Descripción General
¿Qué es un Certificado de Firma de Código?
Un certificado de firma de código (Code Signing) es un certificado digital que permite a los desarrolladores y empresas de software firmar digitalmente sus aplicaciones, scripts, drivers, ejecutables y cualquier otro tipo de código. La firma criptográfica garantiza dos cosas fundamentales: que el código proviene de quien dice ser su autor, y que no ha sido modificado ni manipulado desde su firma.
¿Para qué sirve?
Cuando un usuario descarga o ejecuta un programa sin firma digital, Windows SmartScreen y otros sistemas de seguridad muestran advertencias como "Windows protegió tu PC" o "Publicador desconocido". Estas alertas generan desconfianza y provocan que muchos usuarios abandonen la descarga. Con un certificado de firma de código activo, tu software se ejecuta sin advertencias, protegiendo tanto la experiencia del usuario como la reputación de tu marca.
Además, la firma digital deja una huella criptográfica permanente que permite detectar cualquier modificación posterior al código — lo que es crítico para protegerse de ataques de cadena de suministro donde actores maliciosos alteran software legítimo.
¿Para qué tipo de archivos sirve?
- Ejecutables Windows (.exe, .dll, .sys, .cab)
- Instaladores (.msi, .msix, .appx)
- Scripts PowerShell y macros Office
- Drivers y aplicaciones de kernel
- Aplicaciones Java (.jar)
- Aplicaciones Android (.apk)
- Extensiones de navegador
- Firmware y software embebido
¿Quién lo necesita?
- Empresas de desarrollo de software
- Equipos de TI que distribuyen herramientas internas
- Fabricantes de dispositivos con firmware propio
- Desarrolladores de drivers y software de sistema
- Empresas que distribuyen software por canales de terceros
- Cualquier organización que quiera proteger su reputación de marca en la distribución de software
Tipos de Certificado de Firma de Código
Code Signing OV (Organization Validation)
El certificado OV valida la identidad legal de la organización. El nombre de tu empresa aparece en los cuadros de diálogo de seguridad de Windows cuando el usuario ejecuta el software, generando confianza inmediata. Es la opción estándar para la mayoría de empresas de software y equipos de desarrollo. Elimina las advertencias de "Publicador desconocido" y sustituye el nombre genérico por el nombre verificado de tu organización.
Code Signing EV (Extended Validation)
El certificado EV aplica el proceso de validación más riguroso disponible: verificación legal, operacional y física de la organización. Su principal ventaja frente al OV es que otorga reputación inmediata en Windows SmartScreen desde el primer uso — mientras que los certificados OV deben acumular historial de descargas para construir esa reputación progresivamente. Para software nuevo o que se distribuye a gran escala, el EV elimina por completo la advertencia de SmartScreen desde el primer día. Es el estándar requerido para firmar drivers de kernel en Windows 10 y versiones posteriores.
Almacenamiento obligatorio en token de hardware
Desde 2023, el CA/Browser Forum estableció como requisito obligatorio que las claves privadas de todos los certificados de firma de código — tanto OV como EV — deben almacenarse en un dispositivo de hardware criptográfico certificado (HSM o token USB). Esto significa que el certificado ya no puede descargarse como un archivo .pfx o .p12 e instalarse directamente en el servidor o equipo de desarrollo.
La clave privada reside permanentemente dentro del token, nunca puede ser exportada, y toda operación de firma debe realizarse físicamente con el token conectado. Este requisito existe porque las claves de firma robadas pueden usarse para distribuir malware firmado digitalmente — un vector de ataque con consecuencias devastadoras para la reputación del titular del certificado.
Los tokens aceptados deben cumplir con los estándares FIPS 140-2 Nivel 2 o superior, como los dispositivos SafeNet eToken, YubiKey FIPS, Thales Luna, o un HSM de red certificado. En PeruSecurity te acompañamos en la selección, configuración e inicialización del token apropiado para tu flujo de trabajo de firma.
Ventajas
Eliminación de advertencias de seguridad — Tu software se instala y ejecuta sin alertas de Windows SmartScreen, Microsoft Defender o antivirus de terceros que bloqueen la ejecución por publicador desconocido.
Protección de marca — El nombre de tu empresa aparece verificado en todos los cuadros de diálogo de seguridad. Los usuarios saben exactamente quién distribuye el software que están instalando.
Detección de manipulación — Cualquier modificación posterior al código — ya sea por un atacante, un intermediario malicioso o un error de transmisión — invalida la firma y alerta al sistema operativo y al usuario.
Protección contra ataques de cadena de suministro — La firma criptográfica garantiza que el software que llega al usuario final es exactamente el que tu equipo compiló y autorizó distribuir.
Reputación inmediata con EV — El certificado EV activa la reputación positiva en SmartScreen desde la primera descarga, sin necesidad de acumular historial. Crítico para software nuevo o de distribución masiva.
Compatibilidad con pipelines CI/CD — Los certificados de firma de código pueden integrarse en flujos de integración y entrega continua, automatizando la firma en cada build sin comprometer la seguridad de la clave privada.
