Las computadoras cuánticas no estarán disponibles hasta dentro de una década.
¿Por qué preocuparse ahora? Un experto en criptografía lo explica.
Este artículo fue escrito con la experiencia de Mohammed Meziani, consultor
sénior de seguridad de Orange Cyberdefense.
Introducción: Róbalo hoy, rómpelo en una década.
La evolución digital es imparable y, aunque el ritmo puede variar, las cosas
tienden a encajar más pronto que tarde. Esto, por supuesto, también aplica a
los adversarios. El auge del ransomware y la ciberextorsión generó
financiación para un ecosistema criminal complejo y altamente profesional. La
era de la nube trajo consigo la disponibilidad general de cantidades de
almacenamiento casi infinitas. Por lo tanto,
prácticamente nada impide que los delincuentes roben y trafiquen grandes
cantidades de datos, estén cifrados o no.
Los adversarios pacientes están empleando la estrategia de «Recoger ahora,
descifrar después» (HNDL – Harvest Now, Decrypt Later). Están
acumulando datos cifrados silenciosamente con la intención de descifrarlos
posteriormente mediante computadoras cuánticas. Cualquier dato que requiera
seguridad a largo plazo, como secretos comerciales o diseños clasificados, es
vulnerable porque su vida útil inevitablemente superará su cifrado actual. Por
lo tanto,
es crucial que las organizaciones comiencen a planificar su migración a PQC
ahora, garantizando que los datos cifrados hoy permanezcan seguros contra
futuros ataques de descifrado cuántico.
El juego de la espera cuántica
La criptografía es la columna vertebral de la confianza digital, pero la
inminente era de la computación cuántica amenaza sus cimientos.
Aprovechando la física cuántica, las futuras máquinas cuánticas descifrarán
sin esfuerzo los esquemas de cifrado matemático que protegen los datos
actuales. Los
prototipos actuales aún no están listos, ya que carecen de la escala y la capacidad de corrección de errores
necesarias para ejecutar con éxito algoritmos cuánticos complejos. Sin
embargo, la perspectiva de una
computadora cuántica madura y criptográficamente relevante (CRQC)
es alarmante.
Una máquina así probablemente podría descifrar el cifrado moderno en
cuestión de minutos, probablemente entre 2030 y 2035.
Para combatir la inminente amenaza de la computación cuántica, nuestra
criptografía debe evolucionar de inmediato. Por eso se presenta la
Criptografía Post-Cuántica (PQC)
como solución.
La PQC proporciona nuevos algoritmos criptográficos diseñados para resistir
ataques tanto de las computadoras clásicas actuales como de las futuras
máquinas cuánticas.
Guía paso a paso para la preparación futura con PQC
La
migración de PQC
es un proceso complejo que abarca toda la organización y potencialmente
afecta a las profundidades de su arquitectura de seguridad.
Esta transición
masiva se ve complicada por el estado actual de la planificación del sector.
Aún no existe consenso en la literatura técnica sobre los pasos comunes o la
terminología uniforme para las estrategias de migración. Sin un lenguaje
común, a las empresas les resulta difícil comparar, adoptar o coordinar
eficazmente las estrategias de migración más adecuadas.
En esta etapa, es importante destacar que se debe formar un equipo de
migración para cada migración. Este equipo debe estar compuesto por expertos
en criptografía y ciberseguridad, así como por gerentes del sistema o
infraestructura de software que se va a migrar. El equipo impulsará el proceso
de migración y garantizará su finalización.
Paso 1 (Preparación): Esta fase establece el alcance y el liderazgo
del proceso de migración de PQC. Las actividades clave incluyen evaluar la
relevancia y la urgencia de PQC, nombrar un líder del programa, coordinar a
las partes interesadas con objetivos claros e iniciar conversaciones con los
proveedores para determinar las necesidades de migración.
Paso 2 (Diagnóstico): Esta fase implica una evaluación exhaustiva de la
postura actual en ciberseguridad para establecer una línea base de seguridad
integral. Las actividades clave incluyen documentar todos los activos
criptográficos, categorizar los datos según su vida útil confidencial,
identificar proveedores de herramientas criptográficas para evaluar su
preparación para PQC y realizar una evaluación formal de riesgos para generar
una lista priorizada de activos basada en principios como el
teorema del Dr. Michele Mosca.
En pocas palabras, el Teorema del Mosca establece que si la suma del tiempo de
migración y la vida útil de seguridad requerida de sus datos (X + Y) es mayor
que los años restantes antes de que las computadoras cuánticas puedan
descifrar su cifrado (Q), entonces está en problemas. En ese escenario, una
organización ya ha agotado el tiempo, lo que significa que, a menos que se
tomen medidas con anticipación, algunos datos confidenciales podrían quedar
expuestos antes de que se implementen las nuevas defensas. Si X + Y es menor
que Q, aún hay un margen de tiempo para la transición, pero este se cierra
rápidamente a medida que se acerca Q.
