Ciberseguridad Corporativa

En la actualidad, los esquemas de firma digital más utilizados se basan en criptografía asimétrica donde se pueden asegurar todos los puntos anteriores.

Entre los distintos protocolos de firma asimétrica, los más utilizados son la firma RSA y la firma con curvas elípticas. Ambos se basan en el método criptográfico que usa un par de claves para la firma de información. Las dos claves pertenecen a la misma persona. Una es pública, sirve para verificar la autenticidad de la información firmada y se puede entregar a cualquier persona; la otra clave es privada, sirve para firmar la información, y el propietario debe guardarla de modo que nadie tenga acceso a ella.

La criptografía asimétrica también se usa para tareas de cifrado, así pues, si una persona quiere enviar una información cifrada a un destinatario, cifra la información con la clave pública del destinatario y el destinatario la podrá descifrar… pero con su clave privada. La confidencialidad de la información se logra por la imposibilidad que alguien descifre la información salvo el que dispone de la clave privada del destinatario, que solo debería ser el destinatario. En este punto ya empezamos a tener conocimiento de la importancia de la protección de las claves privadas, de la que hablaremos más adelante.

Una de las aplicaciones más habituales de la firma digital es la generación de certificados digitales (o certificados de clave pública).

Un certificado de clave pública es un tipo de documento digital firmado por una entidad llamada Autoridad de certificación que asocia una clave pública a unos datos que representan una identidad firmante (por ejemplo, una persona física, organismo o empresa) que posee la clave privada asociada a dicha clave pública.

Para la generación segura de certificados, firma, verificación de su identidad y su validación se utilizan las llamadas PKI (Public Key Infrastructure), que permiten a los usuarios autenticarse frente a otros usuarios y usar la información de los certificados de identidad (por ejemplo, las claves públicas de otros usuarios) para cifrar y descifrar mensajes, firmar digitalmente información, garantizar el no repudio de un envío, y otros usos.

El uso de criptografía es muy común en los sistemas informáticos de las empresas y en las comunicaciones globales, y abre la puerta a la comercialización de muchas soluciones, como centralización de certificados personales, distribución de certificados para dispositivos IoT, la firma automatizada de documentos, la firma remota de contratos, la firma de código de aplicaciones, …

Todas estas soluciones, permiten realizar acciones que en el mundo no digital solo se pueden hacer de manera presencial con una identificación física de la persona. En el mundo digital todas estas operaciones se pueden hacer siempre y cuando e pueda garantizar que la base del firmado y/o cifrado, es decir, las claves no caigan en manos de terceros. Dada la criticidad de las claves, sobre todo de la clave privada, existen soluciones altamente fiables para garantizar su creación (que debe ser aleatoria y única) y su almacenaje (que debe ser altamente seguro).

Estos dispositivos se llaman HSM (Hardware Security Module), que como su nombre indica son soluciones hardware, robustas, que cumplen normativas de alta seguridad (FIPS para USA y Canadá, Common Criteria, eIDAS para Europa…) donde, en algunos casos, las claves contenidas en esos dispositivos pueden llegar a ser borradas automáticamente ante una manipulación del propio dispositivo HSM.