En la actualidad, el HSM en la nube es una gran opción para proteger nuestras transacciones.
El HSM Cloud es de las mejores opciones para proteger nuestros aplicativos. Es probable que no cuentes con uno en tu infraestructura, pero puedes conectarte a uno para este tipo de protección en procesos automatizados. Por ejemplo, la empresa X SA de CV requiere estar generando constantemente firmas electrónicas de uso interno, por lo cuál no necesita tener una Autoridad Certificadora Acreditada. X SA de CV puede poner su Autoridad Certificadora virtual con un HSM en la nube y en el momento que sus empleados van generando distintas transacciones, se irán generando las firmas. Por eso es considerada una solución bastante innovadora, eliminando hasta cierto punto la necesidad de tener firmas digitales básicas y brinda ese dinamismo a tu empresa de estar generando las Firmas Electrónicas en el momento que se van requiriendo, con las mismas características de seguridad y definitivamente a un precio mucho más asequible.
Sabemos que la principal barrera de entrada para utilizar un HSM físico es el precio. Son módulos muy seguros y por lo mismo tienen su apreciación en el mercado, lo que convierte el costo del HSM Cloud en una de sus más grandes ventajas ya que la inversión inicial es mucho menor y te da ese dinamismo de ir prácticamente pagando por transacción.
Otra ventaja del HSM Cloud es que, no porque sea el HSM de Google o el de Azure van a estar casados con algún tipo de tecnología o lenguaje, sino prácticamente hay HSM en la Nube compatibles con cualquier lenguaje de programación. Te puedes conectar a las interfaces que hoy en día se han vuelto elementos de plug and play, donde lo único que necesitas es querer integrarte a un HSM.
Aquí tocamos un punto importante que es cómo se realiza el proceso de Firma a nivel aplicativo. Las buenas prácticas dicen que, en un proceso de firma de un documento en cualquier plataforma, se debe ingresar la llave pública, privada y contraseña y la validación se debería hacer del lado del cliente. Es decir, las llaves no deberían viajar. ¿Qué es lo que sucede en la mayoría de las soluciones que se encuentran hoy en día en el mercado? Nueve de cada diez mandan la validación de los certificados con contraseña, llave privada y llave pública al servidor, lo que significa una pésima práctica de seguridad. Y la solución que sí lo hace en el lado del cliente, por las características de cómo se realiza la validación, es susceptible a que también se le pueda generar algún tipo de ataque. Entonces, en ninguno de los dos casos tienes un proceso seguro de firma. Ahí es donde hace más sentido llevar el proceso de firma al HSM. Es la única manera en la que vas a resguardar y poder garantizar que la parte privada de quienes firman, no se vea vulnerada.
La mayoría de las plataformas tienen malas prácticas e incluso las que lo hacen bien no están exentas del riesgo de ser interceptado, modificado e incluso obtenidas las llaves. Hasta por las propias características de salubridad en las que vivimos actualmente a nivel mundial, estamos empujando a la transición de los aspectos jurídicos a medios digitales; en temas de procesos de sistematización hace años que las empresas van avanzando, pero uno de los puntos donde estamos más atrasados es en los aspectos jurídicos y la pandemia vino a empujarlos, no al nivel y al ritmo que quisiéramos porque también es una realidad que el volumen de firmas que se ha dado en los últimos dos años tampoco es como para dar de saltos, pero sí se ha ido avanzando y, en ese avanzar, lo recomendable sería aprovechar elementos como los HSM para terminar de blindar las operaciones, porque puedes tener una firma electrónica, un sello de tiempo, una constancia de conservación e inscribirlo en blockchain, pero si las llaves son vulnerables, tumbaste del ecosistema de seguridad que construiste ya que, al final del día, el principal elemento para darle viabilidad y seguridad a un proceso de firma, son las llaves y el mecanismo más seguro para resguardarlas son los Hardware Security Modules.
Una de las principales extensiones de los certificados, es que cuentan con la característica de no repudio, puede ser utilizada para firma electrónica, para cifrar y descifrar datos. Son 8 funcionalidades principales, pero al hablar de Firma Electrónica, el espectro es muy amplio ya que prácticamente la puedes utilizar para firmar electrónicamente cualquier cosa. Si le anexamos un segundo nivel de especificidad donde declaramos que ésta tendrá un propósito concreto que va a ser, por ejemplo, la firma de nómina, puedes controlar y hacer una mitigación de riesgos, porque al firmar un contrato con este certificado, el contrato no tendría validez, ya que su uso específico era para la firma de nómina.
Esta ventaja que ofrecen los certificados debería estar en el radar de todas las empresas que utilizan Firma Electrónica, pues ya no se trata de generar firmas genéricas. Si no está en tus posibilidades adquirir un HSM ya sea físico o en la nube, a través de las propias características de los certificados podrían reducirse los riesgos de lo que se puede generar con este tipo de firmas. De esta manera es posible mitigar la inseguridad en procesos automatizados.
Pero… ¿Cómo se obtienen estos certificados de uso específico? ¿Dónde se pueden conseguir?
Simplemente tienes que solicitarlo a un Prestador de Servicios de Certificación (PSC) de la Secretaría de Economía. No todos lo ofrecen, sin embargo, existe una lista de PSC donde pudieras solicitarlos.
Como conclusión, nuestra recomendación es perderle el miedo a la Firma Electrónica. Al final de cuentas podemos observar que en la práctica y en el día a día nos encontramos con mucha resistencia de los departamentos jurídicos en cuanto a esta clase de implementaciones pues no se sienten con la confianza de aceptar este tipo de medios debido a que su función principal es resguardar el aspecto jurídico y la certeza de las operaciones de su empresa, sin embargo la legislación los permite e incluso hay criterios judiciales que avalan el uso de medios electrónicos para muchas actuaciones, por lo que nuestro exhorto es a abrirle la puerta al uso de la Firma Electrónica, siempre de la mano del departamento de áreas técnicas, con el fin de estar orientados sobre las mejores prácticas en materia de seguridad y así tener las implementaciones correctas para proteger los contratos y firmas. La mejor manera es hacerlo a través de un HSM o un HSM Cloud. A corto plazo puede resultar una inversión costosa, pero el beneficio a mediano y largo plazo no existe mejor implementación que el uso de los Hardware Security Modules.