Alerta IT – El drástico cambio en los certificados web que transformará la infraestructura de internet hacia 2026

El panorama de la seguridad en internet está a punto de experimentar uno de sus cambios más radicales en los últimos años. El CA/Browser Forum, la entidad internacional encargada de definir los estándares de la industria, ha aprobado oficialmente un cronograma que acortará drásticamente la vigencia de los certificados de seguridad TLS/SSL. Lo que hoy es un trámite anual, pronto requerirá una renovación casi mensual, marcando el inicio de una era donde la automatización será la única regla de supervivencia para las organizaciones (Fuente Certisur).

La transición comenzará a hacerse notar fuertemente a principios de 2026. A partir del 24 de febrero de 2026, las autoridades certificantes limitarán la vigencia máxima de los nuevos certificados a 199 días, reemplazando el límite actual de 397 días. A nivel general de la industria, a partir del 15 de marzo de ese mismo año, se establecerá formalmente la vida útil máxima en 200 días.

Este cambio no solo afectará la vigencia del certificado en sí, sino también a las validaciones subyacentes. Las validaciones de organización (OV) se reducirán de 825 a 397 días, mientras que la reutilización de la información de validación de dominio pasará a un máximo de 199 o 200 días, dependiendo de la plataforma.

Néstor Markowicz, COO de CertiSur, advierte:

“Este cambio no es simplemente una reducción de plazos; es una transformación estructural en la manera en que las organizaciones deben gestionar su identidad digital. Lo que antes podía administrarse de forma manual hoy requiere visibilidad total, inventario centralizado y automatización del ciclo de vida. Las empresas que no se anticipen van a enfrentar interrupciones evitables en sus servicios críticos”.

El objetivo final: 47 días 

Sin embargo, los cambios de 2026 son solo un paso intermedio. El cronograma oficial establece que, a partir del 15 de marzo de 2027, la vida útil máxima caerá a 100 días, para finalmente desplomarse a tan solo 47 días a partir del 15 de marzo de 2029.

¿Por qué exactamente 47 días? Esta cifra responde a un cálculo técnico muy específico del sector: permite un mes máximo de 31 días, más medio mes (15 días), más un día de margen de maniobra. Para 2029, la información de validación de dominio sólo podrá reutilizarse por 10 días. Llegado este punto, la revalidación manual seguirá siendo técnicamente posible, pero la industria advierte que intentarlo será «una garantía de fallos e interrupciones».

¿Por qué un cambio tan drástico? 

La medida ha sido fuertemente impulsada por gigantes tecnológicos como Apple, con el respaldo casi inmediato de Google. El argumento principal es directo: la información contenida en los certificados se vuelve cada vez menos confiable con el paso del tiempo. Revalidar los datos con frecuencia es la única manera efectiva de mitigar este riesgo.

A esto se suma que el sistema actual de revocación de certificados (que utiliza protocolos como CRL y OCSP) ha demostrado ser poco fiable y muchas veces es ignorado por los navegadores. Al forzar una vida útil mucho más corta, se limita drásticamente el impacto de las claves que pudieran verse comprometidas y se permite a la red implementar actualizaciones criptográficas de forma mucho más ágil frente a nuevas amenazas.

La automatización deja de ser una opción 

Ante este escenario, la gestión manual de infraestructura tiene los días contados. En la propuesta original, Apple argumentó que estas medidas son un mensaje claro para el mundo: la automatización es fundamental para una gestión eficaz del ciclo de vida de los certificados.

Desde CertiSur recomiendan a las organizaciones anticiparse a este cambio, revisar sus procesos de gestión de certificados y avanzar en estrategias de automatización. Afortunadamente para las empresas, desde la empresa aseguran que esta mayor frecuencia de reemplazo no implicará mayores costos por emisión, ya que los modelos comerciales se basan en suscripciones anuales. No obstante, el verdadero desafío será la adaptación tecnológica: quienes no automaticen sus procesos pronto se enfrentarán a caídas constantes de sus servicios digitales.