Paso 3 (Planificación): Una vez determinados la urgencia y el alcance,
esta fase se centra en el «cómo» y el «cuándo». Se centra en la estrategia de
migración, creando un plan comercial y técnico integral y un cronograma basado
en la urgencia y el alcance determinados en los pasos anteriores. Las
actividades clave implican la designación de un gestor de migración dedicado
para supervisar el proceso y realizar una estimación integral de los costos de
toda la migración.
Paso 4 (Ejecución): Esta fase crítica implica la ejecución del plan
para establecer un entorno cuántico seguro mediante una implementación técnica
minuciosa. Las actividades clave incluyen mantener la retrocompatibilidad
mediante un enfoque criptográfico híbrido, implementar las primitivas de PQC
recomendadas para el intercambio de claves y firmas, ajustar el tamaño de las
claves e integrar la agilidad criptográfica para garantizar una rápida
adaptación con una interrupción mínima del servicio.
Paso 5 (Monitoreo y actualización continuos): Esta fase final se
centra en la vigilancia continua tras la migración, reconociendo el panorama
criptográfico dinámico. Las actividades clave incluyen la revisión y
actualización periódica del inventario criptográfico, la realización de
revisiones periódicas de las amenazas emergentes a los esquemas de PQC, la
realización de auditorías de seguridad proactivas y evaluaciones de
vulnerabilidades, y mantenerse al día sobre los últimos avances en PQC para
garantizar actualizaciones oportunas del sistema y del software.
Abordando los desafíos clave: una lista de verificación práctica
Para garantizar una migración exitosa a PQC, las organizaciones deben
identificar y mitigar de forma proactiva los obstáculos clave que podrían
obstaculizar el progreso. Deben reconocer que la transición implica abordar
tres categorías interdependientes de desafíos.
Desafíos organizacionales: Estos obstáculos no técnicos se relacionan
con el personal, la planificación estratégica, la gobernanza interna y la
coordinación en todo el ecosistema, a menudo complicados por la falta de
urgencia o de personal cualificado.
Desafíos de PQC: Estos se derivan directamente de la inmadurez de la
nueva tecnología. Si bien ya contamos con estándares iniciales, como ML-KEM y
su implementación en protocolos como TLS, la falta de estandarización para un
conjunto completo de algoritmos y la incertidumbre a la hora de seleccionar y
probar soluciones de PQC fiables siguen siendo obstáculos importantes. El
principal problema es la falta de directrices de implementación específicas,
como la forma de implementar eficazmente la hibridación o los mecanismos de
agilidad.
Desafíos de código y documentación: Estos son obstáculos técnicos
causados por la rigidez inherente de la infraestructura de TI existente
(sistemas heredados), la necesidad de una amplia modificación del código y la
complejidad de implementar cambios criptográficos seguros.
A continuación, se detallan los principales obstáculos para una migración
exitosa de PQC y se ofrecen soluciones para cada uno. Cada obstáculo se
enmarca en una de las categorías de desafío previamente establecidas.
Falta de urgencia y justificación comercial (Organizacional):
Problema: La amenaza cuántica parece lejana, lo que dificulta
establecer un sentido de urgencia y la aprobación presupuestaria por parte de
la dirección.
Solución: Las organizaciones pueden utilizar herramientas como el
Teorema de Mosca para cuantificar su vulnerabilidad y realizar un inventario
de los activos criptográficos para mejorar la ciberseguridad actual,
independientemente del cronograma cuántico.
Déficit interno de conocimientos y habilidades (Organizacional):
Problema: Falta de conocimiento interno sobre las amenazas cuánticas y
escasez de personal cualificado para implementar nuevas soluciones de PQC.
Solución: Implementar iniciativas de formación para TI y la dirección.
Contratar consultores externos de PQC para diseñar la estrategia y la
transferencia de conocimientos. Gobernanza y planificación internas
(organizacional):
Problema: Ausencia de gobernanza de PQC y de un plan de transición
completamente articulado, lo que resulta en una priorización de tareas
ineficaz e ineficiencias operativas.
Solución: Designar un gerente o comité directivo de migración de PQC
para que gestione un inventario criptográfico para la priorización de la
migración basada en riesgos.
Fallos del ecosistema y la coordinación (organizacional):
Problema: La falta de participación del ecosistema, una gobernanza
poco clara y una colaboración limitada dificultan la transición de PQC.
Solución: Gestionar proactivamente las relaciones con los proveedores
y participar en foros del sector para compartir conocimientos, colaborar e
influir en el desarrollo de estándares.
Vacíos regulatorios (organizacional):
Problema: Las regulaciones existentes (p. ej., NIS2 y DORA) exigen el
uso de criptografía de vanguardia mientras se aprueban nuevas leyes
específicas de PQC.
