Mientras los gobiernos y las industrias «se preparan» para la transición a la
criptografía poscuántica (PQC),
la tarea más urgente y fundamental del inventario criptográfico es
desarrollar una lista completa de estándares y protocolos que actualmente
dependen de la criptografía.
En retrospectiva, la decisión de los organismos de normalización de no
considerar seriamente el impacto de la adopción de la criptografía PQC
utilizada en los protocolos hasta después de que el NIST los estandarizara ha
costado años de valioso tiempo de migración.
Según el Global Risk Institute, existe una probabilidad de entre el 19% y el 34% de que en poco menos de 10 años exista un ordenador cuántico capaz de romper los principales sistemas criptográficos utilizados hoy en día en Internet. La UE ha establecido plazos para la transición a la criptografía cuántica segura: el despliegue comienza en 2026, finaliza en 2030 para casos de uso críticos y en 2035 para todos los sistemas restantes. Pero ¿es suficiente una hoja de ruta por sí sola? ¿Cómo pueden las empresas prepararse y avanzar? ¿Cómo deberían ser las políticas públicas y dónde encaja la Ley Cuántica? ¿Qué está haciendo América Latina con esto?
Muchos protocolos de diversas organizaciones de normalización ni siquiera han
sido examinados para evaluar el impacto de los nuevos algoritmos PQC. Este
paso es esencial porque los estándares tienen largos ciclos de revisión,
procedimientos de gobernanza complejos y dependencias intersectoriales
profundamente arraigadas.
Sin un mapeo preciso y fidedigno del panorama criptográfico dentro de los
estándares, los responsables políticos y los implementadores no pueden
desarrollar un plan de migración realista y coordinado.
Llamada a la acción
Cualquier persona con influencia sobre las organizaciones de normalización
debería animarlas a documentar la criptografía utilizada en sus estándares.
Esta documentación debería seguir un
formato de informe estandarizado, como un CBOM.
Idealmente, el inventario debería incluir, entre otros aspectos:
- Información del protocolo,
- La criptografía utilizada,
- Dependencias de otros estándares que contienen o definen criptografía,
- Un plazo realista para las versiones del estándar con seguridad cuántica.
Este tipo de inventario no es solo una referencia técnica; es una herramienta
política esencial. Proporciona a las estrategias nacionales, a los reguladores
sectoriales y a los operadores de infraestructuras críticas la transparencia
necesaria para planificar inversiones, coordinar dependencias y reducir la
incertidumbre sistémica. También garantiza que la migración en todo el
ecosistema de estándares se realice en paralelo, evitando cuellos de botella
que, de otro modo, retrasarían la adopción de la PQC más allá de los plazos
requeridos por las prioridades de seguridad nacional y resiliencia económica.
La era de la PQC exige un nuevo nivel de transparencia por parte de las
organizaciones de normalización. La creación de un inventario criptográfico
formal para estándares y protocolos es el paso más rápido y práctico para
disminuir la incertidumbre sistémica y garantizar que los esfuerzos de
migración en el gobierno y la industria estén sincronizados, sean rápidos y
alcanzables.
Fuente:
Michael Osborne