Hay una fecha que todo equipo de infraestructura debería tener marcada en rojo: 2029. Ese año, los certificados TLS dejarán de durar un año o más. Su vida útil máxima será de 47 días. Menos que un ciclo de sprint. Menos que el tiempo que tarda muchos equipos en revisar una renovación manual.
Y eso no es una predicción ni una propuesta: el CA/Browser Forum —el organismo que define los estándares globales de certificados digitales— ya lo aprobó. La transición es escalonada: en 2026 los certificados pasan a un máximo de 200 días. En 2027, 100 días. En marzo de 2029, 47 días. Noventa por ciento menos de duración respecto al modelo que la industria usó durante décadas.
Esta semana, Palo Alto Networks lanzó NGTS (Next-Generation Trust Security), su respuesta a este cambio regulatorio. Pero entender por qué importa requiere entender primero por qué llegamos aquí.
IA para el Resto de Nosotros
La nueva versión de mi curso estrella para aprender a usar la IA de forma práctica, simple y útil en tu día a día. Comienza el 24 de marzo.
→ Inscríbete hoy 🚀¿Por qué se acortan los certificados?
Un certificado digital es, en términos simples, el “pasaporte” que le dice a tu navegador que el servidor al que te estás conectando es quien dice ser. Cuando ese certificado expira o queda comprometido, la confianza digital se rompe: servicios caen, transacciones fallan, usuarios ven mensajes de error alarmantes.
Durante años, el modelo dominante fue: renueva una vez al año, gestiona manualmente, y reza para que nadie en tu equipo se olvide. Funcionaba porque los certificados eran pocos y el contexto era más simple. Hoy eso ya no aplica.
Hay tres fuerzas convergiendo que hacen que el modelo viejo sea insostenible:
1. Proliferación de servicios. Una empresa mediana puede tener cientos o miles de certificados activos: APIs, microservicios, dominios internos, instancias cloud, aplicaciones SaaS. Gestionarlos a mano es error-prone por definición.
2. Incidentes de certificados vencidos. No son raros. LinkedIn, Azure, Google, Spotify — todas han tenido outages causados por certificados que alguien olvidó renovar. El costo operacional y reputacional es real.
3. La amenaza post-cuántica. Los computadores cuánticos, cuando sean lo suficientemente potentes, podrán romper los algoritmos de criptografía que hoy protegen esos certificados. La industria está en transición hacia estándares post-cuánticos (como los aprobados por NIST en 2024), y esa migración requiere que los certificados sean ágiles, renovables y automáticos. No puedes hacer una transición post-cuántica si tus certificados duran un año y los gestionas en una hoja de cálculo.
El plazo de 47 días no es arbitrario: es el umbral que el CA/Browser Forum consideró suficientemente corto para minimizar la ventana de exposición ante una clave comprometida, pero suficientemente largo para no hacer la gestión imposible con automatización.
Qué hace NGTS de Palo Alto Networks
La plataforma que lanzó Palo Alto Networks hoy se posiciona como la primera solución “nativa de red” para gestión del ciclo de vida de certificados (CLM). La distinción importa: la mayoría de las herramientas de CLM operan en un silo. Saben que existe un certificado, pero no ven qué servicios lo usan, qué pasa cuando expira, ni tienen capacidad de enforcement a nivel de red.
NGTS integra inteligencia de identidad de máquinas de CyberArk con visibilidad a nivel de red, lo que permite:
- Descubrir certificados “sombra” — los que nadie sabe que existen hasta que expiran y causan un outage
- Automatizar la renovación antes de que afecte servicios, sin intervención humana
- Gestionar la transición hacia criptografía post-cuántica de forma gradual y trazable
- Centralizar la visibilidad de toda la infraestructura de confianza digital en un único panel
Anand Oswal, VP de AI & Network Security de la empresa, lo resumió sin ambigüedad: “Con el aumento de escala y velocidad, un enfoque manual ya no es viable.”