Solución: Adoptar proactivamente los estándares recientes de PQC para
que los sistemas críticos cumplan con el requisito de «vanguardia». Aproveche
la certificación EUCC y supervise ETSI/OpenSSL para obtener orientación sobre
la implementación.
Criterios de selección inciertos (CPI):
Problema: Las organizaciones tienen dificultades para decidir entre un
enfoque integral o un enfoque híbrido por fases para reemplazar los CPI, ya
que carecen de criterios claros.
Solución: Adoptar un modelo CPI híbrido para obtener conocimiento
operativo y minimizar las complicaciones antes de comprometerse con una
estrategia de reemplazo completa.
Preocupaciones de seguridad y confiabilidad (CPI):
Problema: Debido a la incertidumbre sobre la madurez y la seguridad de
los algoritmos CPI, las organizaciones deben equilibrar la protección actual
con la resiliencia futura.
Solución: Utilizar un enfoque CPI híbrido con una implementación por
etapas. Comenzar con áreas no críticas antes de expandirse para garantizar la
estabilidad y confiabilidad de la solución.
Rigidez de los sistemas heredados (código y documentación):
Problema: Inflexibilidad de los sistemas heredados. Esto se agrava en
dispositivos con recursos limitados, por ejemplo, IoT y tarjetas inteligentes,
que carecen de la memoria y la potencia necesarias para claves PQC de mayor
tamaño y cálculos intensivos.
Solución: Reemplazar el hardware para adaptarlo a las demandas de PQC.
Si esto no es factible, implementar bibliotecas PQC ligeras y optimizadas.
Interdependencia del ecosistema (Código y documentación):
Problema: La naturaleza interconectada de la Infraestructura de Clave
Pública (PKI) implica que una transición a PQC afecta a todas las partes
involucradas, incluyendo organismos de normalización, proveedores de
hardware/software y autoridades de certificación (AC).
Solución: Colaborar con proveedores y AC, participar en grupos
industriales y regulatorios (p. ej., NIST, CISA, ENISA, ETSI, ANSSI, NCSC y
BSI) y mapear todas las dependencias de componentes de terceros.
Falta de componentes certificados y aprobados (Código y documentación):
Problema: Disponibilidad limitada de componentes certificados (p. ej.,
HSM) de los proveedores, especialmente en sectores regulados como el
financiero y el gubernamental.
Solución: Durante la adquisición, las organizaciones deben exigir la
validación FIPS 140-3 o EUCC para hardware compatible con PQC, mientras
inician la migración a nivel de software (p. ej., TLS/SSH) en paralelo.
Falta de agilidad (código y documentación):
Problema: Los sistemas actuales son criptográficamente inflexibles.
Esto hace que la adaptación a nuevas amenazas o a la evolución de los
estándares sea lenta y compleja debido a la necesidad de realizar cambios
complejos en el código.
Solución: Priorizar la agilidad criptográfica diseñando nuevos
sistemas que permitan el intercambio de algoritmos mediante una configuración
sencilla y un soporte centralizado de claves y certificados.
Puntos Clave
Urgencia de la Migración: ¡Actúe de inmediato! La fecha límite es
ahora. El tiempo de espera para la CRQC ha terminado. Las organizaciones deben
comenzar a preparar y migrar sus datos de inmediato para garantizar la
seguridad a largo plazo.
Establecer Prioridades Fundamentales: Los esfuerzos estratégicos deben
centrarse en desarrollar una estrategia clara y viable para planificar y
ejecutar la transición a la PQC sin problemas.
Fomentar la Colaboración Unida: La transición a la PQC exige un
esfuerzo unificado para abordar el desafío colectivo de seguridad. Esto
requiere compartir activamente las lecciones aprendidas y colaborar entre
industrias, gobiernos y el mundo académico.
Integrar la Criptografía Híbrida y la Agilidad Criptográfica: La
capacidad de combinar, modificar o intercambiar primitivas criptográficas de
forma rápida y fluida debe adoptarse como la piedra angular de la nueva
postura de seguridad para adaptarse a los futuros avances en los estándares de
seguridad cuántica.
Reconocer los Desafíos Interdependientes: El éxito de cualquier
migración a la PQC depende de reconocer que la transición implica abordar
varias categorías de desafíos interdependientes. Este es solo un extracto de
los numerosos temas que se abordan en el Security Navigator 2026. Para obtener
artículos más detallados sobre el uso y abuso de la IA generativa, el
hacktivismo y el cibercrimen, la gestión de vulnerabilidades y la
ciberextorsión, así como estadísticas de CyberSOC y predicciones de seguridad,
¡le recomendamos consultar el informe completo! Visite la página de descarga
para obtener una copia.
Referencias: