# ¿Qué es PKI? Una guía completa sobre la infraestructura de clave pública

La infraestructura de clave pública **(PKI)** es un marco de gobernanza integral que ayuda a establecer una comunicación digital segura de extremo a extremo. La PKI esboza un conjunto de mecanismos y protocolos para verificar las identidades de los usuarios, dispositivos, aplicaciones, programas y otras entidades que participan en las comunicaciones digitales.

Fecha de última actualización: 10 de mayo de 2024

## Componentes clave de PKI

### 01. Claves públicas y privadas

Las claves públicas y privadas cifran las comunicaciones utilizando el marco PKI. La clave pública es visible para todos, mientras que la clave privada se utiliza para descifrar el mensaje y permanece privada para la entidad.

Piense en la clave pública de la PKI como en un candado, que es único para los usuarios y las entidades, y que se utiliza para el cifrado. El candado, aunque es único para la entidad, es visible públicamente para cualquiera que quiera acceder a él. La clave privada es la llave específica para ese candado en particular, utilizada para descifrar mensajes. A diferencia de la clave pública, la clave privada no es compartida ni visible para nadie y sólo la conoce el usuario y entidad que la posee.

Cuando se envía un mensaje cifrado a la entidad, el mensaje se cifra utilizando su clave pública. Si el mensaje procede de una fuente autorizada, la entidad lo descifrará utilizando su propia clave privada.

### 02. Certificados digitales

Los certificados digitales, o certificados PKI, son un componente fundamental de la PKI. Los certificados son los pasaportes y documentos de identidad del mundo digital: ayudan a verificar si la entidad digital es quien dice ser. Un certificado contiene información sobre el usuario o el dispositivo al que pertenece el certificado, junto con la clave pública de la entidad. Los certificados tienen fechas de caducidad y se deben renovar periódicamente. Si no se renuevan a tiempo, pierden su validez.

### 03. Autoridades de certificación

Las autoridades de certificación (CA) forman la columna vertebral de la PKI. Una [autoridad de certificación](https://www.manageengine.com/latam/key-manager/que-es-una-autoridad-de-certificacion.html) es una organización de confianza que valida las identidades de las entidades digitales y emite certificados digitales firmados para los solicitantes una vez se completa la verificación. El certificado emitido por la CA vincula una clave pública y los datos de identidad con el sujeto del certificado. Esto garantiza que nadie pueda pretender ser la entidad o replicar su clave pública, evitando los ataques manipulator-in-the-middle (MitM) (también conocidos como ataques man-in-the-middle attacks). Algunas autoridades de certificación conocidas son Sectigo, DigiCert, GoDaddy, GlobalSign y Let's Encrypt.

### 04. Autoridades de registro

Las CA utilizan las autoridades de registro (RA) para ayudar a verificar la identidad de los solicitantes de certificados. Las RA actúan como intermediarias entre la entidad que solicita un certificado PKI y la CA. Las RA reciben solicitudes de firma de certificados (CSR) para su emisión y renovación, verifican los datos de identidad del solicitante, piden pruebas de identidad al solicitante, examinan los documentos y pasan la solicitud a la CA. Las RA incluyen agencias gubernamentales, bancos y otras CA.

### 05. Solicitudes de firma de certificados

Una [solicitud de firma de certificados (CSR)](https://www.manageengine.com/latam/key-manager/que-es-una-solicitud-de-firma-de-certificado.html) es un mensaje cifrado que contiene información sobre la entidad que solicita la emisión o renovación de un certificado digital. Normalmente, se genera una CSR en el servidor en el que se instalará el certificado. La CSR contiene información sobre el solicitante, como el nombre del dominio, el nombre de la organización, la unidad organizativa, la ubicación, el país y la dirección de correo electrónico. También contendrá la clave pública del servidor, junto con el tamaño y el tipo de clave.

## ¿Por qué es importante PKI?

En un mundo en el que el panorama de las amenazas crece y los ataques cibernéticos son cada vez más frecuentes, la necesidad de disponer de comunicaciones digitales seguras y cifradas es primordial. La PKI no sólo verifica la identidad del cliente y del servidor implicados vinculando sus claves públicas a sus respectivos certificados digitales, sino que también garantiza que la sesión esté cifrada de extremo a extremo, lo que impide el espionaje y los posibles ataques MitM, lo que convierte a la PKI en una necesidad en cualquier interacción digital.