Emanuel Figueroa de IDC añadió el marco conceptual más útil: el modelo de “autenticarse una vez y asumir seguridad” ya no funciona. La confianza digital tiene que ajustarse tan rápido como el entorno que protege.
Por qué esto importa más allá de las grandes empresas
El instinto inicial es pensar que esto es un problema de Fortune 500. Y en parte lo es — las grandes corporaciones con miles de certificados son las más expuestas a outages catastróficos por renovaciones fallidas. Pero el impacto se extiende.
Para startups y equipos técnicos medianos, el cambio hacia 47 días en 2029 no es lejano. Tres años pasan rápido, especialmente cuando construir el proceso de automatización requiere tiempo de arquitectura, adopción de herramientas y cambio de hábitos operacionales. Las organizaciones que sigan con renovación manual en 2027 van a tener un problema serio en 2028.
Además, el cumplimiento regulatorio en sectores como fintech, salud y gobierno ya está empezando a exigir gestión automatizada de certificados como parte de las auditorías de seguridad. No tener visibilidad sobre tu inventario de certificados es una bandera roja en cualquier revisión de postura de seguridad.
Como hemos cubierto en descubre.ai, la brecha entre uso de IA en ciberseguridad y gobernanza real sigue siendo enorme. La gestión de certificados es exactamente el tipo de proceso donde esa brecha se manifiesta: muchos equipos confían en procesos manuales heredados que funcionaron en el pasado pero que no van a escalar hacia el nuevo régimen regulatorio.
La dimensión post-cuántica: el reloj que nadie está viendo
El componente más estratégico del lanzamiento de NGTS no es la automatización de renovaciones — es la preparación para criptografía post-cuántica. Y aquí la timeline se vuelve más urgente.
El vector de ataque llamado “harvest now, decrypt later” ya está activo: actores sofisticados capturan tráfico cifrado hoy para desencriptarlo cuando la capacidad cuántica lo permita. Eso significa que la información que transmites con los estándares actuales ya está siendo almacenada por quienes tienen los recursos para hacerlo.
Como cubrimos al analizar la doble amenaza cuántica e IA sobre activos digitales, la transición a estándares post-cuánticos requiere que los certificados sean ágiles: que puedan ser reemplazados rápidamente cuando cambia el algoritmo subyacente. Un sistema con certificados de un año gestionados manualmente no puede hacer esa transición de forma ordenada.
NGTS está construido con esa transición en mente. Y es uno de los primeros productos comerciales que integra explícitamente la “criptoagilidad” — la capacidad de cambiar algoritmos criptográficos rápidamente — como feature de producto, no como promesa de roadmap.
Por qué importa
El lanzamiento de NGTS es relevante no por lo que Palo Alto Networks hace, sino por lo que señala: la industria de ciberseguridad está pasando de gestionar la confianza como un proceso periódico a gestionarla como infraestructura continua.
La analogía correcta no es “renovar el pasaporte cada año”. Es más parecida a la gestión de llaves SSH o tokens de acceso: procesos que en entornos maduros están completamente automatizados porque la intervención humana es demasiado lenta e inconsistente para el ritmo que requiere la seguridad moderna.
Para los equipos que hoy gestionan certificados en hojas de cálculo o con recordatorios en el calendario: el cambio regulatorio que viene no va a perdonar el proceso manual. Y mientras más se espere para automatizar, más cara va a ser la transición.
La pregunta no es si hay que automatizar. Es con qué solución y cuándo empezar.
Fuentes
- PR Newswire — Palo Alto Networks lanza Next-Generation Trust Security
- SiliconAngle — La era agentiva: cómo Palo Alto Networks convierte la seguridad en habilitador de negocio
- CiberseguridadTIC — CA/Browser Forum aprueba reducir validez de certificados TLS a 47 días
- Ecosistema Startup — Automatización de certificados: la nueva apuesta de Palo Alto Networks