En ese sentido, Markowicz concluye:

“La conversación ya no pasa por el costo del certificado, sino por el riesgo operativo. Cuando hablamos de ciclos de 47 días, cualquier gestión manual es una garantía de error humano. La automatización, el descubrimiento continuo y la integración con los entornos de infraestructura son hoy la única forma de asegurar la continuidad del negocio y minimizar el riesgo”

Los bancos incorporan autenticación visual en sus correos para reforzar la confianza digital

La seguridad del correo corporativo atraviesa un momento decisivo. En un contexto donde organismos públicos, entidades financieras y reguladores avanzan hacia mayores niveles de control, la autenticación del correo ha pasado de ser una práctica recomendada a un estándar de la industria. En este escenario, las entidades financieras y los bancos lideran la adopción de tecnologías de autenticación visual, como los Verified Mark Certificates (VMC), debido a su alta exposición al fraude y su dependencia crítica de la confianza de marca (Fuente Certisur).

Un entorno de alta exposición al fraude

Las instituciones bancarias son uno de los blancos más recurrentes para ataques de phishing y suplantación de identidad. La efectividad de estos ataques suele radicar en la confusión visual del usuario; sin embargo, la implementación de VMC busca mitigar este riesgo al proporcionar un indicador de identidad confiable directamente en la bandeja de entrada. Al mostrar el logotipo verificado de la institución junto al mensaje, se establece una diferenciación clara entre las comunicaciones legítimas y los intentos de fraude que dependen de la imitación visual.

“Para las entidades financieras, donde la reputación y la protección contra el phishing dirigido son temas críticos, los VMC representan un doble beneficio: mejorar la percepción de seguridad y, al mismo tiempo, aprovechar los activos de marca existentes como ventaja competitiva en materia de cumplimiento. La implementación de estas herramientas permite a las organizaciones establecer su infraestructura de autenticación según sus propios tiempos, sin esperar la llegada de nuevas exigencias regulatorias”, destaca Néstor Markowicz, COO de CertiSur.

Mecanismos de defensa y comportamiento del usuario

La adopción de VMC no funciona de forma aislada. Su eficacia está vinculada a la configuración de políticas DMARC – sistema de validación de correo electrónico – en modo estricto, lo que exige una autenticación técnica rigurosa del dominio. Aunque esta tecnología no elimina la totalidad de los intentos de phishing, sí eleva significativamente el costo y la complejidad para los atacantes, dificultando la escalabilidad del fraude al impedir que puedan replicar el logotipo verificado sin el control del dominio.

Desde la perspectiva del destinatario, el cambio es principalmente cognitivo. La presencia de un logotipo o un “check” azul de verificación (como el implementado por Gmail) funciona como una señal visual inmediata de legitimidad. Esto genera un mayor reconocimiento de marca y una disposición superior del cliente para interactuar con el contenido del correo, al reducir la incertidumbre sobre el remitente.

“A diferencia de los métodos de autenticación de correo electrónico que están ocultos para los destinatarios, este tipo de certificados proporcionan una prueba visible que ayuda a los destinatarios a confirmar al instante que un correo electrónico se envió desde su dominio”,  explica Markowicz.

En este sentido, soluciones como DigiCert Mark Certificates ayudan a proteger a las marcas de ataques de suplantación de dominio y a enviar comunicaciones de correo electrónico confiables directamente a las bandejas de entrada, haciendo visible el logotipo junto a cada mensaje autenticado y dificultando que los actores maliciosos envíen mensajes falsificados convincentes a los buzones de los usuarios. 

Disparadores de la implementación y tiempos de despliegue

La decisión de las entidades financieras de adoptar VMC suele responder a tres factores principales: incidentes previos de seguridad con impacto reputacional, resultados de auditorías internas que detectan debilidades en la autenticación, o exigencias de compliance en sectores regulados. En muchas organizaciones, este paso representa la etapa final de madurez tras haber consolidado sus políticas DMARC.

