Los riesgos de los certificados SSL caducados para las organizaciones empresariales
Los certificados SSL caducados pueden exponer a las empresas a riesgos de seguridad, tiempo de inactividad, pérdida de confianza de los clientes y daños financieros y de reputación. Los procesos adecuados de renovación de certificados son esenciales para evitar estos problemas, especialmente para las grandes organizaciones con muchos certificados que gestionar.
Tabla de Contenidos
Los certificados Secure Socket Layer (SSL) / Transport Layer Security (TLS) constituyen la base de la seguridad y la autenticación de los sitios web modernos. Estos certificados son ampliamente utilizados por organizaciones de todo tipo y en todos los sectores.
Diseñados para establecer conexiones cifradas entre sitios web y navegadores web, los certificados SSL/TLS garantizan la integridad de los datos al tiempo que autentican la identidad de un sitio web y protegen la transmisión de datos.
Por desgracia, muchas organizaciones tienen dificultades para mantener sus certificados SSL actualizados, especialmente aquellas que manejan cientos o incluso miles de certificados digitales. Los procesos de renovación manual requieren mucho tiempo y son propensos a errores y, a medida que los departamentos de TI sobrecargados asumen una creciente variedad de tareas de seguridad, los procesos de gestión del ciclo de vida de los certificados a menudo se resienten.
Este es un problema común entre las empresas más pequeñas, pero las grandes corporaciones también son vulnerables. Durante los últimos años, las interrupciones de certificados han sido noticia, provocando considerables tiempos de inactividad, pérdida de confianza de los clientes y, con ello, importantes pérdidas económicas. Si a esto le añadimos el daño a la reputación, es fácil ver por qué evitar los certificados SSL caducados con sólidos procesos de renovación de certificados es una prioridad.
Empresas que se han enfrentado a importantes interrupciones de certificados
Cronología de las interrupciones de certificados en grandes empresas
Los cortes de certificados ocurren con demasiada frecuencia, provocados por la rápida expansión de los certificados SSL/TLS en un espacio digital cada vez más complejo y vulnerable. Muchas organizaciones aparentemente bien protegidas y bien gestionadas han sido víctimas de estos problemas y, desafortunadamente, dado que los períodos de validez de los certificados SSL pronto se reducirán a solo 90 días, muchas más serán propensas a sufrir cortes. Esto podría provocar un daño significativo a la reputación y, al mismo tiempo, dejar a las organizaciones vulnerables a los ciberataques de piratas informáticos cada vez más sofisticados.
Los vencimientos de certificados son comunes, pero no inevitables. Con el enfoque adecuado de la gestión del ciclo de vida de los certificados (CLM), es posible reducir drásticamente el riesgo de interrupciones y, al mismo tiempo, aportar un enfoque más estructurado y fiable a la renovación de los certificados. Aun así, es importante ser plenamente conscientes de las principales vulnerabilidades. Para revelar el alcance de los problemas de vencimiento de SSL, y la necesidad de vigilancia, hemos destacado varias conocidas organizaciones que han sufrido alarmante interrupciones.
Ericsson (2018)
Ericsson, que soporta aproximadamente el 40 % del tráfico móvil mundial, es desde hace mucho tiempo un nombre de confianza en el sector de las telecomunicaciones. Aunque Ericsson suele ofrecer una cobertura fiable, en 2018 se produjo un importante fallo, cuando un certificado caducado causó problemas a millones de clientes europeos e incluso a muchos en Japón.
El periodista de TI Davey Winder declaró a Forbes: «Esperaba que una empresa tan grande como Ericsson lo supiera y contara con los procesos de seguridad pertinentes para evitar tal acontecimiento». Sin embargo, añadió que los expertos en ciberseguridad estaban muy familiarizados con la problemática caducidad de certificados.
El director ejecutivo de Ericsson, Börje Ekholm, afirmó más tarde que el software responsable de esta interrupción había sido desmantelado. Este fiasco reveló claramente la necesidad de mantener «un control firme sobre los certificados instalados en los sistemas críticos para el negocio», como destacó Tim Callan, de Sectigo.
LinkedIn (2019)
LinkedIn es un nombre de confianza en el ámbito de las redes sociales modernas, pero la plataforma ha sufrido algunos descuidos tecnológicos importantes a lo largo de los años. Uno de los más preocupantes ocurrió en 2019, cuando Microsoft (que había adquirido LinkedIn anteriormente) permitió que expirara un certificado SSL. Aunque LinkedIn parecía haber renovado el certificado en cuestión en mayo de 2019, esta actualización no se reflejó correctamente en el servidor.
Esta no fue en absoluto la primera vez que LinkedIn sufrió un tiempo de inactividad debido a un descuido en la renovación del certificado; esto también ocurrió en 2017, cuando millones de usuarios del sitio web no pudieron iniciar sesión en sus cuentas. El investigador de seguridad Alan Woodward explicó: «No es el primer gran nombre que se olvida de renovar los certificados, y es fácil olvidarse de los subdominios, pero la verdad es que, con los recordatorios que envía la CA [autoridad de certificación], es sorprendente que siga sucediendo».
Microsoft Teams (2020)
Microsoft Teams facilita la colaboración en tiempo real con mensajería instantánea, videollamadas, almacenamiento de archivos y muchas otras capacidades. En 2020, sin embargo, todo esto se puso en duda para los usuarios que confiaban en él, que de repente se enfrentaron a importantes interrupciones cuando Microsoft Teams dejó de funcionar durante varias horas.
