Certificados TLS de servidor
Tráfico web seguro a gran escala
Inventario de certificados
Descubrir y rastrear todos los certificados
Certificados DevOps
Automatizar para pipelines CI/CD
Cifrado de correo electrónico
S/MIME para correo electrónico empresarial
La criptografía es la ciencia de asegurar la información. Desde los cifrados antiguos hasta los algoritmos que protegen cada transacción en línea hoy, es la base matemática sobre la que se construyen los certificados digitales, PKI y toda la seguridad moderna.
En su esencia, la criptografía es la práctica de convertir información legible (llamada plaintext) en un formato ilegible (llamado ciphertext) para que solo las partes autorizadas puedan acceder a ella. La palabra proviene del griego kryptós (oculto) y graphein (escribir).
La criptografía no es nueva. Hace más de dos mil años, Julio César utilizó un cifrado simple de sustitución de letras para enviar órdenes militares: cada letra de su mensaje se desplazaba tres posiciones en el alfabeto. Si se interceptaba, el mensaje parecía un galimatías. Esta técnica, ahora llamada la cifrado César, es uno de los primeros métodos de cifrado documentados.
Avance rápido al siglo XX. Durante la Segunda Guerra Mundial, la máquina Enigma alemana utilizó rotores electromecánicos para generar texto cifrado que se consideraba irrompible, hasta que Alan Turing y su equipo en Bletchley Park encontraron una forma de romperlo. Ese avance acortó la guerra y demostró una verdad que sigue vigente hoy: la fuerza criptográfica siempre es relativa al poder computacional disponible para un atacante.
La criptografía moderna se basa en problemas matemáticos que son fáciles de calcular en una dirección pero prácticamente imposibles de revertir. Cuando visitas un sitio web mediante HTTPS, envías un correo electrónico cifrado o firmas una actualización de software, los algoritmos criptográficos trabajan tras bambalinas, autenticando identidades, protegiendo datos en tránsito y asegurando que nada haya sido manipulado. Comprender cómo funcionan es el primer paso para entender certificados digitales, pares de claves, y toda la infraestructura de clave pública.
El cifrado moderno se divide en dos categorías amplias, cada una con fortalezas y compromisos distintos. La mayoría de los sistemas del mundo real, incluido TLS, utilizan ambos juntos.
Cifrado simétrico usa una clave única compartida para ambos cifrado y descifrado. Piense en ello como una caja fuerte con una sola llave: tanto el remitente como el receptor necesitan una copia de la misma llave para bloquear y desbloquear los datos.
La principal ventaja es velocidad. Los algoritmos simétricos como AES pueden procesar grandes volúmenes de datos extremadamente rápido, lo que explica por qué se utilizan para cifrar la mayor parte del tráfico en una sesión TLS. El desafío es distribución de claves: ¿cómo compartir la clave de forma segura con la otra parte desde el principio? Si la clave es interceptada durante la transmisión, todos los datos cifrados quedan comprometidos.
Algoritmos comunes: AES-128, AES-256, ChaCha20
Cifrado asimétrico, también llamado criptografía de clave pública, utiliza una pareja de claves relacionadas matemáticamente: una clave pública que cualquiera puede conocer, y una clave privada que debe permanecer secreta. Los datos cifrados con la clave pública solo pueden ser descifrados con la clave privada correspondiente, y viceversa.
Esto resuelve el problema de distribución de claves. Puedes compartir libremente tu clave pública (publicarla en un sitio web, incluirla en un certificado) y cualquiera puede usarla para enviarte mensajes cifrados. Solo tú, que posees la clave privada, puedes leerlos. La compensación es rendimiento: las operaciones asimétricas son órdenes de magnitud más lentas que las simétricas.
Algoritmos comunes: RSA, Criptografía de Curva Elíptica (ECC), Diffie-Hellman
En la práctica, los dos enfoques se complementan entre sí. Durante un apretón de manos TLS, se utiliza criptografía asimétrica para autenticar el servidor e intercambiar de forma segura una clave simétrica temporal. Esa clave simétrica luego cifra los datos reales que fluyen entre el cliente y el servidor, combinando las propiedades de confianza del cifrado asimétrico con la velocidad del cifrado simétrico.
El cifrado protege la confidencialidad, manteniendo los datos en secreto. Pero la criptografía también resuelve dos problemas críticos más: integridad (¿se han alterado los datos?) y autenticidad (¿quién lo envió?). Ahí es donde entran las funciones hash y las firmas digitales.
Una función hash toma una entrada de cualquier tamaño y produce una salida de longitud fija, el hash o digest. Incluso un cambio de un bit en la entrada produce un hash completamente diferente. Esta propiedad hace que los hashes sean ideales para verificar la integridad de los datos.
Los hashes criptográficos son unidireccional: puedes calcular fácilmente el hash a partir de la entrada, pero es computacionalmente inviable reconstruir la entrada original a partir del hash. Esto es lo que los hace útiles para el almacenamiento de contraseñas y la verificación de datos.
Una firma digital se crea mediante hashing un mensaje y luego encriptando el hash con la clave privada. Cualquier persona con la clave pública del firmante puede verificar la firma, confirmando tanto la identidad del firmante como la integridad del mensaje.
