Visibilidad de activos criptográficos: clave para la mitigación de riesgos en ecosistemas digitales

Sin visibilidad criptográfica no es posible evaluar ni mitigar de forma precisa los riesgos que amenazan la continuidad operativa. Tras explorar en artículos anteriores el inventario criptográfico y el descubrimiento de activos, abordamos ahora el papel crítico que desempeña la visibilidad total en la detección de vulnerabilidades, la reducción de puntos ciegos y la preparación frente a amenazas como SNDL/HNDL, STFT o TNFL.

Sin visibilidad criptográfica los riesgos permanecen ocultos y no pueden gestionarse.

Las organizaciones se ven cada vez más obligadas a mantener la visibilidad de todos los activos criptográficos debido a múltiples factores convergentes. El principal impulsor es la infraestructura criptográfica obsoleta, diseñada hace más de treinta años, que lucha por seguir siendo adecuada para su propósito en el entorno digital actual, que ha evolucionado enormemente.

Esta infraestructura, que cruje bajo el peso de todos los sistemas digitales construidos sobre ella, ha dado lugar a importantes vulnerabilidades en la gestión del panorama criptográfico.

En este contexto, contar con un inventario de los activos criptográficos sirve como base fundamental para permitir una visión de la organización basada en el riesgo, proporcionando la visibilidad necesaria para completar y respaldar los marcos de gestión de riesgos.

La visibilidad total: clave para la gestión y mitigación de riesgos criptográficos

Esta visibilidad permite priorizar las medidas de mitigación, abordando las vulnerabilidades criptográficas que plantean riesgos significativos para el negocio, con repercusiones directas en las operaciones y el balance.

Como decíamos en nuestro artículo anterior sobre el descubrimiento de activos criptográficos, los activos no gestionados o desconocidos crean importantes puntos ciegos que exponen a las organizaciones a riesgos sustanciales, debido a que:

• Los puntos ciegos crean oportunidades de ataque a través de objetos criptográficos no gestionados o la filtración de claves sensibles o materiales de identidad.
  
  —Sin una visibilidad completa, las organizaciones corren el riesgo de tener objetos criptográficos no gestionados y potencialmente vulnerables.
• Las fuentes heterogéneas pueden ocultar activos criptográficos tales como claves criptográficas, certificados y algoritmos integrados en aplicaciones, sistemas de archivos, interfaces de red, dispositivos de hardware, servicios en la nube y sistemas heredados, lo que dificulta su localización.
  
  —Construir un inventario completo en ecosistemas tan heterogéneos plantea retos de integración y requiere múltiples enfoques para descubrir y enumerar eficazmente los objetos criptográficos.
• La dependencia de terceros, como proveedores o partners, se crean puntos ciegos adicionales, ya que muchos sistemas están fuera del control de una sola organización.
  
  —Eso puede dar lugar a una visibilidad limitada de los activos criptográficos, mientras que las dependencias de los proveedores en el ecosistema digital surgen de la necesidad de interoperabilidad y de intercambios criptográficos entre organizaciones y límites de sistemas.
• Las limitaciones de las herramientas de automatización crean puntos ciegos sistemáticos. Si bien la automatización ayuda a alcanzar escala, estas herramientas suelen tener una cobertura o compatibilidad limitadas y pueden ignorar los artefactos que no comprenden, lo que crea lagunas en la visibilidad criptográfica general.
  
  —Por tanto, es preciso señalar que sólo una parte de los activos criptográficos puede descubrirse utilizando las herramientas de automatización actuales, mientras que el descubrimiento del resto de los activos requiere una intervención manual.
• La explotación de los sistemas heredados se ve facilitada por el hecho de que la infraestructura criptográfica, diseñada hace más de treinta años, tiene dificultades para seguir siendo adecuada para su propósito en el entorno digital actual, que ha evolucionado enormemente.
  
  —Este desajuste ha dado lugar a importantes vulnerabilidades en la gestión del panorama criptográfico, lo que pone en riesgo la confianza en los negocios digitales.

Los puntos ciegos criptográficos no son fallos técnicos: son riesgos de negocio.

Los potenciales riesgos se ven agravados por los ataques SNDL (Store Now, Decrypt Later), también conocidos como HNDL (Harvest Now, Decrypt Later), en el que los actores maliciosos recopilan datos ahora y los almacenan con la intención de descifrarlos cuando tengan su disposición ordenadores cuánticos criptográficamente relevantes (CRQC).

Las amenazas criptográficas evolucionan: de la recolección de datos al fraude futuro

En línea con este tipo de amenaza, es necesario destacar también las variantes Sign Today, Forge Tomorrow (STFT) y Trust Now, Forge Later (TNFL). Estas tácticas representan nuevos riesgos en el ámbito de la seguridad criptográfica, pues implican que los atacantes pueden aprovechar algoritmos criptográficos actualmente considerados seguros para realizar acciones como la firma o el establecimiento de confianza en el presente.

Sin embargo, una vez que la criptografía subyacente se vea comprometida en el futuro los atacantes podrán falsificar firmas (STFT) o manipular relaciones de confianza previamente establecidas (TNFL). Esto significa que las transacciones y datos que hoy parecen seguros podrían ser vulnerables a la manipulación y el fraude en el futuro.

Este tipo de amenaza subraya la importancia de migrar hacia esquemas criptográficos resistentes a la computación cuántica y de considerar la longevidad y el ciclo de vida de los datos protegidos, sobre todo para las organizaciones que operan en infraestructuras críticas y entornos de seguridad nacional.

Las amenazas poscuánticas obligan a pensar la seguridad no solo en el presente, sino en el futuro de los datos.

Informe

Descubre cómo proteger tus datos frente a la amenaza cuántica