qué?

Si gestiona su propia red, puede controlar el acceso a sus servidores. Por lo tanto, puede utilizar fácilmente un certificado autofirmado detrás de su cortafuegos para reforzar la seguridad en las transferencias de archivos.

¿Qué información contiene un certificado digital?

Cada certificado digital puede ser muy diferente. Sin embargo, la mayoría de los certificados comparten algunos campos comunes con información específica.

Número de serie

Un número de serie es un identificador único para un certificado en el sistema de una autoridad de certificación. Es un dato necesario para cotejarlo con los datos de revocación.

Asunto

La línea de asunto suele indicar quién o qué es el propietario del certificado. Puede ser un individuo, una organización o un dispositivo específico.

Como ya se ha mencionado, aquí puede haber una excepción con respecto a los certificados compartidos. Si este campo contiene el identificador “Nombre común”, puede esperar ver otro campo, “Nombre alternativo del sujeto”, que contendrá el nombre real del sujeto.

Esto es para asegurar que el certificado puede permanecer válido para múltiples hosts.

Emisor

Esta línea indica la entidad responsable de firmar y verificar la información de un certificado digital.

Antes no

Cada certificado debe tener unos plazos de autenticidad claros. La línea “No antes de” indicará la fecha en la que el certificado puede considerarse válido.

A veces, este día puede marcarse con antelación a la expedición del certificado.

No después

El campo “No después de” contiene la fecha y la hora en que caduca el certificado.

Claves de uso

Todo certificado necesita este campo porque define claramente los usos criptográficos aceptados de la clave pública.

Uso ampliado de claves (si es necesario)

Un certificado puede utilizarse en múltiples aplicaciones. En ese caso, aparecerá un campo de uso ampliado de la clave para indicar otros usos como la autenticación del servidor TLS, la firma de código, etc.

Clave pública

Es el campo en el que figura la clave pública que posee el sujeto del certificado.

Algoritmo de firma

El campo del algoritmo de firma indicará tanto el algoritmo de encriptación como el de hashing.

Pero puede que no sean fáciles de distinguir para los no iniciados. Por ejemplo, si viera un algoritmo de firma mostrado como “sha256RSA” y nada más, estaría ante dos algoritmos diferentes juntos.

Sha256 es un algoritmo hash conocido, mientras que RSA es un algoritmo de cifrado específico.

Firma

Este es uno de los campos más importantes y esencialmente el cuerpo del certificado. Contiene la firma, que primero se somete a un hash y luego se encripta utilizando los algoritmos enumerados en el campo “Algoritmo de firma”.

Los certificados digitales en la seguridad de los sitios web

Podría decirse que la seguridad de los sitios web hace un mayor uso de los certificados digitales, un hecho que se hace evidente por el número de sitios web HTTPS.

Los navegadores web suelen validar la autenticidad de los servidores HTTPS comprobando un certificado digital. Una vez autenticado el certificado, los usuarios se sienten más seguros y es más probable que interactúen con ese sitio web.

Así es como funciona el proceso.

El operador de un sitio web solicita un certificado con una CSR a una autoridad de certificación. La CA revisa la solicitud examinando los campos del documento electrónico para cotejarlo con la información de la empresa.

A continuación, la CA firma la solicitud y crea un certificado público.

Con ese certificado, el operador del servidor web puede demostrar a cualquier navegador que el proveedor, o CA, emitió realmente el certificado al propietario correcto. Por supuesto, esto sólo es posible cuando el propietario comparte el certificado público con varios navegadores.

Pero eso no significa que los certificados digitales no tengan puntos débiles.

Por ejemplo, es posible que los navegadores no avisen a los usuarios cuando un sitio web muestre un certificado diferente. Esto puede ocurrir incluso cuando el nuevo certificado tiene menos partes clave, otro proveedor o una fecha de caducidad ampliada.

Todos los navegadores web deberían tener una lista aprobada de certificados raíz. Pero no todos los certificados raíz están bajo el control de entidades conocidas por los usuarios.