Porque solo el titular de la clave privada puede generar una firma válida, las firmas digitales proporcionan no repudio: el firmante no puede negar posteriormente haber firmado el documento. Esta propiedad es legalmente significativa en muchas jurisdicciones.
Las firmas digitales están en el corazón de cómo certificados digitales funciona. Cuando una Autoridad de Certificación emite un certificado, firma los datos del certificado con su propia clave privada. Cualquier sistema que confíe en la AC puede verificar esa firma y, por extensión, confiar en el contenido del certificate's.
La infraestructura de clave pública es, en su base, una aplicación organizada de la criptografía. Cada componente de PKI depende de los primitivas criptográficas descritas arriba:
Cuando una CA emite un certificado, utiliza su clave privada para producir una firma digital sobre los datos del certificado. Esta firma vincula la identidad del sujeto's a su clave pública de manera que evidencia cualquier manipulación.
Los navegadores y los sistemas operativos verifican los certificados comprobando la firma digital de la CA's usando la clave pública de la CA's. Si la firma es válida y la CA es de confianza, el certificado, y la identidad que representa, son aceptados.
TLS utiliza la clave pública en el certificado de un servidor para establecer una sesión cifrada. La criptografía asimétrica negocia un secreto compartido; la criptografía simétrica cifra el flujo de datos. Sin criptografía, no hay TLS.
Toda la cadena de confianza, desde la CA raíz hasta la CA intermedia y el certificado de entidad final, se mantiene unida por firmas digitales anidadas. Cada eslabón de la cadena es una afirmación criptográfica de confianza.
Por eso las decisiones criptográficas son tan importantes en un contexto PKI. El algoritmo usado para firmar un certificado, la longitud de clave elegida para un par de claves y la función hash incorporada en una firma digital determinan directamente cuánto tiempo ese certificado permanece seguro. A medida que aumenta la potencia computacional, y especialmente cuando computación cuántica avances, las organizaciones necesitan la capacidad de migrar a algoritmos más fuertes sin interrumpir las operaciones.
No necesitas entender las matemáticas subyacentes para trabajar con PKI, pero familiarizarte con los algoritmos más comunes te ayuda a tomar decisiones informadas sobre la longitud de las claves, las políticas de certificados y la preparación futura.
El algoritmo asimétrico más ampliamente desplegado. La seguridad de RSA's se basa en la dificultad de factorizar números muy grandes. Los tamaños de clave de 2048 bits son el mínimo actual; 4096 bits proporcionan un mayor margen. RSA se usa para firmas digitales e intercambio de claves en certificados y TLS.
ECC logra el mismo nivel de seguridad que RSA con longitudes de clave mucho más cortas. Una clave ECC de 256 bits proporciona una seguridad aproximadamente equivalente a una clave RSA de 3072 bits. Esto significa certificados más pequeños, aperturas de mano más rápidas y menos sobrecarga computacional, lo que hace que ECC sea cada vez más popular para certificados de dispositivos TLS e IoT.
El estándar global para el cifrado simétrico, adoptado por NIST en 2001. AES admite tamaños de clave de 128, 192 y 256 bits. Es el algoritmo que cifra la mayor parte de los datos en una sesión TLS después del apretón de manos inicial. AES-256 se considera ampliamente seguro frente a avances previsibles, incluida la computación cuántica.
Parte de la familia SHA-2, SHA-256 produce un hash de 256 bits y es la función hash estándar utilizada en los certificados digitales hoy en día. Reemplazó al algoritmo SHA-1 más antiguo, que se encontró vulnerable a ataques de colisión. Cuando ve "SHA256withRSA" o "SHA256withECDSA" en el campo del algoritmo de firma de certificate's, SHA-256 es la función hash que se está utilizando.
La elección del algoritmo no es permanente. A medida que las amenazas evolucionan, particularmente la amenaza inminente de los ordenadores cuánticos capaces de romper RSA y ECC, las organizaciones necesitan crypto-agility: la capacidad de pasar a nuevos algoritmos (como los esquemas basados en retículas post-cuánticas) en todo su inventario de certificados sin causar interrupciones. Este es uno de los desafíos más urgentes en PKI hoy, y se trata en profundidad en el capítulo sobre crypto-agility and post-quantum cryptography.
Visibilidad completa del algoritmo: Evertrust CLM descubre cada certificado en su infraestructura y realiza un inventario de los algoritmos y longitudes de clave en uso, de modo que sepa exactamente dónde se implementan RSA-2048, ECC P-256 o algoritmos heredados.
Aplicación de políticas: Defina reglas organizacionales sobre longitudes mínimas de clave, algoritmos aprobados y funciones hash. Evertrust marca automáticamente los certificados no conformes, evitando que la criptografía débil llegue a producción.
Listo para la cripto‑agilidad: Cuando llegue el momento de migrar de RSA a ECC, o de algoritmos clásicos a post‑cuánticos, Evertrust PKI le permite volver a emitir certificados a gran escala con nuevos algoritmos, en todas sus CA y entornos.
Informes de cumplimiento: Generar informes listos para auditoría que muestren qué estándares criptográficos se utilizan en su inventario de certificados, esencial para cumplir con requisitos regulatorios como eIDAS, NIS2 y DORA.