Respecto a los plazos, el proceso de implementación —que incluye la validación de la identidad legal y la propiedad intelectual del logotipo— suele completarse en un rango de dos a seis semanas. Este tiempo depende directamente de la preparación previa de la infraestructura de TI y la complejidad de los dominios de la organización. En el caso de las fintech, la adopción es creciente, aunque se observa una mayor heterogeneidad condicionada por la madurez de sus políticas de seguridad previas.

En definitiva, la transición hacia un entorno de comunicaciones autenticadas marca un estándar de madurez para el sector financiero, consolidándose habitualmente como la etapa final tras la implementación de políticas DMARC en modo estricto. Al adoptar estos certificados, las entidades bancarias no solo mitigan los riesgos operativos derivados del fraude por suplantación, sino que se posicionan de manera proactiva ante la evolución de los mandatos de seguridad globales. 

#arielmcorg #certisur #infosertec #PORTADA #VerifiedMarkCertificates #VMC

Vulnerabilidades en proveedores y falta de skills – los dos frentes más críticos para los CISOs

La ciberseguridad corporativa atraviesa un punto de máxima complejidad. Por un lado, los ataques a la cadena de suministro alcanzaron niveles récord: los actores maliciosos ya no apuntan solo a las empresas, sino a sus proveedores, integraciones SaaS y servicios de terceros (Fuente CertiSur). 

Por el otro, las organizaciones enfrentan una escasez creciente de talento especializado capaz de anticipar y gestionar estos riesgos interconectados. Esta doble presión convierte a la seguridad de proveedores y al déficit de skills en los desafíos más urgentes para los CISOs en 2026.

En este contexto, cada nuevo partner tecnológico suma una posible puerta de entrada y obliga a reforzar auditorías, monitoreo continuo y acuerdos de seguridad más estrictos. A la vez, la falta de profesionales capacitados para operar, escalar y automatizar estrategias de defensa deja a los equipos internos sobreexigidos, intentando hacer más con menos.

Esta realidad se confirma en un reciente informe de BrandShield, que consultó a 200 CISOs sobre los principales riesgos que enfrentan hoy las organizaciones. El estudio revela una dispersión de amenazas que refleja la complejidad del ecosistema digital. 

Las 10 amenazas que más preocupan a los CISOs

• Phishing
• Malware y ransomware
• Suplantación de marca
• Filtración de datos y credenciales
• Ataques a la cadena de suministro
• Vulnerabilidades en software de terceros
• Amenazas internas
• Fraudes en redes sociales y sitios falsos
• Deepfakes y manipulación de identidad
• Riesgos asociados a IA generativa

La conclusión es contundente: no existe una amenaza dominante. “Los niveles de preocupación están repartidos de manera pareja, lo que indica que los CISOs hoy enfrentan un ecosistema de riesgos interconectados que se potencian entre sí”, explicó Néstor Markowicz, COO de CertiSur.

Esto exige abandonar el enfoque tradicional de priorizar un único riesgo y avanzar hacia una defensa integral basada en múltiples capas de seguridad, que incluya:

• Automatizar la gestión de certificados
• Detectar y desactivar amenazas en tiempo real
• Incorporar autenticación multifactor (MFA)
• Aumentar la visibilidad sobre accesos, sistemas expuestos y terceros

El panorama actual demuestra que el ciberdelito ya no opera en compartimentos aislados. Una campaña de phishing puede ser la antesala de un ransomware; una identidad digital manipulada mediante deepfake puede habilitar accesos críticos; una filtración en un proveedor puede comprometer a toda la organización.

“Hoy la ciberseguridad es un tema de negocio, no solo de tecnología”, subrayó Markowicz. “Un ataque puede detener la operación completa de una empresa, generar pérdidas significativas y afectar su reputación. Con amenazas diversas y altamente conectadas, un incidente aislado puede escalar muy rápido”.

Frente a este escenario, la prioridad es ganar visibilidad y automatizar. “El primer paso es saber qué certificados, accesos y sistemas están expuestos. Luego, automatizar su gestión, sumar MFA y concientizar equipos. Esa combinación reduce de inmediato la superficie de ataque y prepara a la organización para responder de manera ágil ante cualquier incidente”, concluyó el COO.