Por lo tanto, una organización puede emitir cualquier certificado que desee para un sitio web, y los navegadores web los considerarán auténticos si incluyen el certificado raíz de la entidad emisora.

Esto puede dejarle a veces a merced de los desarrolladores del navegador.

Sólo podrá sentirse verdaderamente seguro si confía en que los desarrolladores del navegador y los protocolos de seguridad examinan adecuadamente los certificados raíz y mantienen una lista de proveedores de confianza.

Además, tiene que confiar en que los proveedores de certificados se comportarán correctamente y mantendrán informados a los desarrolladores de los navegadores de los certificados poco fiables y dudosos.

Aunque esta debilidad no se explota a menudo, de vez en cuando se emiten algunos certificados fraudulentos.

Exploits notables de CA

La popular autoridad de certificación VeriSign fue objeto de una subversión de CA en 2001. La CA emitió no uno, sino dos certificados diferentes a un tercero que decía representar al gigante informático Microsoft.

Ambos certificados tenían el nombre “Microsoft Corporation”.

¿Por qué era un gran problema?

Disponer de esos certificados habría permitido al propietario falsificar dominios, correos electrónicos y aplicaciones de Microsoft para robar potencialmente información confidencial, instalar malware y realizar todo tipo de actos nefastos.

Afortunadamente, tanto Microsoft como VeriSign se dieron cuenta rápidamente y resolvieron el problema.

En 2008 se emitió otro certificado fraudulento para el nombre “mozilla.com” a una persona que no tenía derecho a representar a Mozilla. En este caso, Certstar fue la CA emisora.

En 2011, tanto Comodo como DigiNotar emitieron certificados fraudulentos a presuntos piratas informáticos iraníes. Esos certificados se utilizaron supuestamente para iniciar un ataque man-in-the-middle.

Este tipo de ciberataque permite a alguien situarse entre dos o más partes comunicantes e interceptar datos, archivos y comunicaciones. En algunos casos, el hombre en el medio podría incluso alterar el mensaje, lo que puede tener implicaciones masivas cuando se utiliza para obtener beneficios financieros o políticos.

En algunos casos, los navegadores web tardaron mucho tiempo en darse cuenta y actualizar sus listas de certificados raíz eliminando los certificados fraudulentos.

Aun así, la prueba de un certificado digital TLS/SSL debería hacer que los usuarios se sintieran mejor acerca de la autenticidad de un sitio web.

De hecho, la certificación TLS es un punto de énfasis en la mayoría de las directrices de seguridad, especialmente para los sitios web que tienen acceso a información confidencial o realizan transacciones financieras. Ya se trate de un sitio web bancario, una plataforma de inversión, un mercado de comercio electrónico, etc.

Estas plataformas deberían estar siempre protegidas por certificados de clave pública. Sabiendo esto, puede que quiera reevaluar sus hábitos de navegación y sus sitios web de confianza.

Problemas con el almacenamiento de claves

Otro punto débil de un certificado digital es el posible robo de las claves privadas que pertenecen a las CA.

Si esto ocurriera, el ladrón podría utilizar esas claves para crear certificados falsos bajo demanda. Pero como tienen las claves privadas, los certificados parecerían auténticos una vez firmados.

No hay forma de protegerse contra esto a menos que el robo se descubra inmediatamente. Incluso entonces, un robo de este tipo podría comprometer múltiples certificados, servidores y usuarios.

Por suerte, la mayoría de las CA utilizan múltiples medidas de seguridad para evitar que esto ocurra.

El uso de módulos de seguridad de hardware para almacenar claves privadas es una buena forma de evitar robos porque los módulos se mantienen desconectados.

Además, se puede implementar una amplia gama de controles de software para restringir el acceso y evitar robos.

Las CA que van un paso más allá utilizan incluso protocolos o ceremonias específicas cuando generan una nueva clave de firma para evitar su manipulación.

El público en general conoce pocos casos de manipulación o robo de claves privadas de CA, por no decir ninguno.

La mayoría de los exploits procedían de comprometer o engañar a las CA para que emitieran certificados fraudulentos.

