Recomendación de expertos: Prepárese para la PQC ahora mismo

Las computadoras cuánticas no estarán disponibles hasta dentro de una década. ¿Por qué preocuparse ahora? Un experto en criptografía lo explica.

Este artículo fue escrito con la experiencia de Mohammed Meziani, consultor sénior de seguridad de Orange Cyberdefense.

Introducción: Róbalo hoy, rómpelo en una década.

La evolución digital es imparable y, aunque el ritmo puede variar, las cosas tienden a encajar más pronto que tarde. Esto, por supuesto, también aplica a los adversarios. El auge del ransomware y la ciberextorsión generó financiación para un ecosistema criminal complejo y altamente profesional. La era de la nube trajo consigo la disponibilidad general de cantidades de almacenamiento casi infinitas. Por lo tanto, prácticamente nada impide que los delincuentes roben y trafiquen grandes cantidades de datos, estén cifrados o no.

Los adversarios pacientes están empleando la estrategia de "Recoger ahora, descifrar después" (HNDL - Harvest Now, Decrypt Later). Están acumulando datos cifrados silenciosamente con la intención de descifrarlos posteriormente mediante computadoras cuánticas. Cualquier dato que requiera seguridad a largo plazo, como secretos comerciales o diseños clasificados, es vulnerable porque su vida útil inevitablemente superará su cifrado actual. Por lo tanto, es crucial que las organizaciones comiencen a planificar su migración a PQC ahora, garantizando que los datos cifrados hoy permanezcan seguros contra futuros ataques de descifrado cuántico.

El juego de la espera cuántica

La criptografía es la columna vertebral de la confianza digital, pero la inminente era de la computación cuántica amenaza sus cimientos.

Aprovechando la física cuántica, las futuras máquinas cuánticas descifrarán sin esfuerzo los esquemas de cifrado matemático que protegen los datos actuales. Los prototipos actuales aún no están listos, ya que carecen de la escala y la capacidad de corrección de errores necesarias para ejecutar con éxito algoritmos cuánticos complejos. Sin embargo, la perspectiva de una computadora cuántica madura y criptográficamente relevante (CRQC) es alarmante. Una máquina así probablemente podría descifrar el cifrado moderno en cuestión de minutos, probablemente entre 2030 y 2035.

Para combatir la inminente amenaza de la computación cuántica, nuestra criptografía debe evolucionar de inmediato. Por eso se presenta la Criptografía Post-Cuántica (PQC) como solución. La PQC proporciona nuevos algoritmos criptográficos diseñados para resistir ataques tanto de las computadoras clásicas actuales como de las futuras máquinas cuánticas.

Guía paso a paso para la preparación futura con PQC

La migración de PQC es un proceso complejo que abarca toda la organización y potencialmente afecta a las profundidades de su arquitectura de seguridad. Esta transición masiva se ve complicada por el estado actual de la planificación del sector. Aún no existe consenso en la literatura técnica sobre los pasos comunes o la terminología uniforme para las estrategias de migración. Sin un lenguaje común, a las empresas les resulta difícil comparar, adoptar o coordinar eficazmente las estrategias de migración más adecuadas.

En esta etapa, es importante destacar que se debe formar un equipo de migración para cada migración. Este equipo debe estar compuesto por expertos en criptografía y ciberseguridad, así como por gerentes del sistema o infraestructura de software que se va a migrar. El equipo impulsará el proceso de migración y garantizará su finalización.

Paso 1 (Preparación): Esta fase establece el alcance y el liderazgo del proceso de migración de PQC. Las actividades clave incluyen evaluar la relevancia y la urgencia de PQC, nombrar un líder del programa, coordinar a las partes interesadas con objetivos claros e iniciar conversaciones con los proveedores para determinar las necesidades de migración.

Paso 2 (Diagnóstico): Esta fase implica una evaluación exhaustiva de la postura actual en ciberseguridad para establecer una línea base de seguridad integral. Las actividades clave incluyen documentar todos los activos criptográficos, categorizar los datos según su vida útil confidencial, identificar proveedores de herramientas criptográficas para evaluar su preparación para PQC y realizar una evaluación formal de riesgos para generar una lista priorizada de activos basada en principios como el teorema del Dr. Michele Mosca.

