El ecosistema de la seguridad en Internet dio un giro inesperado en 2015 con la creación de Let’s Encrypt, una autoridad de certificación (CA) sin ánimo de lucro que trajo un nuevo enfoque al proceso de emisión de certificados digitales. Respaldada por nombres prominentes como Mozilla, Akamai, Cisco, IdenTrust y la Electronic Frontier Foundation (EFF), Let’s Encrypt se presentó al mundo con una promesa ambiciosa: “Es gratis, automatizado y abierto”. Apenas unos meses después de su lanzamiento oficial, Google Chrome se unió como patrocinador del proyecto, consolidando su posición como uno de los actores más influyentes en el mercado de certificados digitales.
Sin embargo, este fenómeno plantea interrogantes sobre la dependencia de la infraestructura crítica de Internet de entidades norteamericanas y su impacto global, especialmente en regiones como Europa.
La automatización: La clave del éxito de Let’s Encrypt
Uno de los mayores avances introducidos por Let’s Encrypt fue la automatización en la emisión de certificados. En 2019, el IETF (Internet Engineering Task Force) publicó el estándar RFC8555, que describe el protocolo Automatic Certificate Management Environment (ACME), desarrollado en gran parte por los mismos creadores de Let’s Encrypt. Este protocolo permite a los servidores web obtener, renovar y revocar certificados digitales de forma automática, eliminando las complejidades manuales y haciendo que la seguridad HTTPS sea más accesible para desarrolladores y empresas pequeñas.
Sin embargo, la automatización de Let’s Encrypt tiene una limitación significativa: sólo emite certificados de validación de dominio (DV, Domain Validation). Esto significa que garantiza que el solicitante controla el dominio, pero no verifica la identidad de la organización o persona detrás de él. Esto contrasta con los certificados QWAC (Qualified Website Authentication Certificates) regulados por el eIDAS europeo, que requieren un análisis más profundo de la identidad natural y jurídica del solicitante, respetando la idiosincrasia de cada país.
El crecimiento exponencial de Let’s Encrypt
Desde su salida de la beta en enero de 2016, Let’s Encrypt ha experimentado un crecimiento explosivo. A día de hoy, ha emitido miles de millones de certificados y se ha convertido en una de las CA más utilizadas en el mundo. En 2020, la organización comenzó a operar con su propia raíz de certificación, rompiendo parcialmente su dependencia de IdenTrust, que formaba parte del proyecto desde el principio. Esto también coincidió con un cambio en la distribución de certificados digitales a nivel mundial, donde Let’s Encrypt domina ampliamente el mercado.
Sin embargo, este crecimiento plantea desafíos para otras autoridades de certificación. Por ejemplo, Digicert, una de las pocas CA europeas relevantes, ha perdido cuota de mercado frente a competidores norteamericanos, mientras que las cifras de IdenTrust han disminuido debido a su relación histórica con Let’s Encrypt.
Europa: Un gigante digital con poca infraestructura propia
Europa es la tercera región económica más grande del mundo en número de usuarios de Internet, con 448 millones de habitantes y una penetración del 99%. Sin embargo, en el ámbito de las autoridades de certificación y otras infraestructuras críticas de la web, su papel es marginal. De las principales CA utilizadas globalmente, sólo Digicert tiene raíces europeas, y su cuota de mercado es significativamente menor que la de sus competidores estadounidenses.
El dominio norteamericano no se limita a las CA. Los navegadores web, la puerta de acceso a Internet para miles de millones de personas, también están bajo control extranjero. Solo dos navegadores europeos, Vivaldi y Mullvad, tienen cierta relevancia, mientras que Opera, antaño noruego, pasó a manos chinas en 2016. Incluso Mozilla, conocido por su transparencia y su modelo de código abierto, está profundamente influenciado por el punto de vista norteamericano, tanto en su gestión como en su financiación.
El impacto global del dominio norteamericano
La dependencia de infraestructuras norteamericanas en un ecosistema tan globalizado como Internet plantea riesgos tanto estratégicos como económicos. Controlar elementos clave como las CA, los navegadores y los protocolos de comunicación permite a Estados Unidos mantener una influencia significativa sobre cómo se garantiza la seguridad en la web. Además, este dominio dificulta la autonomía digital de regiones como Europa, que, a pesar de iniciativas como eIDAS, no ha logrado establecer alternativas competitivas en términos de infraestructura tecnológica.
El eIDAS, con su énfasis en los certificados cualificados como los QWAC, intentó sentar las bases para una regulación sólida y adaptada a la realidad digital europea. Sin embargo, el fracaso en la adopción de herramientas como los Nodos eIDAS y la falta de inversión en infraestructuras propias ha limitado su impacto, dejando el espacio abierto para proyectos más ágiles y globales como Let’s Encrypt.
Conclusión
Let’s Encrypt ha democratizado el acceso a la seguridad web con su enfoque gratuito, automatizado y abierto, lo que ha llevado a un auge en la adopción de certificados HTTPS en todo el mundo. Sin embargo, este éxito también pone de manifiesto la creciente dependencia de infraestructuras críticas de origen norteamericano. Europa, a pesar de ser un actor clave en términos de usuarios de Internet, sigue rezagada en la gestión de su propia infraestructura tecnológica.
La historia de Let’s Encrypt y el dominio de las CA estadounidenses subraya la necesidad de un enfoque más estratégico y coordinado por parte de Europa para proteger su soberanía digital y garantizar que la próxima generación de herramientas de seguridad web no dependa únicamente de actores extranjeros.
