De la PKI a la criptoagilidad: creación de un modelo de madurez para la confianza digital
La transformación digital ha incrementado drásticamente el número de identidades que las organizaciones deben proteger: usuarios, dispositivos, aplicaciones, API y cargas de trabajo. En el centro de este ecosistema de confianza se encuentra la Infraestructura de Clave Pública (PKI). Pero la PKI por sí sola ya no es suficiente. Tal y como se destaca en la perspectiva de Excedo sobre la confianza digital, la automatización de certificados se ha convertido en una necesidad empresarial, no solo en una mejora de TI. Con la reducción de la vida útil de los certificados y la rápida evolución de las amenazas, las organizaciones deben ir más allá de la gestión de certificados para alcanzar la criptoagilidad. Este blog explora qué significa la criptoagilidad, por qué es importante y cómo las organizaciones pueden evolucionar a través de un proceso de madurez estructurado.
La confianza digital empieza con la PKI: por qué la automatización de certificados es ahora una necesidad empresarial
La confianza digital es la base de toda interacción empresarial moderna, desde los servicios de atención al cliente hasta los sistemas internos y las integraciones con socios. En el núcleo de esta confianza se encuentran la Infraestructura de Clave Pública (PKI) y los certificados que protegen las comunicaciones y verifican las identidades. Sin embargo, a medida que los entornos digitales se vuelven más complejos y los ciclos de vida de los certificados se acortan cada vez más, muchas organizaciones siguen dependiendo de procesos de gestión manuales. Esto genera riesgos ocultos que pueden provocar interrupciones inesperadas, brechas de seguridad y trastornos operativos. Para los líderes empresariales, esto ya no es solo una preocupación técnica: es una cuestión de resiliencia, protección de los ingresos y mantenimiento de la confianza de los clientes. La automatización se está convirtiendo rápidamente en algo esencial para obtener el control, reducir el riesgo y garantizar la continuidad de las operaciones digitales.
La desregulación supera al registro: cómo las empresas británicas de 1 libra facilitan el abuso de los números de serie de aplicaciones (ASN) a gran escala
La ciberdelincuencia no crece porque los atacantes sean sofisticados. Crece porque la infraestructura de la que dependen es fácil de obtener, barata de mantener y aún más fácil de reemplazar. El sector ya ha aprendido esta lección en el ámbito de los dominios. Los controles de identidad deficientes permitieron abusos a gran escala. La respuesta fue clara: el simple bloqueo no funciona. El impacto real proviene de interrumpir la infraestructura en su origen. Ahora se repite el mismo patrón, pero un nivel más profundo. Los números de sistema autónomo (ASN) y las asignaciones de direcciones IP se utilizan cada vez más como base para una infraestructura de ciberdelincuencia resiliente. Y el punto de entrada no es técnico, es administrativo.
La interrupción es mejor que la inclusión en listas: por qué el cierre de dominios y la aplicación de la ley detienen la ciberdelincuencia en su origen
El phishing y el fraude habilitado por dominios no son «casos extremos» en el panorama actual de amenazas , sino que constituyen un punto de entrada principal. Los informes indican que el phishing sigue siendo el vector de intrusión inicial dominante en Europa, representando el 60 % de los casos en el período cubierto por el informe ENISA Threat Landscape 2025. En este contexto, la mayoría de las organizaciones siguen dependiendo en gran medida de controles pasivos: filtrado de correo electrónico, comprobaciones de reputación de URL y listas de abusos de terceros. Estos controles son importantes, pero no acaban con la amenaza. Señalan la infraestructura maliciosa, pero no la eliminan.
La nueva ley de ciberseguridad: lo que el sector público necesita saber
El 15 de enero de 2026 entrará en vigor la nueva Ley de Ciberseguridad de Suecia (SFS 2025:1506). La ley tiene por objeto alcanzar un alto nivel de ciberseguridad en la sociedad e incorpora la Directiva NIS 2 de la UE al Derecho sueco. Esto significa que muchas organizaciones se enfrentarán a requisitos más estrictos para mejorar su protección contra las amenazas cibernéticas. El Gobierno ha hecho hincapié en que los municipios y otras organizaciones también deben «intensificar sus esfuerzos» en materia de ciberseguridad, ya que la nueva ley endurecerá los requisitos para estos actores. En este artículo, resumo el objetivo de la ley, qué organizaciones del sector público se ven afectadas, las obligaciones clave (en particular en lo que respecta a las medidas de seguridad, la notificación de incidentes y la formación) y ofrezco orientación práctica antes de su entrada en vigor.