Las firmas digitales emitidas por las CA de confianza y en línea con los mecanismos de la cadena de confianza de las PKI, garantizan que los datos no sean manipulados en la transmisión. Esto establece la confianza y mantiene la integridad de las actividades sensibles en línea, como las transacciones bancarias, los inicios de sesión basados en credenciales y las transferencias de datos confidenciales. Además, las normas de cumplimiento como el PCI DSS y la HIPAA exigen que las organizaciones utilicen PKI para la comunicación digital.

## ¿Cómo funciona la PKI?

La PKI es un marco que impone mecanismos para verificar la identidad de las entidades digitales mediante la asignación y vinculación de claves públicas al titular del certificado. Dado que la comunicación en la PKI está cifrada de extremo a extremo y se produce mediante un cifrado asimétrico, sólo un destinatario con la clave privada correcta puede descifrar la información que se le transmite. Las firmas digitales de los certificados garantizan que los datos no sean manipulados en tránsito y preservan la integridad de la comunicación.

### 01. Cifrado asimétrico utilizado en la PKI

La PKI utiliza el método de cifrado asimétrico para lograr una comunicación digital segura. El cifrado asimétrico utiliza un par de claves pública-privada para establecer una comunicación segura. El emisor y el receptor comparten sus claves públicas entre sí, y el emisor cifra el mensaje basándose en la clave pública del receptor. A continuación, el receptor utiliza su clave privada para descifrar el mensaje recibido. Los pares de claves se generan utilizando un algoritmo adecuado como el algoritmo RSA, el algoritmo Elliptic Curve Digital Signature Algorithm (ECDSA) o el algoritmo Diffie-Hellman.

![Cifrado asimétrico para PKI](https://www.manageengine.com/key-manager/images/pki-encryption.svg)

### 02. PKI: Un proceso paso a paso

1. El primer paso en el proceso de la PKI es que el solicitante genere un [par de claves pública-privada](https://www.manageengine.com/latam/key-manager/fundamentos-de-la-autenticacion-y-gestion-de-claves-ssh.html). Una vez generado el par de claves pública-privada para el servidor, se [genera una CSR](https://www.manageengine.com/latam/key-manager/creacion-y-firma-de-solicitudes-de-certificado.html) del servidor, dependiendo del tipo de certificado que se necesite.
2. A continuación, se transmite la CSR a una CA para que la examine y emita un certificado digital firmado. La CA, ya sea recurriendo a una autoridad de registro o de forma independiente, verifica si la información sobre el solicitante que fue suministrada en el CSR es correcta y si el solicitante es quien dice ser. Tenga en cuenta que el proceso de verificación varía según el tipo de certificado solicitado.
3. Tras la verificación, la CA crea y firma el certificado para el servidor y lo expide al solicitante, guardando también una copia. La firma digital de la CA certifica que la información mencionada en el certificado y la clave pública pertenecen a la entidad titular del certificado. La CA firma los certificados utilizando su clave privada, autentificando la firma y garantizando que no pueda ser duplicada.
4. Cuando un usuario o cliente se dirige a la entidad para establecer una comunicación, verifica la firma digital del certificado utilizando la clave pública de la CA y establece una comunicación segura y cifrada con el servidor. Esto también se conoce como negociación SSL/TLS.

## Certificados de PKI: La cadena de confianza

La cadena de confianza de la PKI ayuda a verificar la autenticidad de un certificado y la firma digital rastreándola hasta la CA emisora o raíz. Se trata de un sistema de confianza secuencial, establecido desde la CA raíz hasta la entidad digital a la que pertenece el certificado. Entre el servidor o la entidad digital y la CA raíz, suele haber uno o varios certificados intermedios.

### 01. Certificado raíz

El certificado raíz es un [certificado autofirmado](https://www.manageengine.com/latam/key-manager/riesgos-certificado-autofirmado-ssl.html) de la CA emisora y se almacena de forma segura en el almacén de confianza de un navegador. El certificado raíz es una muestra de confianza establecida y sigue el estándar de certificados X.509. Dado que el certificado se firma utilizando la clave privada de la CA raíz, si la clave privada se ve comprometida, habrá que sustituir todos los certificados firmados por la CA raíz.

Para evitar esta posibilidad y garantizar que la clave privada de la raíz no quede expuesta, ésta no firma directamente los certificados de los servidores finales. En su lugar, existen uno o varios certificados intermedios que vinculan al servidor con la raíz.

