Certificados de firma de código para reforzar la seguridad de tu software

Como un candado para un cofre medieval

Casi cada semana, portales especializados en tecnologías digitales publican noticias relacionadas con ataques de softwares maliciosos que usualmente son instalados por los propios usuarios –sin saberlo– a través de la descarga de una aplicación o videojuego popular.

Por eso, si estás en el negocio de las apps o de ofrecer contenidos desarrollados por programadores profesionales, prestar atención a los certificados de seguridad es tu mejor alternativa para garantizar la confianza de usuarios y clientes.

En este artículo te contamos cómo los certificados de firma de código te ayudan a mantenerte a la vanguardia en el cuidado de tu propuesta digital y, por ende, de tu negocio.

¿Qué es un certificado de firma de código?

Un certificado de firma de código está diseñado para brindar a las aplicaciones móviles o de escritorio un nivel de seguridad superior al validar la autenticidad de las mismas. 

Image ALT: Ejemplo software verificado con certificado de código
Ejemplo de aviso de instalación de software certificado por Microsoft

Así, cada vez que quieras instalar una aplicación con firma de código válida, el sistema operativo te dirá quién es el desarrollador y quién la Autoridad Certificadora (CA en inglés) que avaló esa identidad.

Cabe señalar que la mayoría de los sistemas operativos modernos, incluido MacOS, sólo ejecutan aplicaciones con código firmado de manera predeterminada.

En concreto, hay tres formas en que los certificados de firma de código aumentan la confianza de los usuarios que descargan aplicaciones o código de tu página:

  1. Verifican la fuente del contenido. La firma de código muestra que el software o aplicación viene de una fuente específica, al mostrar el nombre del autor (“publisher” o “developer” en inglés). Así, cuando un usuario descarga un software cuya fuente no se reconoce, el sistema operativo o navegador mostrará un mensaje de “unknown publisher” o “unidentified developer” (autor desconocido), que alerta sobre los posibles efectos de descargar la información. 
Ejemplo app sin certificado de código
Ejemplo de alerta de una app de autor desconocido en MacOS
  1. Confirman la integridad del contenido. Con la firma de código, el usuario comprueba que el programa que se le pide instalar no ha sido modificado o alterado, con lo cual se descarta la presencia de algún virus informático que pueda causar estragos.
  2. Validan futuras actualizaciones de software. Si el desarrollador publica una actualización de su programa o app en su plataforma, la firma vuelve a dar confianza al usuario de que se trata de una optimización o mejora del programa ejecutable.

Ejemplo de uso de un certificado de firma de código

Supongamos que tienes una tienda en línea y que tienes la idea de desarrollar una plataforma especial para vender tus productos, y aceptar pagos, todo desde el celular. Digamos que tu aplicación se llamará eCommercePay

Una vez que has completado las pruebas para garantizar que tu app funciona bien, entonces procedes a validarla usando un certificado de firma de código y a “colgarla” en tu página web. 

Siguiendo el ejemplo, ecommercepay.apk sería el probable nombre de archivo descargable para tu app en el sistema Android.

Finalmente, y al descargar el archivo ejecutable de instalación, tus clientes potenciales podrán darse cuenta de que tu app viene identificada como desarrollada por tu empresa, y verificada por la CA por lo que la instalarán con confianza. Asimismo, en el proceso sabrán que ningún pirata informático ha alterado la firma digital.

Importancia de las autoridades certificadoras (CA)

Cabe reiterar que todo certificado de firma de código debe ser avalado por autoridades certificadoras, que son organizaciones competentes y acreditadas para emitir las firmas digitales a empresas o personas físicas cuya identidad ha sido comprobada como legal y existente. 

Algunas de las CA más reconocidas a nivel mundial son Comodo, Symantec y Thawte.

Para el caso de desarrolladores independientes, la CA usualmente destina plataformas de autoservicio para emitir la firma digital, en las que el usuario sube sus archivos y datos, y el sistema los verifica automáticamente. Cuando se trata de grandes compañías de software, la autoridad puede requerir el envío de documentos por correo.   

También es de hacer notar que los certificados se verifican utilizando una cadena de validación cruzada, es decir, no es que una sola CA los certifique. Por ejemplo, para controladores de hardware del sistema Windows, un proveedor de firmas digitales como GoDaddy las verifica directamente con la CA de Microsoft. 

En resumen, cada certificado queda vinculado a la autoridad que lo emitió. Así, para estar seguro de que éste es válido y no ha sido alterado por nadie, solamente tienes que seguir la ruta del autor y llegar hasta la CA.

Ejemplo de certificado de firma código válido
Ventana de información de una firma de código válida

Por todo lo anterior, te recomendamos acercarte a los expertos en seguridad web de GoDaddy para que te ayuden a obtener el certificado de firma de código que más convenga a tu proyecto digital, y así no caigas en manos de algún delincuente informático disfrazado de CA que te quiera vender una firma digital apócrifa.

Recuerda que una app o software que muestra la advertencia de “unidentified publisher” puede que nunca sea instalada por los usuarios, lo que te haría perder grandes oportunidades de negocio. No dudes en protegerte con este tipo de certificaciones.

Relacionado: Certificados de firma de código para transacciones comerciales.