CyberArk , empresa mundial en seguridad de identidad, ha anunciado los resultados de un nuevo informe: Tendencias en la seguridad de las PKI: Un estudio global de tendencias, desafíos e impacto empresarial. Realizada por Ponemon Institute, una firma independiente de investigación, el informe encargado por CyberArk analiza las opiniones de casi 2.000 profesionales de TI y seguridad a nivel mundial sobre el estado de la seguridad de la infraestructura de clave pública (PKI). El informe revela que los sistemas PKI obsoletos son el principal obstáculo para una gestión segura de certificados, impulsando vulnerabilidades de seguridad en el 60% de las organizaciones.

PKI es un sistema para crear y gestionar certificados digitales que verifican la identidad de usuarios y dispositivos. Las demandas modernas de identidad —impulsadas por el aumento de identidades de máquina y cargas de trabajo en entornos nativos en la nube y Zero Trust— han provocado un crecimiento y una complejidad de certificados sin precedentes. 

Los sistemas PKI heredados y el rápido crecimiento de certificados, factores ocultos de coste

El informe muestra que la PKI sigue siendo esencial para una identidad digital segura, pero los sistemas heredados, con enfoques fragmentados y procesos manuales dirigidos por personas, no pueden satisfacer las necesidades actuales de certificados. Sin un enfoque moderno y automatizado, la brecha entre la demanda de certificados y la capacidad de las organizaciones no hará más que ampliarse, dejando a las empresas enfrentándose a limitaciones de recursos y un incremento de los costes operativos.

• El 34% de las organizaciones señala que los costes y riesgos de la PKI heredada son la principal barrera para una PKI segura.
• De media, las organizaciones gestionan más de 114.000 certificados internos, pero cuentan solo con cuatro empleados a tiempo completo dedicados a la gestión de la PKI.
• El 63% se ve obligado a externalizar la gestión de la PKI debido a la escasez de recursos y de personal especializado.

Los procesos manuales amplifican los riesgos de seguridad

El seguimiento y la renovación manual de certificados son ineficientes y potencialmente peligrosos para las organizaciones, ya que pueden provocar interrupciones costosas en los servicios y facilitar ataques de seguridad.

• El 56% ha sufrido interrupciones no planificadas debido a certificados caducados o errores de configuración.
• El 60% experimentó vulnerabilidades de seguridad como resultado de una criptografía débil.
• El 58% sufrió compromisos de seguridad relacionados con autoridades certificadoras (CA) de terceros.
• El 43% sufrió el robo de claves privadas de servidores.

“La rápida expansión de las identidades de máquina ha cambiado por completo el modelo operativo de la PKI. La complejidad de gestionar un número cada vez mayor de certificados se ve agravada por los sistemas heredados, los procesos manuales y las limitaciones de recursos”, afirmó Kurt Sand, director general de Machine Identity Security en CyberArk. “A medida que aumenta el volumen de certificados y se reducen sus periodos de validez, el impacto financiero y operativo de una PKI no gestionada crecerá rápidamente. Ahora es el momento para que las organizaciones automaticen y modernicen su PKI con el fin de reducir la carga operativa y mejorar su postura general de seguridad”.

La visibilidad unificada y la automatización mejoran la eficacia de las PKI

El informe señala que la confianza general en el cumplimiento normativo y la seguridad es baja. Las organizaciones que invierten en automatización y en una visibilidad unificada experimentan una menor carga operativa, menos interrupciones y mejores niveles de cumplimiento en su PKI.

• Solo el 46% de las organizaciones confía plenamente en que su PKI puede cumplir los requisitos normativos, y menos de la mitad (48%) está segura de que su PKI es eficaz frente a ciberataques o amenazas internas.
• Las organizaciones con alta confianza en el cumplimiento de su PKI son más propensas a disponer de una visibilidad unificada de su inventario de certificados (75% frente al 47% del total). La mayoría (61%) ha adoptado IA como parte de su estrategia de PKI, frente al 50% del conjunto total de la muestra.

“La PKI es fundamental para garantizar la confianza, la seguridad y la privacidad en las comunicaciones digitales. Sin embargo, como demuestra la investigación, las organizaciones no confían en la capacidad de la PKI para proteger frente a amenazas de seguridad ni para mantenerse al día con el crecimiento de dispositivos y cargas de trabajo”, señaló el Dr. Larry Ponemon, presidente y fundador Ponemon Institute. “Para aumentar la eficacia de la PKI, creo que más empresas adoptarán la IA para reducir la carga operativa y lograr mejores resultados en materia de seguridad”.