El certificado digital ha pasado, en apenas unas décadas, de ser un elemento completamente ajeno a muchas empresas a convertirse en elemento central de muchas de sus prácticas cotidianas. A ello ha contribuido notablemente el avance de la Administración electrónica pero, también, una mejor comprensión y facilidad de uso por parte del personal administrativo y operativo de las compañías.

Sin embargo, hay una realidad que cae por su propio peso: no es lo mismo que un particular gestione su propio certificado digital que una gran compañía, que posee multitud de ellos y que, además, son utilizados por personal de muy diversa índole al mismo tiempo.

En aseguradoras, bancos o constructoras se encontraba fácilmente esta problemática de la gestión de certificados digitales: personas que no deberían tener el certificado pero lo tenían en su equipo sin conocimiento de nadie dentro de la empresa, compañías que utilizaban dispositivos externos donde contenían los certificados y que iban pasando de mano en mano....

['Zero Trust': buscando la ciberseguridad en un mundo sin barreras]

"No teníamos control alguno sobre lo que hacía la gente con esos certificados, que al final es la firma de tu empresa, con lo cual era un riesgo muy grande", explica Daniel Rodríguez, director general de Redtrust. Esta compañía nació en 2009 precisamente al darse cuenta de este vacío de ciberseguridad, para incorporar un módulo de seguridad de hardware (HSM) con el que centralizar estos certificados digitales y poder así monitorizar y limitar su uso.

"Fue comenzar a buscar y ver qué se podía hacer con la tecnología actual. Y la triste realidad es que no teníamos ni idea al principio porque no había documentación", comparte Rodríguez en entrevista con D+I - EL ESPAÑOL. "Aquellas empresas que tenían certificados centralizados ya los tenían bien ordenaditos. Pero conseguir un uso transparente, limitando quién puede utilizarlo y cómo, fue crucial".

Una combinación de gestión centralizada de estos certificados y políticas de uso que hoy utilizan ya 890 empresas de todo el mundo. Un camino en el que, en 2019, Redtrust acabaría siendo comprada por la multinacional Keyfactor, dedicada precisamente al camino opuesto: la descentralización de esos certificados en los casos de uso en que es preciso.

La solución de Redtrust se centró en ofrecer no solo seguridad, sino también usabilidad."Más importante que la seguridad era la usabilidad. Queríamos una solución final, segura y transparente", afirma el director general. La empresa se esforzó en ese sentido por reducir la fricción entre administradores de sistemas y usuarios finales, comprendiendo la importancia de la adopción del producto.

De la autocontención a la nube

Obviamente desde 2009 hasta hoy ha llovido mucho, y eso también se refleja en la aproximación de Redtrust y sus clientes a la gestión de los certificados digitales. Si en un primer momento la apuesta era por appliances físicos, luego pasó hacia la virtualización y, ahora, a la nube.

Una de las características distintivas de Redtrust, según Daniel Rodríguez, es su enfoque en ofrecer una solución autocontenida. Esta característica no solo simplifica la administración del sistema, sino que también permite delegar tareas de manera eficiente, aliviando la carga de trabajo para las empresas.

Rodríguez enfatiza que el objetivo principal de Redtrust desde el principio fue minimizar la necesidad de desplegar múltiples aplicaciones y depender de terceros dentro de las empresas. Reconoce, de hecho, que hubo discusiones internas sobre esta decisión, especialmente en cuanto a la arquitectura en tres capas y la integración con sistemas existentes, como bases de datos Oracle.

Daniel Rodríguez, director general de Redtrust.

"El problema es que ya introduces más puntos de fallo y necesitas más personal para el soporte y mantenimiento", detalla el ejecutivo. La solución autocontenida de Redtrust elimina esta complejidad al proporcionar una plataforma integral que no requiere de complementos externos. "El hecho de tener esa solución totalmente autocontenida nos salvó de muchos problemas". Aunque reconoce que algunas empresas han expresado deseos de instalar su propio software dentro de la plataforma, Redtrust se ha mantenido firme en su filosofía de ofrecer una solución cerrada y Rodríguez cree que se ha demostrado que esta postura es fundamental para la seguridad del sistema.

"Al final es un tema delicado, pero a veces ser el 'raro' tiene sus ventajas", reflexiona Rodríguez. 

En cuanto al salto a la nube, Daniel Rodríguez está convencido de que es un paso igualmente necesario y trascendental. "La última vez que lo chequeé, teníamos ya a la mitad de los clientes en la nube. En físico ya no vendemos casi nada". Un movimiento que se justifica no solo por la gestión simplificada que ofrece la nube, sino también por la necesidad de mantener un entorno homogéneo y fácilmente actualizable.

Rodríguez destaca así la importancia de esta transición hacia la nube en términos de gestión y mantenimiento. "Es mucho más controlable. Si tenemos un cloud privado pero administrado por nosotros, podemos actualizarlo todo en bulk, etcétera. Es mucho más gestionable", explica. 

Hacia una gestión integral de la identidad digital

Pero el certificado digital sólo es una pequeña pata de todo lo que está relacionado con la identidad digital y la ciberseguridad en una aproximación más amplia. Y hacia ahí van las miras de esta compañía tecnológica.

Rodríguez admite a D+I - EL ESPAÑOL que, "si bien el núcleo de la empresa se centra en la gestión de certificados, también estamos incursionando en áreas más amplias como la gestión de identidades, el cifrado y otros temas relevantes para la seguridad digital". 

La plataforma de Redtrust aspira a unificar estas diversas áreas en una sola solución integral. Sin embargo, Rodríguez destaca que esta transición no es sencilla, empezando porque "la falta de terminología específica para describir esta convergencia dificulta la comunicación con los clientes y la comprensión del mercado".

Una de las principales barreras para la adopción de esta solución integral es la necesidad de persuadir a las empresas de abandonar sus métodos existentes, incluso si se consideran ineficaces o inmanejables. Redtrust busca no solo reemplazar, sino también reinventar los enfoques tradicionales, ofreciendo "una solución única y centralizada que abarque todos los aspectos de la seguridad digital". Aunque la empresa ya ha avanzado en áreas como el cifrado de correos electrónicos, aún enfrenta desafíos en la distribución y gestión de claves públicas, así como en la integración de diversas funcionalidades satélite del core de la plataforma.

El futuro de la identidad digital europea

Y en el horizonte no podemos olvidar la llegada de la norma eIDAS 2 y la introducción del wallet europeo único (e-ID), en cierto modo un rival para los certificados digitales tradicionales.

Rodríguez acepta el posible riesgo de que se deprecie el uso de certificados digitales con la adopción generalizada del e-ID. Sin embargo, expresa su escepticismo al respecto, afirmando que "lo veo un poco imposible de momento".

El CEO de Redtrust sugiere además que el ecosistema existente de certificados digitales podría adaptarse para ofrecer funcionalidades similares al e-ID. Por ejemplo, existe la posibilidad de utilizar certificados digitales para verificar la mayoría de edad en sitios web para adultos. En este sentido, Rodríguez critica que "se está atacando el problema sin contemplar soluciones actuales".

Respecto a la posibilidad de que el e-ID se imponga incluso en el ámbito empresarial, Rodríguez muestra una postura de adaptación. Al respecto, explica que la tecnología subyacente, independientemente de si se trata de certificados digitales o wallets únicos europeos, puede y debe ser transparente para el usuario final. "A nosotros nos da igual gestionar certificados digitales que ese nuevo wallet, nuestra misión sigue siendo la misma", concluye.