Instalar el certificado digital en el ordenador: ¿recomendable en empresas?

La respuesta a esta pregunta es clara: no es recomendable. En el ámbito particular, para aquel usuario que utiliza su certificado con el fin de realizar trámites en nombre propio, no le queda otra opción que instalarlo en su equipo personal (o en el móvil o tablet). Por supuesto, su acceso debe limitarse exclusivamente al titular, sin alojar copias en dispositivos ajenos.

En cambio, en entornos empresariales este enfoque cambia radicalmente. Al tratarse de un activo clave en las compañías, sus casos de uso se expanden cada vez más y su volumen crece —durante 2025 la FNMT emitió más de 1,5 millones de certificados—. Su distribución en los dispositivos corporativos, bajo ningún tipo de control, se convierte en una práctica insegura.

En este artículo analizamos los principales riesgos a los que se exponen las compañías cuando instalan los certificados en los equipos de los empleados. Además, explicamos por qué, en su lugar, su custodia en un repositorio centralizado se posiciona como la mejor alternativa.

Riesgos de instalar certificados en ordenadores de empresa

Los inconvenientes de esta práctica residen en sus consecuencias. En el ámbito corporativo, cuando un certificado digital se instala en el ordenador del empleado, pasa a estar bajo su control. Esta situación deriva en diversos riesgos de seguridad y trazabilidad para las compañías, que se agravan cuanto mayor es el número de dispositivos donde un mismo certificado se almacena.

Accesos no autorizados

Cuando los certificados se alojan en un ordenador, por ejemplo en entornos Windows, cabe la opción de que sean accesibles para cualquier usuario que inicie sesión en él. En puestos de trabajo compartidos, esto permite que distintos empleados utilicen un mismo certificado, incluso si no poseen los privilegios suficientes o roles adecuados para ello.

Este y otros escenarios donde el acceso a los certificados es ilimitado pueden dar pie a usos indebidos (accidentales o intencionados), con repercusiones para la organización, como errores a la hora de ejecutar trámites o la exposición de un certificado. Según un estudio de KeepnetLabs, el 82% de las brechas de datos involucran al factor humano: ya sea por error, uso indebido o manipulación mediante ingeniería social.

Además, si el certificado no está debidamente protegido, una brecha de seguridad o un ciberataque puede provocar que quede comprometido o indisponible, interrumpiendo la continuidad de la actividad. A todo ello, se suman las consecuencias reputacionales y financieras asociadas a estos hechos.

Exportación de la clave privada

La exportación de la clave privada no tiene otro objetivo que instalar el certificado en otro ordenador diferente del que se encuentra alojado originalmente. Y en algunos casos, este nuevo dispositivo al que se importa es de uso personal, ajeno a la red corporativa.

Al ocurrir esto, la pérdida de visibilidad y control sobre el certificado aumenta exponencialmente. Si, además, el empleado abandona la empresa y el certificado continúa instalado en su dispositivo personal, el riesgo incrementa: la compañía no puede deshabilitar el acceso al certificado ni impedir su uso por parte dicho usuario.

Ausencia de trazabilidad

Existen grandes dificultades para establecer una trazabilidad sobre los certificados. Especialmente en entornos altamente distribuidos, donde conocer la ubicación exacta de cada certificado, quién los utiliza y con qué finalidad se convierte en un auténtico desafío. Como consecuencia, ante una acción que pueda comprometer a la organización (trámite o gestión erróneo, por ejemplo), resulta imposible acogerse a la garantía del no repudio, al no poder encontrar evidencias del uso que se ha llevado a cabo.

A esta situación se añade la falta de visibilidad sobre las caducidades, un aspecto crítico en organizaciones con un gran número de certificados activos. La ausencia de supervisión de estos plazos puede derivar en su expiración y, con ello, la paralización de trámites y operaciones clave para la organización.

Cuanto mayor es el número de dispositivos en los que se encuentra instalado un mismo certificado, mayor es la probabilidad de que se extravíe, se realicen copias no autorizadas o sea comprometido por un ciberatacante.

Esta distribución de los certificados en los equipos también provoca ineficiencia operativa, al aumentar la carga de trabajo sobre los equipos IT. Cualquier acción relacionada con un certificado debe replicarse en todos aquellos dispositivos donde está instalado (o se vaya a instalar). Esto, además, impide que el departamento se concentre en otras áreas estratégicas del negocio.

Por último, no debemos de olvidar la estrecha relación entre inseguridad e incumplimiento normativo. En empresas de sectores sujetos a una estricta regulación —como banca, sanidad o administración pública, entre otros— la gestión óptima de estos activos esenciales es una prioridad. Especialmente, si no quieren verse envueltas en sanciones administrativas o económicas que acaben con pérdidas en el negocio.

Ventajas de almacenar los certificados en un repositorio centralizado

La instalación de los certificados en un repositorio independiente y cifrado es la mejor alternativa para las empresas que desean eludir la falta de control y seguridad asociadas a su alojamiento en los dispositivos corporativos.

