Imagina este escenario.
Todo está funcionando.
No hay alertas de seguridad.
No hay incidentes abiertos.
No hay señales de ataque.
Y aún así, un servicio crítico se cae.
Y No fue un hacker, un exploit o una brecha. Fue una fecha.
Una fecha que alguien olvidó.
Una vigencia que nadie revisó.
Un certificado que ya no está vigente
El problema no fue técnico. Fue una falta de visibilidad.
El 15 de marzo de 2026, la vigencia máxima de los certificados digitales se reducirá de 398 a 200 días.
Un año después bajará a 100 días y, hacia 2029, la confianza digital operará en ciclos de apenas 47 días.
Este cambio fue definido por el CA/Browser Forum, el organismo que establece las reglas de emisión de certificados digitales a nivel global, con el respaldo de los principales fabricantes de navegadores.
No es un ajuste técnico menor. Es un cambio estructural.
No se puede negociar. No se puede postergar. Va a llegar.
Y para muchas organizaciones, este será el primer punto real de tensión: el momento en que los procesos que “siempre funcionaron” dejan de escalar, los recordatorios dejan de alcanzar y la gestión manual empieza a convertirse en un riesgo operativo.
No porque algo esté mal hecho.
Sino porque fue diseñado para un mundo que ya dejó de existir.
Un certificado digital no es un detalle técnico.
Es una pieza crítica que sostiene tu operación digital completa.
Y ahí está el riesgo real.
Porque en muchas organizaciones, la gestión de certificados sigue dependiendo de hojas de cálculo, recordatorios en calendarios o de la memoria de alguien que “ya sabe cuándo vence”.
Ese modelo puede parecer suficiente… hasta que lo confrontas con la realidad.
Ahora pregúntate esto, sin rodeos:
¿ese esquema aguanta la cantidad real de certificados con los que hoy opera tu organización?
Cuando los ciclos se acortan a meses —y pronto a semanas—, la respuesta suele quedar clara por sí sola.
¿Tu equipo ya sabe que la vigencia de los certificados se va a reducir drásticamente este mismo marzo?
Si no tienes respuestas claras a todas estas preguntas, no estás solo. Pero sí estás en riesgo.
Porque la reducción en la vigencia de los certificados no perdona:
Y cuando nadie tiene claridad total, la operación no falla poco.
Falla de golpe.
El error más común es mirar solo los certificados públicos.
La realidad es que los certificados internos —los que habilitan mTLS, integraciones, brokers, dispositivos y microservicios— suelen ser los más olvidados… y también los más peligrosos cuando fallan.
Ahí es donde el modelo tradicional deja de funcionar.
Cuando la vigencia de un certificado se mide en semanas, la renovación deja de ser un evento puntual y pasa a formar parte de la operación diaria. Lo que antes podía resolverse “cuando tocaba” ahora exige procesos continuos y claramente definidos.
Este cambio implica asumir responsabilidades, establecer reglas claras y tratar la gestión criptográfica como lo que realmente es: un componente crítico de continuidad operativa.
Un certificado vencido no es un bug.
Es una falla de gobierno operativo.
No todo son malas noticias
Este cambio —aunque incómodo— también abre una oportunidad poco común.
La oportunidad de recuperar control.
De entender qué sostiene realmente tu operación digital.
De identificar dependencias que hoy operan en automático, sin visibilidad ni gobierno claro.
Las organizaciones que aprovechen este momento no serán las que reaccionen más rápido, sino las que se sienten a revisar lo que hoy dan por hecho.
Hablar para saber cuántos certificados existen de verdad.
Para entender cómo se están gestionando.
Para confirmar si el modelo actual resiste un escenario donde la confianza digital expira constantemente.
No hacerlo no es neutral.
Es asumir un riesgo.
Porque cuando un certificado vence, no avisa.
Y cuando falla, no falla en silencio.