Tribuna de opinión

Cuando la identidad es el nuevo perímetro, ¿qué pasa si no tienes el control centralizado de tus certificados?

Daniel Rodríguez, director general de Redtrust16/10/2025

Hace no tanto tiempo, cuando alguien hablaba de certificados digitales pensábamos en trámites administrativos o firmas de documentos públicos. Pero hoy, en 2025, deben convertirse en el núcleo de la identidad corporativa, ya que las amenazas son más frecuentes y sofisticadas; y las exigencias regulatorias mucho más estrictas.

Daniel Rodríguez, director general de Redtrust.

Empezando por los ataques, están creciendo en volumen y sofisticación y, de hecho, España registró en el primer trimestre de este año una media de más de 1.900 ciberataques semanales, situándose como uno de los países más atacados del mundo. Este dato confirma lo que muchos ya sabemos: que la pregunta no es si una organización será atacada, sino cuándo ocurrirá y cómo podrá responder. Al mismo tiempo, las regulaciones en Europa empujan hacia estándares más altos y ponen a las empresas en una situación donde anticiparse es vital, ya que actuar sólo cuando lo urgente golpea la puerta puede resultar demasiado tarde.

Volviendo al caso de España, el 59% de las empresas ha actualizado sus modelos de gobernanza, aunque un 28% sigue con estructuras poco definidas y un 13% carece de ellas; mientras que solo el 42% tiene comités específicos que conecten ciberseguridad con la estrategia de negocio (según revela el estudio Escenario de Ciberseguridad Deloitte 2025). Y, al final, esta brecha pone en relieve la necesidad de acompañar la tecnología de una gobernanza sólida que ayude a escalar y proteger.

Ante los retos que plantea la llegada de la computación cuántica, organismos como el NIST han publicado algoritmos como ML-DSA y ML-KEM, que sustituirán progresivamente a RSA o ECC.

Para mí, los certificados digitales son hoy la mejor forma de articular una identidad resistente a suplantaciones. En un modelo Zero Trust (que ya deberíamos de empezar a ver como imprescindible) la posibilidad de asociar de manera inequívoca una entidad con una identidad digital segura permite una verificación continua de usuarios corporativos, dispositivos y aplicaciones.

Esta evolución responde a una de las principales preocupaciones de los CISOs españoles: el riesgo de terceros. Revisando el mismo estudio, el 71% lo considera una amenaza prioritaria, pero solo el 29% confía en la ciberseguridad de sus proveedores críticos. Sin trazabilidad ni control sobre la gestión de certificados, esa desconfianza se multiplica y se convierte en vulnerabilidad.

La migración al cloud ha acelerado esta transformación, ya que es necesario poder garantizar que la custodia de certificados se realice en entornos diseñados para preservar la soberanía de cada empresa. En este sentido, los modelos single-tenant llegan a ser de gran utilidad, ya que proporcionan a cada organización un espacio exclusivo, reducen riesgos de compartición y refuerzan la continuidad de negocio. Un incidente de seguridad en un cliente no compromete a otro, y esa independencia resulta crítica en tiempos de interdependencia digital.

Si ampliamos la mirada al futuro, la llegada de la computación cuántica es el gran reto que marcará la década. Aunque aún no se haya alcanzado el llamado “Día Q” (cuando los ordenadores cuánticos sean capaces de romper los algoritmos actuales de clave pública), el riesgo ya condiciona las estrategias de seguridad. La amenaza del “harvest now, decrypt later” está sobre la mesa, y la única respuesta posible es empezar a prepararse. Por eso, organismos como el NIST han publicado algoritmos como ML-DSA y ML-KEM, que sustituirán progresivamente a RSA o ECC. Aquí, el gran desafío para las empresas será poder adoptarlos con la rapidez que precisa. La llamada criptoagilidad (entendida como la capacidad de cambiar de algoritmo sin frenar la operativa) será clave para garantizar que esta evolución no se convierta en un obstáculo para el negocio. Igual que ocurrió con el paso de SSL a TLS, lo importante es que el cambio sea transparente para la organización, y que todo funcione sin interrupciones.

En cuanto a la suplantación, el caballo de batalla que todo CISO teme, la trazabilidad y el control continuo de uso de certificados se vuelven imprescindibles. Las organizaciones necesitan saber quién accede, cuándo y para qué, y disponer de mecanismos para revocar en tiempo real cualquier credencial comprometida. La gestión manual y dispersa de certificados, que sigue siendo habitual en muchas empresas, multiplica los riesgos; pero en cambio, la centralización y la automatización, en cambio, permiten visibilidad, coherencia y reacción inmediata ante un incidente.

Si algo he aprendido en estos años colaborando con clientes es que el mayor enemigo no es el malware: es la complejidad mal gestionada. El error más común es que cada equipo genera sus propios certificados, los guarda donde puede y nadie sabe cuándo caducan, si están en uso o si fueron comprometidos. Esa dispersión es la raíz de muchas brechas, por lo que la solución pasa por centralizar, automatizar, monitorear y comunicar con claridad.

Daniel Rodríguez destaca que los certificados digitales son hoy la mejor forma de articular una identidad resistente a suplantaciones.

La solución, centralizar la gestión de certificados, controlar su ciclo de vida y unificar el lenguaje de seguridad; para así dotar a la organización de una protección integral que reduzca riesgos y, al mismo tiempo, acelere la operativa. Cuando la identidad digital está bajo control, las compañías pueden lanzar nuevos servicios, colaborar con terceros y escalar en la nube con confianza. Esa es la verdadera fortaleza de integrar los certificados en el núcleo de la estrategia corporativa: transformar la seguridad en un facilitador del negocio. En paralelo, las regulaciones (eIDAS 2.0, NIS2, DORA) también empujan a que estas tecnologías no sean solo buenas prácticas, sino requisitos. Las empresas que anticipen estos cambios podrán convertir el cumplimiento en una ventaja competitiva, no en un lastre.

Mirando al futuro inmediato, veremos cómo los certificados se utilizan cada vez más en escenarios internos y colaborativos: para autenticar accesos a plataformas críticas, para firmar contratos y documentos entre empresas, para cifrar comunicaciones o para proteger servicios en la nube. Al mismo tiempo, la transición hacia algoritmos postcuánticos nos obligará a repensar nuestra infraestructura criptográfica, en un proceso que será gradual, pero ineludible.

Hoy, la identidad digital es el perímetro real que define la seguridad de una organización. Los certificados digitales deben ser más que un trámite: deben ser el núcleo de esa identidad, gestionados con control, trazabilidad y visión. Y las empresas que comprendan su papel estratégico estarán mejor preparadas no solo para resistir ataques, sino para competir en un entorno en el que la confianza digital será el recurso más escaso y más valioso.

"Hoy, la identidad digital es el perímetro real que define la seguridad de una organización. Los certificados digitales deben ser más que un trámite: deben ser el núcleo de esa identidad"

“Si algo he aprendido en estos años colaborando con clientes es que el mayor enemigo no es el malware: es la complejidad mal gestionada”

Cuando la identidad es el nuevo perímetro, ¿qué pasa si no tienes el control centralizado de tus certificados?

Deja un comentario

Para poder hacer comentarios y participar en el debate debes identificarte o registrarte en nuestra web.

De la dependencia a la autonomía: la urgente necesidad de una soberanía digital europea

Arranca el primer Bootcamp de Ciberseguridad de la Fundación Innovasur con una demanda que duplica la oferta de plazas

Proofpoint completa la adquisición de Hornetsecurity por 1.800 millones de dólares

Check Point Software presenta Quantum Firewall Software R82.10