Certificado CODE Signing
Un certificado CODE, oficialmente certificado Code Signing, es un certificado digital utilizado para firmar aplicaciones, scripts, controladores y otro software distribuido por internet. La firma digital demuestra quién publicó el software y garantiza que el código no ha sido alterado desde que se firmó. Veamos los certificados CODE en detalle.
Contenido del artículo
- ¿Qué es un certificado CODE?
- ¿Cómo funciona la firma de código?
- ¿Por qué firmar su software?
- Tipos de certificados CODE
- Certificados CODE y Windows SmartScreen
- Cloud Code Signing
¿Qué es un certificado CODE?
Un certificado Code Signing es un certificado digital emitido a un editor de software – una empresa o un desarrollador individual – por una autoridad de certificación (CA) de confianza. Mientras que un certificado SSL/TLS protege la comunicación entre el navegador y el servidor web, un certificado CODE protege el propio software. El desarrollador lo utiliza para añadir una firma digital a archivos ejecutables, instaladores, scripts, macros, controladores o firmware antes de distribuirlos.
La autoridad de certificación emite un certificado CODE solo después de verificar la existencia de la empresa o la identidad del desarrollador. Gracias a esta validación, la firma identifica claramente al editor, y tanto el usuario como el sistema operativo pueden estar seguros de que el software es auténtico y no ha sido modificado de ninguna manera durante la distribución (Code signing – wiki).
¿Cómo funciona la firma de código?
La firma de código se basa en la criptografía asimétrica, el mismo principio que utilizan los certificados SSL. El desarrollador posee un par de claves: una clave privada y una clave pública. Al firmar, se crea una huella digital única (hash) del archivo de la aplicación y se cifra con la clave privada del desarrollador. El resultado, junto con el certificado, se adjunta al archivo como firma digital.
Cuando un usuario descarga la aplicación, el sistema operativo verifica la firma: descifra la huella con la clave pública del certificado y la compara con la huella real del archivo. Si coinciden, el código está intacto y proviene del editor indicado en el certificado. Si se ha cambiado aunque sea un solo byte de la aplicación, la verificación falla y el sistema advierte al usuario.
El software sin firmar es hoy prácticamente imposible de distribuir. Los mecanismos de seguridad de Microsoft como Defender SmartScreen y Smart App Control bloquean sin contemplaciones las aplicaciones descargadas sin firmar y advierten a los usuarios contra su ejecución. Un certificado CODE es, por tanto, una herramienta esencial para toda empresa de software y todo desarrollador.
Firmar el código no modifica el software en sí. Solo añade la firma digital al archivo ejecutable. Una parte importante de la firma es el sello de tiempo (timestamp), que demuestra que el código se firmó mientras el certificado era válido. Una firma con sello de tiempo sigue siendo de confianza incluso después de que el propio certificado caduque.
¿Por qué firmar su software?
Todo editor de software que distribuye código o contenido por internet necesita un certificado CODE. El código distribuido dentro de una empresa a través de la intranet también debería firmarse debido a las políticas de sistemas operativos como Windows y macOS. Todos los sistemas modernos prefieren el código firmado para proteger a los usuarios y evitar la propagación de software malicioso.
Ventajas de un certificado CODE
- Demuestra la identidad del editor del software
- Garantiza la integridad del código: el software no ha sido alterado
- Elimina las advertencias de "Editor desconocido" durante la instalación
- Protege su nombre y su marca frente al uso indebido en software falsificado
- Aumenta la confianza de los usuarios, las descargas y las ventas
- Funciona para aplicaciones de Windows y macOS
Lo que un certificado CODE no hace
- No cifra la aplicación ni sus datos
- No garantiza que el código esté libre de errores
- No sustituye a un certificado SSL para su sitio web
- No genera reputación en SmartScreen de forma instantánea
Tipos de certificados CODE
Los certificados CODE se diferencian por el nivel de validación del editor. A diferencia de los certificados SSL, no existe una variante con validación de dominio: la autoridad de certificación siempre verifica al solicitante.