La Ley de Ciberseguridad: de la carga normativa a la ventaja competitiva
La próxima Ley de Ciberseguridad de Suecia, basada en la Directiva NIS2 de la UE, se describe a menudo como otra pesada carga para las organizaciones. Pero me gustaría cuestionar esa opinión. De hecho, esta ley podría marcar el comienzo de una nueva era: una en la que la ciberseguridad ya no sea una cuestión secundaria, sino una oportunidad estratégica y una clave para la competitividad.
La filtración de Miljödata revela deficiencias en la gestión de la seguridad y los requisitos de adquisición.
El 23 de agosto de 2025, el proveedor de TI Miljödata AB sufrió un grave ciberataque que inutilizó importantes sistemas de recursos humanos en más de 160 municipios suecos y varias regiones. Miljödata suministra el sistema de rehabilitación y recursos humanos Adato, que utilizan el 80 % de los municipios suecos. El ataque provocó el robo de datos personales de más de un millón de ciudadanos suecos, incluidos nombres, números de identificación personal, direcciones y datos de contacto, vinculados a empleados de municipios como Estocolmo, Gotemburgo, Linköping y otros.
Cloudflare y NIS2: riesgos que el sector público no puede permitirse ignorar
En nuestros artículos anteriores sobre Cloudflare hemos destacado cómo la infraestructura global de la empresa puede, paradójicamente, proteger a los ciberdelincuentes y cómo los propios procesos de Cloudflare se quedan cortos a la hora de hacer frente a los abusos. Hemos visto que las plataformas gratuitas de Cloudflare para páginas y scripts se utilizan ampliamente para el phishing y la propagación de malware, y que las denuncias de abusos suelen recibir rechazos automáticos en lugar de una acción rápida. Los críticos han señalado un «punto ciego» en Cloudflare: que el enorme alcance y el modelo de negocio de la empresa a veces prevalecen sobre la seguridad proactiva.
El punto ciego de Cloudflare en materia de abusos: cuando la escala prevalece sobre la seguridad
Cloudflare está detrás de uno de cada cinco sitios web, prometiendo velocidad y seguridad. Pero esa misma infraestructura esconde ahora una economía de phishing a escala industrial. Durante seis (6) meses, rastreamos más de 600 dominios fraudulentos falsos de tiquetesbaratos.com, muchos de ellos alojados en pages.dev o workers.dev, y dominios fraudulentos que aprovechaban los servicios DNS de proxy inverso de Cloudflare. Las denuncias de abuso recibieron la misma respuesta copiada y pegada: No se puede confirmar el phishing. Este artículo investiga por qué fallan los procesos de Cloudflare, cómo ese fallo alimenta a los delincuentes y qué deben hacer ahora los legisladores.
Navegando por el artículo 28 del NIS2 a mediados de 2025: la importancia del KYC para los registrantes de nombres de dominio
¿Qué hay de nuevo desde la guía básica de Excedo de octubre de 2024 sobre KYC para los registrantes de nombres de dominio? Por qué el artículo 28 sigue siendo importante.
Navegando por NIS2 y el artículo 28: la importancia del KYC para los registrantes de nombres de dominio
La Directiva NIS2 impone nuevos requisitos a los registradores de nombres de dominio para que obtengan información precisa sobre los solicitantes de registro, con el fin de minimizar el anonimato que facilita la ciberdelincuencia.
Seguridad del correo electrónico y NIS2: por qué el sector público necesita DMARC para cumplir con la normativa NIS2
Los requisitos de la Directiva NIS2 son amplios y abordan muchos aspectos diferentes de la seguridad digital, incluida la seguridad del correo electrónico. Para que las organizaciones cumplan con los estándares de seguridad del correo electrónico establecidos por NIS2, necesitan una política DMARC correctamente configurada.
Por qué Anycast DNS debería formar parte de su plan de implementación de NIS2
Anycast DNS proporciona la resiliencia en línea exigida por la Directiva NIS2. Garantiza que los recursos y servicios en línea estén siempre disponibles, incluso cuando se producen ataques, al proporcionar múltiples opciones de enrutamiento que permiten filtrar el tráfico malicioso.
Lo que hay que saber sobre la Directiva NIS2 en Suecia
La Directiva NIS2 aumentará los niveles de seguridad digital en toda la UE. Aunque su jurisdicción traspasa las fronteras, cada país tiene voz y voto en cómo se aplicarán los requisitos a nivel local y si desean ir más allá de los requisitos mínimos de seguridad establecidos por la NIS2.
Dirección corporativa
Jan Stenbecks torg 17
164 40 KISTA
SUECIA
Enlaces rápidos
Recursos
Sobre Nosotros
