Tema 9

9. Cifrado en tránsito, TLS, certificados y PKI

Muchas comunicaciones seguras dependen de un principio clave: aunque el tráfico viaje por redes no confiables, solo los extremos autorizados deben poder entenderlo y validar con quién hablan. Para lograrlo entran en juego el cifrado en tránsito, TLS, los certificados digitales y la infraestructura de clave pública.

Objetivo Entender la base de las comunicaciones seguras
Enfoque Conceptual y técnico
Resultado Interpretar mejor TLS, certificados y confianza digital

9.1 Introducción

Cuando un usuario accede a una web por HTTPS, cuando un cliente se conecta por VPN, cuando una API intercambia datos con otra o cuando un servidor se autentica ante un servicio remoto, suele estar utilizando mecanismos de cifrado en tránsito. Ese cifrado evita que terceros entiendan el contenido de la comunicación y ayuda a verificar la identidad del extremo remoto.

Sin embargo, cifrar no es lo mismo que confiar. Para que una conexión segura tenga sentido, los extremos deben poder establecer claves de forma segura y además validar con quién se están comunicando. Ahí es donde aparecen TLS, los certificados digitales y la PKI.

Este tema explica esa base sin entrar en formalismos matemáticos innecesarios, pero sí con el rigor suficiente para poder interpretar una conexión protegida, sus beneficios y sus puntos de falla.

9.2 Qué es cifrado en tránsito

El cifrado en tránsito protege la información mientras viaja entre dos extremos. Su objetivo principal es que un tercero que intercepte el tráfico no pueda leerlo fácilmente. También puede aportar mecanismos para detectar alteraciones y verificar la identidad del otro extremo.

Esto es especialmente importante porque gran parte de las redes por donde circulan los datos no están bajo control exclusivo de quien envía la información. El tráfico puede atravesar redes locales compartidas, proveedores, enlaces externos, internet o infraestructuras intermedias.

Cifrar en tránsito no significa ocultarlo todo. Muchas veces aún quedan visibles metadatos como direcciones IP, puertos o ciertos patrones de conexión. Lo que se protege principalmente es el contenido y parte de la integridad del intercambio.

9.3 Qué problemas resuelve el cifrado en tránsito

  • Reduce el riesgo de sniffing sobre contenido sensible.
  • Dificulta el robo de credenciales o sesiones cuando viajan por la red.
  • Permite detectar alteraciones indebidas del contenido.
  • Ayuda a validar identidad del extremo remoto mediante certificados.
  • Disminuye el impacto de redes intermedias no confiables.

Esto no elimina otros riesgos, como vulnerabilidades de aplicación, configuraciones débiles o errores en la administración de claves, pero sí protege una capa crítica de la comunicación.

9.4 Qué es TLS

TLS, Transport Layer Security, es el protocolo que protege muchas comunicaciones modernas. Se utiliza en HTTPS, correo seguro, algunas VPN, APIs y múltiples integraciones entre servicios. Su función es establecer un canal seguro entre dos extremos sobre el cual luego se intercambian datos.

TLS proporciona tres capacidades centrales:

  • Confidencialidad: el contenido viaja cifrado.
  • Integridad: se puede detectar si fue modificado.
  • Autenticación: al menos uno de los extremos puede demostrar su identidad mediante un certificado.

9.5 Cómo funciona TLS a grandes rasgos

Sin entrar en detalles criptográficos profundos, el proceso general es el siguiente:

  1. Cliente y servidor inician la comunicación y negocian parámetros compatibles.
  2. El servidor presenta un certificado digital.
  3. El cliente verifica si puede confiar en ese certificado.
  4. Ambos extremos establecen material criptográfico para la sesión.
  5. Una vez creada la clave de sesión, los datos viajan cifrados.

El resultado es que cada conexión puede tener claves temporales propias, lo que mejora la seguridad del canal.

9.6 Cifrado simétrico y asimétrico

Para entender TLS conviene distinguir dos ideas básicas:

  • Cifrado simétrico: usa la misma clave para cifrar y descifrar. Es eficiente y rápido, por eso se usa para proteger el tráfico una vez establecida la sesión.
  • Cifrado asimétrico: usa una clave pública y una privada. Es más costoso, pero permite mecanismos de identidad y establecimiento seguro de confianza.