#arielmcorg #certisur #cisos #infosertec #phishing #PORTADA #skillsSeguridad

#Ciberseguridad en la nube, los riesgos invisibles y el rol clave de los certificados digitales

En un contexto donde cada vez más empresas migran sus operaciones a la nube, la seguridad se ha convertido en un eje crítico de la transformación digital. Sin embargo, detrás de la promesa de agilidad, escalabilidad y eficiencia, persisten riesgos “invisibles” que muchas organizaciones aún subestiman (Fuente Certisur).

“Uno de los principales riesgos invisibles es creer que la nube es, por definición, segura. Muchas organizaciones asumen que, al contratar un proveedor de nube, toda la seguridad está resuelta. La realidad es que los vectores de ataque más frecuentes provienen de configuraciones erróneas, accesos no gestionados o credenciales expuestas”, explica Néstor Markowicz, COO de CertiSur.

En este sentido, una nube es segura sólo si la empresa asume su parte del compromiso. “El error más común es la falsa sensación de protección total que genera la tercerización del servicio”, agrega.

El esquema de responsabilidad compartida que rige en los servicios cloud es, al mismo tiempo, una ventaja y un riesgo. El proveedor se encarga de la infraestructura, pero la gestión de los datos, los accesos y las configuraciones sigue siendo responsabilidad de la empresa usuaria.

“Este modelo permite que las compañías se concentren en su negocio, pero también genera zonas grises: nadie sabe con certeza quién es responsable de un control, y ahí es donde suelen aparecer los problemas”, advierte.

Por eso, contar con una gobernanza clara de roles y responsabilidades, especialmente en entornos multicloud, se vuelve esencial para evitar brechas.

Zero Trust: la estrategia que redefine la seguridad

En un entorno sin fronteras definidas, el enfoque de Zero Trust se consolida como uno de los más efectivos. El modelo parte de un principio simple: no confiar en nadie y verificar siempre.

“Ya no alcanza con proteger el perímetro, porque en la nube el perímetro se difumina. Zero Trust obliga a controlar de forma granular los accesos, monitorear continuamente los comportamientos y reducir al mínimo los privilegios”, explica Markowicz.

Si bien el modelo mitiga los riesgos de manera significativa, su éxito depende de algo más que la tecnología: requiere un cambio cultural profundo dentro de las organizaciones.

Certificados digitales: la base invisible de la confianza

En este escenario, los certificados digitales cumplen un rol cada vez más relevante. Son la pieza que garantiza la autenticidad de identidades, la integridad de las comunicaciones y el cifrado de los datos en tránsito y en reposo.

Desde la firma de documentos hasta la autenticación de servidores y aplicaciones, los certificados son el componente que hace posible una nube verdaderamente confiable.

Su gestión, sin embargo, es uno de los puntos más descuidados. Mantener un inventario actualizado de llaves, certificados y credenciales es clave para evitar vulnerabilidades y prevenir interrupciones de servicio o brechas de seguridad.

Entre las recomendaciones más importantes para fortalecer la seguridad en la nube, Néstor Markowicz destaca:

• Gestión de identidades y accesos con políticas claras y autenticación multifactor.
• Visibilidad completa sobre datos, identidades y activos criptográficos.
• Cifrado de datos tanto en tránsito como en reposo.
• Monitoreo continuo y auditorías periódicas para detectar configuraciones inseguras.
• Implementación de Zero Trust para reducir la superficie de ataque.

“La seguridad es un proceso, no un producto. No hay una solución mágica, sino una estrategia integral y sostenida en el tiempo”, concluyó el COO.

