Evitar los riesgos de los certificados SSL caducados: una guía para empresas

¿Qué son los certificados SSL?

Los certificados SSL son esenciales para la protección de los sitios web. Encriptan los datos transferidos entre el navegador del usuario y el sitio web, protegiendo la información confidencial de las amenazas cibernéticas. Un sitio web con certificado SSL muestra un icono de candado en el navegador, lo que indica que la conexión es segura.

Certificados SSL, TLS frente a certificados digitales

Los certificados TLS son la versión más moderna y segura del SSL. SSL era el protocolo original utilizado para proteger los intercambios de datos, pero debido a sus deficiencias, fue sustituido por TLS. A menudo, cuando se habla de SSL, los certificados en cuestión utilizan en realidad el protocolo TLS. SSL es simplemente el término más utilizado.

Si bien los certificados SSL y TLS protegen específicamente los sitios web, los certificados digitales son un concepto más amplio que se utiliza para cifrar y autenticar otro tipo de comunicaciones, como el correo electrónico o el software.

¿Cómo funcionan los certificados SSL y TLS?

El certificado SSL o TLS es un certificado digital que se instala en el servidor web y que permite establecer una conexión segura entre el navegador del usuario y el servidor web. El cifrado es el proceso de convertir la información en un formato codificado, de modo que solo las partes autorizadas que poseen la clave de descifrado puedan leerla. Esta operación se denomina intercambio de claves («handshake»), en la que el servidor y el navegador intercambian claves criptográficas para crear una conexión cifrada.

Esto garantiza que todos los datos, especialmente la información confidencial como contraseñas o datos de pago, se mantengan cifrados y protegidos frente a los ciberdelincuentes. El certificado también autentifica el sitio web, demostrando su legitimidad y credibilidad.

¿Caducan los certificados SSL?

Sí, los certificados SSL y TLS caducan. Esta caducidad es una medida de seguridad encaminada a garantizar que los estándares de cifrado se mantengan actualizados y que los certificados se verifiquen periódicamente. Con el paso de los años, la vigencia de los certificados se ha ido reduciendo de forma constante.

Breve historia de los certificados SSL y TLS

• 1995 – Vigencia máxima de hasta cinco años.
• 1996 – Los plazos ligeramente más cortos se vuelven habituales.
• 1999 – El período de validez de los certificados varía entre uno y tres años.
• 2015 – El período de validez de dos años es cada vez más habitual.
• 2018 – La vigencia máxima se reduce a 825 días (27 meses).
• 2020 – Se acorta a 398 días (13 meses).
• 2023 – Google^® tiene previsto reducir la validez máxima a 90 días.
• 2024 – Apple^® anuncia su intención de limitar la validez de los certificados a 90 días.

¿Por qué los certificados tienen una vigencia cada vez más corta?

Un período de validez más corto refuerza la seguridad al reducir el tiempo de exposición en caso de que un certificado se vea comprometido.

Si un certificado caduca y no se renueva, los usuarios que visiten el sitio verán advertencias de seguridad, lo que dañará la confianza y podría interrumpir el servicio. Mantener actualizados los certificados SSL y TLS es fundamental para garantizar la seguridad de las comunicaciones y la credibilidad de la empresa.

¿Qué sucede cuando un certificado SSL caduca?

Cuando un sitio web presenta un certificado caducado, se pueden producir las siguientes situaciones:

1. Los usuarios que accedan al sitio verán advertencias en su navegador. Aparecerán mensajes como: «Este sitio web no es seguro» o «Su conexión no es privada». Se aconsejará al usuario que no acceda al sitio web.

2. El posicionamiento del sitio web en los buscadores desciende. Los rastreadores de los motores de búsqueda tienden a darle menor prioridad al rastreo de sitios web que no son seguros, lo que ocasiona retrasos en la indexación de nuevas páginas o cambios en el contenido existente. Por otra parte, las advertencias del navegador aumentan la tasa de rebote o abandono, lo que sugiere una mala experiencia de usuario ante el motor de búsqueda, lo que supone una caída en el posicionamiento.
3. El sitio web deja de funcionar. Si bien la pérdida de un certificado en vigor no inhabilita el sitio web en sí mismo (los usuarios pueden decidir acceder al sitio web a pesar de las advertencias del navegador), algunos proveedores de alojamiento o plataformas pueden desactivar temporalmente el sitio web para proteger a los usuarios y los datos.
4. Las amenazas cibernéticas se multiplican. Una vez que un certificado caduca, la encriptación deja de estar garantizada, lo que deja las transmisiones de datos vulnerables a la interceptación y al acceso no autorizado.

Repercusión de los certificados SSL caducados en la actividad comercial

Los certificados SSL caducados suponen riesgos graves para las empresas, ya que provocan la interrupción de las operaciones, vulneran la seguridad y dan lugar al incumplimiento de la normativa. Ante la complejidad que entraña la gestión de certificados en sitios web, aplicaciones, interfaces de programación de aplicaciones (API, por sus siglas en inglés) y sistemas internos, un solo descuido puede provocar importantes pérdidas económicas y dañar la reputación.

Interrupciones del servicio e infracciones de los SLA

Son muchas las empresas que operan con clientes y socios conforme a estrictos acuerdos de nivel de servicio (SLA, por sus siglas en inglés). Un certificado caducado puede provocar:

• caídas de sitios web y aplicaciones debido a las advertencias de seguridad del navegador;
• interrupciones en las API e integraciones críticas que afectan a servicios de terceros;
• fallos de autentificación en redes privadas virtuales (VPN, por sus siglas en inglés), bases de datos y aplicaciones de empresa.

Si el tiempo de inactividad vulnera los términos del SLA, las empresas se exponen a sanciones económicas, al incumplimiento de contratos y a la pérdida de la confianza de los clientes.