Cuando los usuarios intentaban iniciar sesión, recibían mensajes de error que indicaban que la aplicación no podía establecer las conexiones HTTPS necesarias. Una notificación de interrupción de Microsoft explicaba: «Un certificado de autenticación ha caducado, lo que ha provocado que los usuarios tengan dificultades para utilizar el servicio». Esto fue especialmente preocupante dado que la empresa utiliza System Center Operations Manager para ayudar a detectar la caducidad de los certificados.
Google Voice (2021)
En febrero de 2021, un certificado TLS caducado impidió a los usuarios aprovechar al máximo el servicio telefónico Google Voice. Durante cuatro horas, estos usuarios no pudieron realizar llamadas de voz sobre Internet (VoIP).
Más tarde, un análisis de la causa raíz explicó: «Debido a un problema con la actualización de las configuraciones de los certificados, el certificado activo en los sistemas frontend de Google Voice caducó inadvertidamente... Durante el período de impacto, cualquier cliente que intentara establecer o restablecer una conexión SIP no pudo hacerlo».
Los ingenieros de Google pasaron dos horas investigando la interrupción, aunque el resumen de problemas de Google no reveló qué examinaron exactamente durante ese tiempo. Finalmente, una alerta notificó a estos profesionales de las preocupaciones que subrayaban la interrupción, pero no antes de que se hubiera producido una cantidad inaceptable de tiempo de inactividad.
Spotify (2022)
Spotify ha dejado su huella en el espacio de los podcasts con la plataforma Megaphone, que ayuda a los podcasters profesionales a publicar sus programas y aumentar su audiencia. Sin embargo, esta plataforma sufrió una importante interrupción en 2022, como resultado de una renovación de certificado fallida.
En un comunicado, la portavoz Erin Styles explicó: «Megaphone sufrió una interrupción de la plataforma debido a un problema relacionado con nuestro certificado SSL. Durante la interrupción, los clientes no pudieron acceder al CMS de Megaphone y los oyentes de podcasts no pudieron descargar episodios de podcasts de editores alojados en Megaphone».
Esto impidió a los oyentes de podcasts escuchar sus programas favoritos durante la impactante cantidad de ocho horas, tiempo suficiente para que los antiguos devotos de Spotify y Megaphone perdieran la confianza en su proveedor de streaming favorito. Incluso después de que se restableciera técnicamente el acceso, muchos usuarios no pudieron hacer un uso completo del sistema de gestión de contenidos de Megaphone.
Cisco (2023)
La empresa publicó un boletín en el que revelaba que el uso de dispositivos vEdge SD-WAN podría sufrir pérdidas de servicio si actualizaban sus dispositivos. También se esperaba que estos problemas afectaran negativamente al salto de puertos y al cambio de topología.
Este fiasco afectó a más de 20 000 clientes. Un usuario dijo a The Register: «Todos los clientes de SD-WAN basados en vEdge están sentados sobre una bomba de relojería, mirando el reloj con las manos sudorosas, esperando a que la WAN de sus empresas implosione y/o averiguando cómo rediseñar su WAN para mantener la conectividad».
Por desgracia, esta no era la primera vez que los clientes de Cisco sufrían por la falta de certificados. En 2018, un certificado SSL caducó dentro del kit VPN de Cisco, lo que también generó dudas sobre la capacidad de Cisco para proteger a los usuarios finales.
El papel fundamental de la gestión automatizada del ciclo de vida de los certificados
Los ejemplos mencionados anteriormente no pretenden alarmar, sino transmitir la necesidad de vigilancia en la gestión y renovación de los certificados SSL/TLS. Sí, los certificados digitales siguen siendo cruciales, pero deben estar respaldados por un proceso fiable para garantizar una cobertura constante. Aunque las autoridades de certificación (CA) ofrecen notificaciones antes de las próximas fechas de caducidad, puede ser necesario un esfuerzo más concertado para evitar que los certificados caducados provoquen interrupciones.
La gestión automatizada del ciclo de vida de los certificados promete salvar la brecha, limitando la posibilidad de vencimientos inesperados (y las interrupciones asociadas) al garantizar que los certificados digitales se renueven antes de sus fechas de vencimiento previstas. Mientras tanto, un enfoque centralizado de la gestión de certificados ofrece una mejor visibilidad del estado de los mismos, lo que garantiza una supervisión máxima de numerosos certificados.
Las estrategias automatizadas también impulsan la agilidad criptográfica, que se ha identificado como una cualidad clave para evitar interrupciones en el futuro. Este término hace referencia a la capacidad de las organizaciones para adaptarse a los algoritmos en evolución, al tiempo que continúan promoviendo la máxima continuidad de la infraestructura de ciberseguridad. Los sistemas cripto-ágiles son más capaces de renovar los certificados con prontitud y evitar interrupciones.
No te conviertas en la próxima víctima de una interrupción de certificados SSL
Dados los altos riesgos y los riesgos de seguridad que conllevan los certificados SSL caducados, realmente no hay sustituto para la gestión automatizada del ciclo de vida de los certificados. Libere el poder de la emisión y gestión automatizadas con Sectigo Certificate Manager (SCM), una plataforma con un propósito específico diseñada para aportar mayor confianza y fiabilidad a todo el ciclo de vida de los certificados digitales. Obtenga más información hoy mismo, programe una demo o dé el siguiente paso con una prueba gratuita.
¿Quieres saber más? Ponte en contacto con nosotros para reservar una demo de Sectigo Certificate Manager.
Entradas asociadas:
Por qué caducan los certificados SSL: exploración de las ventajas de períodos de validez más cortos
El impacto de los certificados SSL de 90 días en la seguridad de las empresas
Cómo deben prepararse las empresas para periodos de validez de certificados SSL/TLS más cortos