### 02. Certificados intermedios

Los certificados intermedios sirven de enlace entre el servidor final y la raíz. En el modelo jerárquico de la cadena de confianza, el certificado intermedio que se encuentra directamente debajo del certificado raíz en la jerarquía de la cadena de confianza está firmado por la CA raíz.

Si hay más de una CA intermedia entre la raíz y el servidor final, entonces la CA intermedia primaria —es decir, la CA inmediatamente inferior a la raíz en la jerarquía de la cadena de confianza— firma el certificado de la segunda intermedia, y así sucesivamente hasta llegar al certificado del servidor final.

### 03. Certificados de entidad final

Los certificados de entidad final se instalan en el servidor final y verifican la identidad del titular del certificado. Puede tratarse de un [certificado SSL/TLS](https://www.manageengine.com/latam/key-manager/que-es-un-certificado-ssl.html), un certificado de correo electrónico, un certificado EMV, un certificado de firma de código, entre otros.

En el contexto de la comunicación web en la que un navegador intenta establecer conexión con un sitio web o dominio, el certificado del servidor final es el certificado SSL/TLS del dominio. El certificado SSL/TLS contendrá información sobre el dominio, la organización y la clave pública del servidor web en el que se almacena el certificado, junto con la firma de una CA intermedia. Esta firma se puede rastrear jerárquicamente hasta la CA raíz, que sirve como ancla de confianza en la parte superior de la cadena.

El método de confianza jerárquica, aunque es el más popular, no es el único método de confianza utilizado en la PKI.

## Diferentes modelos de confianza en la PKI

### 01. Modelo de confianza jerárquico

El método jerárquico es el método de confianza para entender cómo funcionan los certificados raíz, intermedio y de entidad final. Se trata de un enfoque descendente y unidireccional de la confianza, en el que el certificado raíz sirve como ancla de confianza y se sitúa en la parte superior de la cadena. Entre el certificado de la entidad final y el certificado raíz, existen uno o más certificados intermedios que finalmente se remontan a la CA raíz.

![Modelo de confianza jerárquico - PKI](https://www.manageengine.com/key-manager/information-center/images/hierarchical-model.png)

### 02. Modelo de CA única

El modelo de autoridad de certificación única, como su nombre indica, implica a una sola CA. No hay una autoridad de certificación intermedia ni certificado entre la CA emisora y el servidor final. Este modelo plantea un riesgo de colapso; si se altera la clave privada del certificado raíz, se deben sustituir todos los certificados emitidos por la CA raíz.

![Modelo de autoridad de certificación única - PKI](https://www.manageengine.com/key-manager/information-center/images/single-ca-model.png)

### 03. Modelo de puente

El modelo de puente implica a las autoridades de certificación raíz de múltiples árboles y dominios de PKI jerárquicos conectados entre sí a través de una o más CA puente. Las autoridades de certificación puente actúan como un centro bidireccional para la verificación de la confianza entre diferentes CA y establece la confianza entre diferentes dominios de PKI. Esto establece la confianza entre diferentes dominios de PKI, de forma que los certificados digitales de un dominio de PKI son fiables para las entidades del otro, lo que permite una comunicación segura.

![Modelo de puente - PKI](https://www.manageengine.com/key-manager/information-center/images/bridge-model.png)

### 04. Modelo de malla

A diferencia del modelo jerárquico o de puente, el modelo de malla tiene un sistema de confianza descentralizado, en el que cada autoridad de certificación local sirve como ancla de confianza por derecho propio. En el modelo de malla de la PKI, las diferentes CA están interconectadas entre sí, donde verifican la información de forma bidireccional con otras CA conectadas a ellas. Dado que no existe una autoridad de certificación raíz ni un anclaje de confianza superior basado en la jerarquía, el modelo de malla de la PKI no conlleva un único punto de fallo.

![Modelo de malla - PKI](https://www.manageengine.com/key-manager/information-center/images/mesh-model.png)

### 05. Modelo híbrido

El modelo híbrido de PKI es una mezcla de los diferentes modelos que hemos visto anteriormente. Utiliza características de los modelos jerárquico, de puente y de malla cuando resulta adecuado en su arquitectura. El modelo híbrido está construido en gran medida para ser flexible —dependiendo de las diferentes necesidades organizativas—, lo que lo hace ágil y escalable.