TLS combina ambos enfoques: utiliza criptografía asimétrica o mecanismos relacionados para establecer confianza e intercambiar secretos, y luego usa cifrado simétrico para proteger el volumen principal de datos.

9.7 Qué es un certificado digital

Un certificado digital es un documento electrónico firmado que vincula una identidad con una clave pública. En términos simples, permite que un sistema diga: "esta clave pública pertenece a este servidor, este dominio o esta entidad".

Un certificado suele incluir información como:

  • Nombre del sujeto o dominio al que representa.
  • Clave pública asociada.
  • Entidad emisora.
  • Período de validez.
  • Usos permitidos.
  • Firma digital de la autoridad emisora.

9.8 Para qué sirve un certificado

El certificado no cifra por sí mismo toda la comunicación. Su función principal es aportar identidad verificable dentro del proceso de establecimiento de confianza.

Por ejemplo, cuando un navegador accede a un sitio HTTPS, utiliza el certificado para comprobar si el servidor que responde es realmente quien dice ser. Si esa validación falla, el canal puede estar siendo interceptado o el destino puede no ser confiable.

9.9 Qué es una PKI

PKI, o Public Key Infrastructure, es el conjunto de componentes, políticas y procesos que hacen posible emitir, distribuir, validar, revocar y administrar certificados digitales. No es solo una tecnología; es un modelo de confianza operado por una o varias entidades.

Una PKI incluye típicamente:

  • Autoridades certificadoras.
  • Autoridades intermedias.
  • Repositorios o cadenas de confianza.
  • Procesos de emisión y renovación.
  • Mecanismos de revocación y validación.

9.10 Autoridades certificadoras y cadena de confianza

Una autoridad certificadora, o CA, es una entidad que firma certificados. Los clientes confían en ciertos certificados raíz preinstalados en sus sistemas. A partir de esa confianza inicial, pueden validar certificados emitidos por autoridades intermedias o directamente por la raíz, según la cadena presentada.

Esta lógica se conoce como cadena de confianza. Si la cadena es válida y el certificado cumple las condiciones esperadas, el cliente acepta la identidad del servidor.

Componente Rol Importancia
CA raíz Ancla inicial de confianza Muy alta; su compromiso afecta toda la cadena
CA intermedia Emite certificados subordinados Permite operar sin exponer directamente la raíz
Certificado final Representa al servidor o entidad Se usa en la conexión concreta

9.11 Validaciones básicas que realiza un cliente

Cuando un cliente recibe un certificado, no debería aceptarlo automáticamente. Normalmente verifica al menos:

  • Que la cadena de confianza termine en una autoridad confiable.
  • Que el certificado no esté vencido.
  • Que el nombre del certificado coincida con el servicio esperado.
  • Que el uso del certificado sea apropiado para ese contexto.
  • Que no esté revocado o marcado como inválido según los mecanismos disponibles.

9.12 Qué pasa cuando falla la validación

Si el certificado no puede validarse, el cliente pierde la base para confiar en la identidad remota. En ese punto aparecen advertencias, errores o directamente el rechazo de la conexión. Ignorar esas señales puede abrir la puerta a ataques Man in the Middle, suplantación de servicios o conexiones hacia destinos equivocados.

Por eso, aceptar certificados inválidos "para seguir adelante" es una mala práctica muy riesgosa, especialmente en entornos administrativos o productivos.

9.13 Errores comunes con certificados

  • Usar certificados vencidos.
  • Usar nombres que no coinciden con el servicio publicado.
  • No renovar a tiempo certificados críticos.
  • Confiar en certificados autofirmados sin una gestión apropiada.
  • Distribuir mal la cadena intermedia y generar errores de validación.
  • No proteger adecuadamente la clave privada asociada.
El certificado visible es solo una parte del problema. Si la clave privada asociada se compromete, la identidad digital del servicio también queda comprometida.