Ejemplos de programas raíz

Algunas de las principales autoridades de certificación del mundo utilizan los siguientes programas raíz:

• Programa raíz de Mozilla
• Programa Raíz de Microsoft
• Programa Raíz de Manzana
• Programa raíz Java

¿Por qué es importante conocer estos programas raíz?

Como se ha explicado anteriormente, los navegadores web confiarán en una amplia gama de certificados emitidos por las CA en función de los programas raíz que utilicen para la autenticación.

He aquí un ejemplo de cómo funciona.

Chrome confía en las CA incluidas en el Programa Raíz de Microsoft cuando se utiliza desde un dispositivo Windows. Pero como Chrome utiliza el sistema operativo para seleccionar sus CA de confianza, utilizará el Programa Raíz de Apple cuando se instale en un sistema iOS o macOS.

Esto es diferente al enfoque utilizado por Firefox. Firefox se basa en su propia lista de confianza del sistema operativo y, por tanto, utiliza el Programa Raíz de Mozilla para asignar niveles de confianza a varias CA.

Lo hace independientemente de la plataforma o sistema operativo que tenga instalado, como Windows, macOS, Linux, etc.

Edge y Safari utilizan un enfoque similar y sólo se basan en los almacenes de confianza de sus sistemas operativos.

Lo interesante de los programas raíz es cómo pueden compartirse.

Tomemos como ejemplo el programa raíz de Mozilla. Dado que Firefox es un navegador de código abierto, su lista de certificados también puede copiarse.

Por lo tanto, otros sistemas operativos, como los basados en Linux, pueden utilizar el Programa Raíz de Mozilla para crear su propia lista de autoridades de confianza para su navegador integrado y sus aplicaciones.

Cada programa raíz debe contener una lista de razones por las que se puede confiar en un emisor de certificados. Pero eso no significa que todas las CA sean de confianza para todos los tipos de certificados.

Uno que sea conocido por sus certificados de servidor TLS puede no estar en la lista de confianza para los certificados de firma de código y viceversa.

Obtenga su certificado de una fuente de confianza

Aunque las CA no están exactamente reguladas en todo el mundo, normalmente puede identificar a los emisores más fiables observando en qué programas raíz confían los mayores sitios web y corporaciones.

Sólo trabajando con un emisor de confianza podrá asegurarse de obtener un buen trato, seguridad e inclusión en las listas de programas raíz de los distintos navegadores. Tomar la decisión equivocada podría dificultar que sus clientes y usuarios interactúen con usted desde distintas plataformas.

También podría recurrir a una CA de confianza incluso cuando necesite un certificado autofirmado para uso interno y recurrir a un especialista informático para implantar este complejo protocolo de autenticación en su red.

Cómo mantenerse seguro en línea:

• Utilice contraseñas seguras: Utilice una contraseña única y compleja para cada cuenta. Un gestor de contraseñas puede ayudarle a generarlas y almacenarlas. Además, active la autenticación de dos factores (2FA) siempre que esté disponible.
• Invierta en su seguridad: Comprar el mejor antivirus para Windows 11 es clave para su seguridad en línea. Un antivirus de alta calidad como Norton, McAfee o Bitdefender salvaguardará su PC de varias amenazas en línea, incluyendo malware, ransomware y spyware.
• Tenga cuidado con los intentos de phishing: Sea precavido cuando reciba comunicaciones sospechosas que le pidan información personal. Las empresas legítimas nunca le pedirán datos confidenciales por correo electrónico o mensaje de texto. Antes de hacer clic en cualquier enlace, asegúrese de la autenticidad del remitente.
• Manténgase informado: En nuestro blog cubrimos una amplia gama de temas de ciberseguridad. Y hay varias fuentes creíbles (en inglés) que ofrecen informes y recomendaciones sobre amenazas, como NIST, CISA, FBI, ENISA, Symantec, Verizon, Cisco, Crowdstrike y muchas más.

¡Manténgase seguro en Internet!

Preguntas más frecuentes

A continuación encontrará las preguntas más frecuentes.