![Modelo híbrido - PKI](https://www.manageengine.com/key-manager/information-center/images/hybrid-model.png)

## ¿Cuál es el rol de los certificados digitales en la PKI?

Los certificados SSL/TLS son un componente fundamental para garantizar una comunicación segura basada en la web. Se suelen utilizar para establecer una comunicación cifrada entre un servidor web y un navegador o cliente web. Protegen la integridad de la información que se transmite y evitan la manipulación de los datos.

Los certificados SSL/TLS se pueden clasificar a grandes rasgos en tres subtipos principales:

- **Certificados con validación de dominio (DV):** Verifican la propiedad de un dominio y que el titular del certificado tiene los derechos para utilizarlo.
- **Certificados con validación de organización (OV):** Además de verificar la propiedad de un dominio y si el titular del certificado tiene los derechos para utilizar el dominio, también verifican la información organizacional.
- **Certificados con validación extendida (EV):** Se someten a un riguroso proceso de validación. Verifican los detalles organizacionales del titular del certificado, como su estatus legal y su existencia física.

## Diferentes formas en que se utilizan los certificados SSL/TLS en la PKI

- **Certificados de firma de código:** Los certificados de firma de código son certificados que firman los desarrolladores de software para certificar su código o aplicación y verificar su propiedad. El propósito es garantizar que el código no ha sido manipulado, verificando que se puede descargar y utilizar con seguridad.
- **Certificados de firma y cifrado de correo electrónico:** Los certificados de firma de correo electrónico o certificados S/MIME se utilizan para verificar la autenticidad del remitente y protegerse contra la falsificación. Los certificados de encriptación de correo electrónico se utilizan para cifrar los mensajes con el fin de mantener la privacidad de su contenido utilizando la clave pública del destinatario.
- **Certificados de autenticación del cliente:** Ayudan a autenticar a un cliente —una entidad digital como un usuario o un dispositivo— y a verificar su identidad. Permiten aplicar restricciones de control de acceso basadas en el certificado del cliente.
- **Certificados de autenticación del servidor:** Son certificados SSL/TLS que se utilizan para verificar la identidad de los servidores cuando los clientes intentan conectarse. Los clientes pueden verificar que se están conectando al servidor correcto y no a un impostor o a un sitio malicioso.

## ¿Cuáles son los retos que resuelve la PKI?

La criptografía segura y los certificados digitales juegan un rol vital a la hora de proteger la infraestructura de las empresas modernas, pero gestionarlos de forma eficiente en una gran organización plantea importantes retos. Sin una gestión adecuada de la PKI, las organizaciones tienen dificultades para autenticar a los usuarios y los dispositivos, proteger las comunicaciones y mantener el cumplimiento de las normas de seguridad. La falta de una solución de PKI robusta puede provocar caducidades inesperadas de los certificados, fallos de seguridad e interrupciones del servicio.

Dado que las organizaciones dependen cada vez más de las transacciones digitales y del [acceso remoto](https://www.manageengine.com/latam/key-manager/acceder-de-forma-segura-a-los-recursos-remotos.html), la necesidad de una verificación de identidad fiable y de comunicaciones cifradas es primordial. Los sistemas tradicionales basados en contraseñas son vulnerables a diversos ataques, mientras que los procesos manuales de [gestión de certificados](https://www.manageengine.com/latam/key-manager/gestion-de-certificados.html) son propensos a errores y consumen muchos recursos.

La PKI aborda estos retos proporcionando un marco para gestionar los certificados digitales y las claves de cifrado a lo largo de su ciclo de vida. Permite establecer relaciones de confianza, proteger la transmisión de datos confidenciales e implementar mecanismos de autenticación seguros. Un software de PKI completo ayuda a automatizar muchos aspectos de la gestión de certificados, reduciendo los errores humanos y garantizando la [renovación oportuna de los certificados](https://www.manageengine.com/latam/key-manager/automatizacion-de-alertas-y-renovacion-de-certificados-que-caducan.html).