#arielmcorg #certificados #certisur #ciberseguridad #infosertec #portada #tls

#Ciberseguridad – En 2026, los certificados digitales SSL/TLS se renovarán cada 200 días

La fecha ya está marcada en rojo en la agenda de todos los responsables de ciberseguridad: el 15 de marzo de 2026, el plazo de validez de los certificados digitales SSL/TLS pasará de un año a solo 200 días, tras la decisión adoptada por el CA/Browser Forum, la entidad que regula los estándares globales de confianza digital (Fuente Certisur Argentina).

Este cambio, que impactará en todas las organizaciones a nivel mundial, plantea un desafío operativo y estratégico para los CISOs y equipos de IT, que deberán duplicar la frecuencia con la que emiten y renuevan certificados.

La reducción de la vigencia de los certificados implica que cualquier error en la gestión puede traducirse en expiraciones, interrupciones de servicio o vulnerabilidades críticas. En entornos donde la administración todavía se hace de manera manual —con planillas, recordatorios dispersos o procesos descentralizados— el riesgo de fallas es cada vez mayor.

“Es imposible sostener una gestión manual en este nuevo escenario. No alcanza con un analista de IT y un Excel. La única alternativa viable es la automatización”, advierte Néstor Markowicz, COO de CertiSur.

En este contexto, las soluciones de Discovery & Automation se convierten en un requisito indispensable. Estas herramientas permiten:

• Detectar todo el stock de certificados en uso dentro de la organización.
• Identificar riesgos y fechas críticas de vencimiento.
• Automatizar renovaciones y despliegues.
• Evitar interrupciones y caídas de sistemas.

“Estamos acompañando a nuestros clientes a prepararse no solo para 2026, sino también para lo que viene: en 2027 la vigencia se reducirá a 100 días y en 2029 bajará a solo 47 días. El futuro de la gestión de PKI es, inevitablemente, con automatización”, agrega Markowicz.

La cuenta regresiva ya empezó

A menos de un año para que la medida entre en vigor, el impacto que se espera no será menor: duplicará la carga de trabajo de los equipos de IT y pondrá a prueba la madurez de los procesos de seguridad digital en las empresas.

La pregunta ya no es si este cambio ocurrirá, sino cómo se están preparando las organizaciones para enfrentarlo.

#arielmcorg #certisur #infosertec #PORTADA #SEGURIDAD #sslTsl

#Argentina – CertiSur potencia su oferta digital con Comunicaciones Certificadas de Namirial

CertiSur, anuncia su alianza estratégica con Namirial, referente global en servicios de firma digital y transacciones electrónicas confiables. A través de este acuerdo, CertiSur se convierte en partner oficial de Namirial en Latinoamérica para ofrecer Servicios de Comunicaciones Certificadas, una solución que permite enviar correos electrónicos, notificaciones y SMS con pleno valor probatorio, garantizando la trazabilidad y seguridad de las comunicaciones empresariales (Fuente CertiSur).

Estos servicios están diseñados para empresas e instituciones que buscan optimizar sus procesos de notificación y, al mismo tiempo, cumplir con el marco legal vigente. En Argentina, la Ley de Firma Digital respalda la validez de las comunicaciones electrónicas certificadas, otorgándoles el mismo valor que a una notificación física, con la eficiencia y velocidad que ofrece el entorno digital.

“Con esta alianza con Namirial reforzamos nuestro compromiso de ofrecer herramientas que fortalezcan la confianza digital de las organizaciones», señaló Néstor Markowicz, COO de CertiSur. “Hoy, las empresas necesitan no solo enviar información, sino asegurarse de que cada comunicación tenga respaldo legal y pueda ser auditada de manera simple y segura.”

La incorporación de los Servicios de Comunicaciones Certificadas al portfolio de CertiSur complementa su oferta integral de soluciones de ciberseguridad, que incluye la gestión y automatización de certificados digitales, la protección de marca en línea y herramientas avanzadas de autenticación y firma digital.

Con esta propuesta, CertiSur y Namirial buscan acompañar a empresas y organizaciones de todo tipo en su proceso de transformación digital segura, ofreciendo comunicaciones confiables, verificables y legalmente válidas en toda la región.

#arielmcorg #certisur #infosertec #namirial #PORTADA