Incumplimiento de la normativa y riesgos legales

Las empresas que gestionan datos confidenciales están sujetas a una estricta normativa. Los certificados SSL caducados pueden dar lugar al incumplimiento de la normativa en:

• Reglamento General de Protección de Datos (RGPD): el cifrado de datos es necesario para proteger la información de carácter personal; los certificados caducados suponen un riesgo para la seguridad de los datos.
• Service Organization Control 2 (SOC 2): los certificados caducados evidencian controles de seguridad inadecuados, lo que provoca que las auditorías no se superen.
• Sistemas de gestión de la seguridad de la información (ISO 27001): exige a las empresas que gestionen el cifrado de manera eficaz como parte de la gestión de riesgos.
• Directrices del Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés): recomendación de una gestión segura de claves y certificados durante la vigencia de los mismos.
• Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS): exige el cifrado TLS para los datos de pago; los certificados caducados podrían dar lugar al incumplimiento de la normativa y a sanciones económicas.

El incumplimiento de la normativa podría acarrear sanciones administrativas, consecuencias legales y daño reputacional.

Riesgos de seguridad y vulnerabilidad de los datos

Al caducar los certificados SSL, las conexiones cifradas se convierten por defecto en canales inseguros, lo que deja la información confidencial vulnerable a amenazas como:

• ataques de intermediario (MITM), en los cuales los ciberdelincuentes interceptan información confidencial.
• Riesgos de «phishing», ya que los usuarios que vean advertencias de seguridad en el navegador corren el riesgo de ser redirigidos a sitios fraudulentos.
• Pérdida de confianza de los clientes, dado que los certificados caducados plantean dudas sobre la negligencia en materia de seguridad.

Consecuencias económicas y para la marca

Más allá de los riesgos directos de seguridad y cumplimiento, los certificados caducados también dañan la reputación de la marca, la confianza de los clientes y los ingresos.

• Los clientes llegan a desistir de efectuar operaciones o a pasarse a la competencia cuando se topan con avisos de seguridad.
• Los motores de búsqueda penalizan a los sitios web con deficiencias en sus certificados, lo que afecta a la optimización y la visibilidad en los motores de búsqueda.
• La confianza de los clientes se resiente si se percibe que una empresa no protege adecuadamente sus activos digitales.

Al renovar los certificados a su debido tiempo, los titulares de sitios web garantizan la seguridad, evitan la interrupción de los servicios y protegen su reputación.

Cómo comprobar la fecha de caducidad de un certificado SSL

Las herramientas en línea permiten comprobar las fechas de caducidad, y las aplicaciones de supervisión automatizada alertan al personal de la empresa antes de que caduque un certificado. Asimismo, los usuarios también pueden inspeccionar manualmente los certificados de un sitio web utilizando un navegador, haciendo clic en el icono del candado en la barra de direcciones donde podrán ver los detalles del certificado, que incluye la fecha de caducidad.

Para las grandes empresas que gestionan cientos o incluso miles de certificados SSL, la automatización es fundamental para evitar la interrupción o caída de los servicios debido a la caducidad de los certificados, sobre todo ahora que la vigencia de estos se ha reducido a tan solo 90 días.

Qué hacer si un certificado SSL ha caducado

Si descubre que su certificado ha caducado, actúe rápidamente para evitar la interrupción del servicio y otros riesgos de seguridad. En primer lugar, renueve inmediatamente el certificado SSL a través de su registrador de dominios o autoridad de certificación. Una vez renovado, instale el nuevo certificado en sus servidores. Este proceso requiere la colaboración de su equipo de TI o proveedor de alojamiento. Después de la instalación, compruebe que su sitio web funciona correctamente y que las advertencias de seguridad han desaparecido.

Gestión eficaz de los certificados SSL

Las empresas necesitan un enfoque sistemático para la gestión y el control de la vigencia de los certificados. A continuación, figuran seis estrategias al respecto.

1. Mantenga un inventario de certificados. Conserve una lista completa de todos los certificados, incluidos sus dominios, fechas de emisión y fechas de caducidad.
2. Implemente un sistema de supervisión centralizado. La gestión manual de los certificados suele dar lugar a que se pasen por alto las renovaciones. Un sistema de gestión optimizado garantiza la visibilidad y el control de todos los certificados de su empresa.
3. Programe recordatorios automatizados. El seguimiento manual de los vencimientos de los certificados es una tarea pesada y susceptible de errores, en particular en las grandes empresas. Las alertas automatizadas garantizan renovaciones puntuales sin necesidad de supervisión constante.
4. Automatice las renovaciones. Una solución de gestión centralizada permite renovar los certificados automáticamente, lo que evita caducidades y reduce la carga de trabajo del departamento de TI. De este modo, se garantiza la seguridad a la vez que se libera a los equipos de la supervisión manual.
5. Lleve a cabo auditorías periódicas. Mediante estas auditorías se identificarán certificados obsoletos, duplicados u olvidados, minimizando así los fallos de seguridad.
6. Prepárese para imprevistos relacionados con los certificados. Incluso automatizando los procesos, es posible que surjan problemas como errores de configuración o certificados olvidados que causen la interrupción del servicio. Una gestión eficaz ofrece visibilidad en tiempo real, alertas instantáneas y herramientas para resolver rápidamente problemas con los certificados, lo que garantiza la continuidad del negocio.

Adopte un enfoque simplificado para actualizar certificados SSL

La solución de gestión de certificados digitales de CSC simplifica al máximo la gestión de certificados SSL y TLS, lo que garantiza un proceso seguro y optimizado. Nuestra plataforma ofrece una gestión centralizada, renovaciones automáticas y visibilidad en tiempo real, lo que contribuye a evitar los riesgos asociados a los certificados caducados.