## Casos comunes de uso de PKI

1. **Proteja la comunicación por correo electrónico**  
   La PKI del correo electrónico permite firmar digitalmente y cifrar mensajes, garantizando confidencialidad y autenticidad mediante protocolos como S/MIME.
2. **Certificados digitales para sitios web**  
   Permiten conexiones HTTPS que cifran los datos entre navegadores y servidores, mostrando el icono del candado cuando la conexión es segura.
3. **Firma de códigos**  
   Permiten a los desarrolladores firmar digitalmente sus aplicaciones y demostrar su identidad como editores legítimos, ayudando a evitar la distribución de malware.
4. **Firma de documentos**  
   Proporciona firmas electrónicas legalmente vinculantes, imposibles de falsificar, manteniendo la integridad del documento.
5. **Internet de las cosas**  
   Proporciona autenticación y protección escalable para millones de dispositivos conectados mediante certificados de identidad únicos.
6. **Infraestructura de TI interna**  
   Permite emitir certificados a servidores, estaciones de trabajo y dispositivos de red para autenticación segura y comunicación cifrada.

## Mejores prácticas de PKI

1. **Proteja las claves privadas con módulos de seguridad de hardware (HSM)**  
   Utilice HSM para almacenar claves privadas de forma segura y limite el acceso con controles estrictos.
2. **Utilice algoritmos criptográficos y longitudes de clave seguros**  
   Emplee algoritmos como RSA-2048 o ECDSA con P-256 y SHA-256, y actualícelos periódicamente.
3. **Automatice la gestión del ciclo de vida del certificado**  
   Automatice aprovisionamiento, renovación y revocación para minimizar riesgos de caducidad.
4. **Implemente controles de acceso y mantenga auditorías exhaustivas**  
   Aplique controles estrictos y realice auditorías regulares para detectar accesos no autorizados.
5. **Recuperación ante desastres y continuidad del negocio**  
   Establezca procedimientos claros para responder ante claves comprometidas y mantenga respaldos seguros fuera de línea.

## Importancia de utilizar una herramienta de gestión de la PKI

Las empresas modernas suelen tener miles de entidades digitales con certificados asociados, y rastrearlos manualmente es casi imposible. Si no se renueva un certificado, puede afectar todo el dominio y causar daños financieros y de reputación. Una mala gestión de las claves criptográficas puede provocar violaciones de seguridad y pérdidas de datos.

Una herramienta completa de gestión de PKI como ManageEngine Key Manager Plus ayuda a reunir todos los certificados y claves en un panel central. Permite gestionar el ciclo de vida integral de certificados digitales y claves, controlar fechas de caducidad, configurar alertas, crear CSR, rotar y gestionar claves, asignar certificados a dispositivos y supervisar dónde se almacenan.

## Preguntas frecuentes

### ¿Cuál es la diferencia entre PKI y SSL?

PKI es una infraestructura completa y un marco global para la comunicación digital segura, que implica múltiples protocolos y componentes.

SSL es un protocolo utilizado en PKI para establecer una transferencia de datos segura entre un usuario y un servidor web.

### ¿Cuál es la diferencia entre el cifrado simétrico y el asimétrico?

El cifrado simétrico utiliza la misma clave para el cifrado y el descifrado. El cifrado asimétrico implica una clave pública y una clave privada: la clave pública cifra y la clave privada descifra.

### ¿Cómo puede verificar la autenticidad de una entidad digital con la PKI?

Comprobando su certificado digital emitido por una autoridad de certificación (CA) de confianza y verificando la firma digital de la CA.

### ¿Qué ocurre si se imita la clave pública y la identidad de la entidad digital y se produce un ataque MitM?

Un ataque MitM puede interceptar y alterar comunicaciones. La PKI lo previene mediante certificados únicos verificados y la validación de la firma digital de la CA.

### ¿Qué es la PKI como servicio (PKIaaS)?

Es la implementación de la gestión de PKI como un servicio gestionado alojado en la nube, optimizando el ciclo de vida de los certificados y reduciendo costos.

### ¿Cómo la PKI garantiza la seguridad de las transacciones digitales?

Utiliza cifrado asimétrico, certificados digitales SSL/TLS y firmas digitales para proteger la comunicación y garantizar integridad y autenticidad.

### ¿La PKI se puede utilizar para las comunicaciones internas y externas?

Sí. Se pueden usar certificados privados para comunicaciones internas y certificados públicos para comunicaciones externas seguras.

### ¿La PKI es un software?

La PKI es un marco de gobernanza. Existen herramientas de gestión que ayudan a implementarla eficazmente.

### ¿La PKI es lo mismo que una CA?

No. La PKI es el marco completo; una CA es uno de sus componentes.

### ¿Cuál es un ejemplo de PKI?

Cuando se conecta a un sitio web con HTTPS, el certificado del sitio verifica su autenticidad y permite establecer una comunicación cifrada entre el navegador y el servidor.