Además de mitigar estos inconvenientes, el almacenamiento de los certificados en este repositorio trae consigo otras ventajas adicionales:

Automatización del proceso de instalación. El certificado se carga una única vez en el servidor central y solo los usuarios autorizados pueden acceder a él. La carga de trabajo del equipo de IT y Sistemas se reduce significativamente al agilizarse el proceso.
Acceso remoto y flexibilidad. Los certificados se pueden utilizar desde cualquier ubicación o dispositivo, facilitando la movilidad.
Mayor control empresarial. Los certificados no están en posesión de los empleados, evitando exportaciones no autorizadas de claves privadas y copias para importarlos en otros equipos.
Aumento de la seguridad. Al estar alojados fuera de los dispositivos, no se ven afectados por fallos o vulnerabilidades de seguridad que puedan surgir.
Cumplimiento normativo. La gestión adecuada y control de los accesos a los certificados evita su exposición a terceros no deseados, garantizando un uso seguro y conforme a la legislación vigente.

Instalación de certificados en Redtrust

La instalación de los certificados digitales en Redtrust garantizan su almacenamiento seguro y el control total por parte de la empresa. Se trata de un proceso sencillo y fluido, que recae en el administrador -o administradores- de la herramienta dentro de la organización.

La importación de un gran número de certificados a la vez, en lugar de subirlos individualmente, es una de las acciones diferenciales que agilizan el proceso. Junto a esta destaca la posibilidad de emitir certificados de diferentes Autoridades de Certificación desde la propia consola, generados directamente en el servidor y evitando importaciones posteriores.

Independientemente del tipo de certificado almacenado, su uso es transparente para el empleado, tal y como si estuviera instalado en el almacén de certificados del equipo. Y una vez los certificados se alojan en Redtrust, recomendamos su eliminación en local, acabando de raíz con los problemas de una distribución no segura y un posible uso fraudulento o erróneo en el futuro.

Consulta nuestra documentación técnica para conocer el proceso de subir certificados a Redtrust, configuraciones básicas y acciones rápidas disponibles.

Más info

Gestión centralizada de certificados: un ‘must’ empresarial

Sumado a las ventajas analizadas anteriormente, la custodia de los certificados en Redtrust permite aprovechar al máximo los beneficios de la gestión centralizada, que se potencian en entornos con un gran volumen de activos y usuarios que los utilizan:

Limitación del acceso y de uso de los certificados: por usuarios específicos, departamentos o equipos de empleados, gracias a la configuración de políticas de uso. Es posible habilitar o deshabilitar el acceso a los certificados con solo un par de clics.
Administración del ciclo de vida: se obtiene una visibilidad total de las caducidades de los certificados —simplificando su gestión—, con la posibilidad de crear avisos para evitar su expiración.
Seguimiento de los usos de cada certificado: mediante la creación automática de evidencias para cada acción o de alertas que reporten dichos usos.

Con este abanico de beneficios sobre la mesa, Redtrust se convierte en la solución corporativa ideal para gestionar y controlar la identidad digital, desde una única plataforma.

Si en tu compañía aún se instalan los certificados en local, contacta con nuestro equipo para ver una demo y cambia esta tendencia.

Cookie	Duración	Descripción
__hssrc	session	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
_lfa	2 years	This cookie is set by the provider Leadfeeder to identify the IP address of devices visiting the website, in order to retarget multiple users routing from the same IP address.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analiticas	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Analytics".
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Analytics" category.
cookielawinfo-checkbox-funcionales	1 year	Set by the GDPR Cookie Consent plugin to store the user consent for cookies in the category "Functional".
cookielawinfo-checkbox-functional	1 year	The GDPR Cookie Consent plugin sets the cookie to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie stores user consent for cookies in the category "Others".
cookielawinfo-checkbox-publicidad	1 year	Set by the GDPR Cookie Consent plugin to store the user consent for cookies in the category "Advertising".
cookielawinfo-checkbox-rendimiento	1 year	Set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the "Performance" category .
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.

Cookie	Duración	Descripción
_lfa_test_cookie_stored	past	No description
AnalyticsSyncHistory	1 month	No description
cookielawinfo-checkbox-necessary-esp	1 year	No description
li_gc	2 years	No description
VISITOR_PRIVACY_METADATA	5 months 27 days	Description is currently not available.

Cookie	Duración	Descripción
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
li_sugr	3 months	LinkedIn sets this cookie to collect user behaviour data to optimise the website and make advertisements on the website more relevant.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duración	Descripción
__hstc	session	This is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_*	1 year 1 month 4 days	Google Analytics sets this cookie to store and count page views.
_gat_gtag_UA_*	1 minute	Google Analytics sets this cookie to store a unique user ID.
_gat_gtag_UA_325566_2	1 minute	Set by Google to distinguish users.
_gat_UA-*	1 minute	Google Analytics sets this cookie for user behaviour tracking.n
_gat_UA-325566-2	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
hubspotutk	session	HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.
ln_or	1 day	Linkedin sets this cookie to registers statistical data on users' behaviour on the website for internal analytics.

Cookie	Duración	Descripción
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__hssc	session	HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.