Standard Code Signing (OV)
El certificado Code Signing estándar con validación de organización (OV) se emite a empresas y organizaciones. La autoridad de certificación verifica la existencia de la empresa en los registros públicos, su dirección y la autorización del solicitante. La firma muestra entonces el nombre verificado de la empresa como editor (CN).
El certificado CODE más vendido hoy en día es el certificado Cloud CODE de la autoridad de certificación Certum.
Code Signing para particulares
Los desarrolladores independientes sin empresa registrada pueden obtener un certificado Code Signing para desarrollador individual. La autoridad de certificación verifica la identidad del desarrollador mediante un documento de identidad. La firma muestra entonces el nombre verificado del desarrollador como editor. Este certificado CODE tiene propiedades idénticas al Standard Code Signing
EV Code Signing
Los certificados EV Code Signing ofrecen el nivel más alto y ampliado de validación de la empresa (Extended Validation). Son necesarios para firmar controladores en modo kernel y componentes del sistema para Microsoft Windows. Están destinados principalmente a desarrolladores de hardware, desarrolladores de software de sistema y organizaciones que requieren el máximo nivel de validación de la empresa.
Certificados CODE y Windows SmartScreen
Microsoft Defender SmartScreen es una tecnología basada en la reputación que protege a los usuarios de Windows al descargar archivos de internet. Si una aplicación no tiene suficiente reputación, SmartScreen muestra una advertencia antes de ejecutarla, incluso si la aplicación está firmada. La reputación se construye con el número de instalaciones y está vinculada no solo al propio software, sino también al certificado Code Signing utilizado para la firma.
Una vez establecida la reputación y cuando las instalaciones pasan SmartScreen automáticamente, las nuevas versiones de la aplicación pueden firmarse con el mismo certificado CODE y todo funciona sin problemas. Sin embargo, al usar un certificado nuevo o renovado, la reputación debe construirse de nuevo.
En el pasado, los certificados EV Code proporcionaban una reputación instantánea en SmartScreen. Tras las actualizaciones de seguridad de Windows publicadas en la primavera de 2026, Microsoft cambió sus políticas y ahora trata los certificados EV Code de forma similar a los certificados OV estándar: la reputación también debe construirse para los certificados EV Code Signing. Encontrará más detalles en la página Filtro Windows SmartScreen.
Cloud Code Signing
Dado que la clave privada de un certificado CODE debe almacenarse en hardware certificado, las autoridades de certificación tradicionalmente enviaban los certificados en tokens USB físicos. Cloud Code Signing elimina esta complicación: la clave privada se genera y almacena en la infraestructura HSM segura de la autoridad de certificación, y el desarrollador firma el código de forma remota, desde cualquier lugar, inmediatamente después de la emisión del certificado y sin esperar la entrega de un token.
Según los requisitos del CA/Browser Forum, la clave privada de un certificado CODE debe almacenarse en hardware certificado (un token físico o un módulo HSM). Por eso, los certificados CODE modernos se emiten principalmente como certificados en la nube, donde la clave se guarda de forma segura en el HSM de la autoridad de certificación y el desarrollador firma de forma remota, sin envío de tokens y sin hardware que gestionar.
Un ejemplo típico es el servicio Certum SimplySign, en el que la firma se autoriza mediante una aplicación móvil y funciona con herramientas estándar como Microsoft SignTool. Algunos certificados Cloud CODE pueden integrarse en pipelines de compilación CI/CD, lo que los convierte en una opción práctica y rentable para los desarrolladores de hoy.
Certificados CODE en el proyecto SSLmentor
En nuestro sitio web encontrará certificados CODE Signing de confianza de las autoridades de certificación de confianza mundial DigiCert, Sectigo y Certum. Para la mayoría de los desarrolladores recomendamos los certificados Cloud Code de la autoridad de certificación europea Certum, que ofrecemos al mejor precio del mercado.
¿Dónde continuar?
Volver a Ayuda
¿Encontraste un error o no entiendes algo? ¡Escríbenos!
