Un certificado digital es un documento electrónico que contiene información sobre una persona o una entidad (identidad, rol o privilegio), sobre los usos para los que se certifica (firma, autenticación, servidor…), y una clave pública asociada a esta persona o entidad. También incluye datos sobre quién es la Autoridad emisora del certificado y dónde publica su lista de revocaciones. Además, este certificado digital tiene asociada una clave privada secreta e intransferible, que es la base de la firma o autenticación electrónica y cuya protección es crucial para evitar posibles fraudes tan graves como, por ejemplo, la suplantación de identidad.
Para poder tener garantías en el uso de los certificados digitales, han de cumplirse dos reglas básicas: la primera es asegurarnos de que los certificados han sido generados por una CA (Autoridad de Certificación) absolutamente confiable que haya empleado las medidas de seguridad adecuadas (estar soportada por un Hardware criptográfico HSM ó Módulo de Seguridad Hardware certificado). La segunda es tener la certeza de que custodiamos con total seguridad las claves de los certificados electrónicos, especialmente la clave privada.
Las claves privadas se pueden guardar de una manera segura en “Smart Cards” o “Tokens Criptográficos” o de una forma insegura, importándolas en el propio ordenador del usuario. En este último caso, el certificado estará almacenado en el equipo sujeto a las propias vulnerabilidades del sistema operativo, aplicaciones, etc.; siendo susceptible de ser robado o de que, alguien, a través de un malware, capture el pin del certificado a la hora de introducirlo y lo utilice para realizar un fraude, suplantando la identidad de la persona o entidad a la que identifica dicho certificado.
La solución a esta problemática está basada en dos aspectos clave: el primero es la implantación de un sistema de protección y control de las claves de los certificados y, el segundo, en el caso de empresas y entidades, la implantación de una estructura centralizada y segura para el almacenamiento de las claves, basada en un hardware criptográfico HSM, que custodie las claves y que sólo permita el acceso a las mismas a los usuarios autorizados para ello.
En España existen empresas con tecnología propia, que ofrecen en una misma solución todo el hardware necesario, el HSM, el SW y la integración de todos estos elementos en una solución llave en mano a un coste asequible y muy competitivo dentro de su mercado.