9.14 La importancia de la clave privada

Todo este sistema depende de una condición esencial: la clave privada correspondiente al certificado debe permanecer protegida. Si un atacante accede a esa clave, puede hacerse pasar por el servicio legítimo, descifrar cierto material relacionado con la identidad o montar ataques difíciles de detectar.

Por eso la protección de claves privadas es una prioridad operativa. Deben almacenarse con controles adecuados, rotarse cuando corresponda y limitarse estrictamente a los sistemas que realmente las necesitan.

9.15 Mutual TLS y autenticación de ambos extremos

En muchos casos, solo el servidor presenta un certificado y el cliente verifica su identidad. Pero existen escenarios donde también el cliente presenta un certificado al servidor. Este esquema se conoce como mutual TLS, o mTLS.

mTLS es especialmente útil en:

  • Comunicaciones entre servicios internos.
  • APIs sensibles entre organizaciones.
  • Entornos con fuerte necesidad de autenticación máquina a máquina.
  • Arquitecturas Zero Trust o segmentación avanzada.

9.16 Revocación, renovación y ciclo de vida

La gestión de certificados no termina cuando se emiten. Todo certificado tiene un ciclo de vida que incluye emisión, distribución, uso, renovación, posible revocación y retiro.

Una PKI madura debe poder responder preguntas como:

  • ¿Qué certificados existen y dónde están instalados?
  • ¿Cuándo vencen?
  • ¿Quién es responsable de cada uno?
  • ¿Cómo se revoca uno comprometido?
  • ¿Qué servicios dependen de él?

Sin esa gobernanza, los certificados se vuelven otra fuente de deuda técnica y riesgo operativo.

9.17 TLS bien configurado y TLS mal configurado

No basta con "tener TLS". La configuración importa. Un despliegue débil puede exponer la conexión a algoritmos inseguros, versiones antiguas del protocolo o malas prácticas operativas.

Aspecto Despliegue sólido Despliegue débil
Versiones Protocolos actuales y soportados Compatibilidad con versiones obsoletas
Algoritmos Suites fuertes y modernas Algoritmos débiles o heredados
Certificados Válidos, correctos y renovados Vencidos o mal emitidos
Operación Claves protegidas y monitoreo Claves expuestas o sin gobernanza

9.18 Qué no resuelve TLS por sí solo

Es importante no sobredimensionar lo que TLS puede hacer. Aunque protege muy bien el canal, no evita por sí mismo:

  • Vulnerabilidades lógicas de una aplicación.
  • Permisos excesivos o mala autenticación de negocio.
  • Malware en el equipo del usuario o del servidor.
  • Exposición innecesaria de servicios.
  • Fallas de segmentación o movimiento lateral dentro de la red.

TLS es una pieza esencial, pero debe formar parte de una arquitectura más amplia.

9.19 Recomendaciones prácticas

  1. Usar cifrado en tránsito para servicios sensibles y administrativos.
  2. Evitar certificados vencidos, autofirmados sin gobernanza o mal desplegados.
  3. Proteger rigurosamente las claves privadas.
  4. Inventariar y monitorear el ciclo de vida de los certificados.
  5. Deshabilitar versiones y configuraciones débiles cuando sea posible.
  6. No ignorar advertencias de validación ni aceptarlas por costumbre.

9.20 Qué debes recordar de este tema

  • El cifrado en tránsito protege la comunicación mientras viaja por redes potencialmente no confiables.
  • TLS aporta confidencialidad, integridad y autenticación del canal.
  • Los certificados vinculan una identidad con una clave pública.
  • La PKI sostiene la confianza mediante emisión, validación y gestión de certificados.
  • La seguridad del sistema depende tanto del certificado como de la protección de la clave privada y de la correcta validación del cliente.

9.21 Conclusión

TLS, los certificados y la PKI hacen posible que muchas comunicaciones modernas viajen por redes hostiles con un nivel razonable de confianza. No son magia ni resuelven todos los problemas, pero constituyen una base crítica para la seguridad en tránsito. Entender su lógica permite interpretar mejor errores, advertencias, despliegues inseguros y decisiones de arquitectura.

En el próximo tema estudiaremos la autenticación de acceso a la red, con tecnologías como 802.1X, RADIUS, TACACS+ y NAC.

Volver al índice