En pocas palabras, el Teorema del Mosca establece que si la suma del tiempo de migración y la vida útil de seguridad requerida de sus datos (X + Y) es mayor que los años restantes antes de que las computadoras cuánticas puedan descifrar su cifrado (Q), entonces está en problemas. En ese escenario, una organización ya ha agotado el tiempo, lo que significa que, a menos que se tomen medidas con anticipación, algunos datos confidenciales podrían quedar expuestos antes de que se implementen las nuevas defensas. Si X + Y es menor que Q, aún hay un margen de tiempo para la transición, pero este se cierra rápidamente a medida que se acerca Q.

Paso 3 (Planificación): Una vez determinados la urgencia y el alcance, esta fase se centra en el "cómo" y el "cuándo". Se centra en la estrategia de migración, creando un plan comercial y técnico integral y un cronograma basado en la urgencia y el alcance determinados en los pasos anteriores. Las actividades clave implican la designación de un gestor de migración dedicado para supervisar el proceso y realizar una estimación integral de los costos de toda la migración.

Paso 4 (Ejecución): Esta fase crítica implica la ejecución del plan para establecer un entorno cuántico seguro mediante una implementación técnica minuciosa. Las actividades clave incluyen mantener la retrocompatibilidad mediante un enfoque criptográfico híbrido, implementar las primitivas de PQC recomendadas para el intercambio de claves y firmas, ajustar el tamaño de las claves e integrar la agilidad criptográfica para garantizar una rápida adaptación con una interrupción mínima del servicio.

Paso 5 (Monitoreo y actualización continuos): Esta fase final se centra en la vigilancia continua tras la migración, reconociendo el panorama criptográfico dinámico. Las actividades clave incluyen la revisión y actualización periódica del inventario criptográfico, la realización de revisiones periódicas de las amenazas emergentes a los esquemas de PQC, la realización de auditorías de seguridad proactivas y evaluaciones de vulnerabilidades, y mantenerse al día sobre los últimos avances en PQC para garantizar actualizaciones oportunas del sistema y del software.

Abordando los desafíos clave: una lista de verificación práctica

Para garantizar una migración exitosa a PQC, las organizaciones deben identificar y mitigar de forma proactiva los obstáculos clave que podrían obstaculizar el progreso. Deben reconocer que la transición implica abordar tres categorías interdependientes de desafíos.

Desafíos organizacionales: Estos obstáculos no técnicos se relacionan con el personal, la planificación estratégica, la gobernanza interna y la coordinación en todo el ecosistema, a menudo complicados por la falta de urgencia o de personal cualificado.

Desafíos de PQC: Estos se derivan directamente de la inmadurez de la nueva tecnología. Si bien ya contamos con estándares iniciales, como ML-KEM y su implementación en protocolos como TLS, la falta de estandarización para un conjunto completo de algoritmos y la incertidumbre a la hora de seleccionar y probar soluciones de PQC fiables siguen siendo obstáculos importantes. El principal problema es la falta de directrices de implementación específicas, como la forma de implementar eficazmente la hibridación o los mecanismos de agilidad.

Desafíos de código y documentación: Estos son obstáculos técnicos causados ​​por la rigidez inherente de la infraestructura de TI existente (sistemas heredados), la necesidad de una amplia modificación del código y la complejidad de implementar cambios criptográficos seguros.

A continuación, se detallan los principales obstáculos para una migración exitosa de PQC y se ofrecen soluciones para cada uno. Cada obstáculo se enmarca en una de las categorías de desafío previamente establecidas. 

Falta de urgencia y justificación comercial (Organizacional):

Problema: La amenaza cuántica parece lejana, lo que dificulta establecer un sentido de urgencia y la aprobación presupuestaria por parte de la dirección.

Solución: Las organizaciones pueden utilizar herramientas como el Teorema de Mosca para cuantificar su vulnerabilidad y realizar un inventario de los activos criptográficos para mejorar la ciberseguridad actual, independientemente del cronograma cuántico.

Déficit interno de conocimientos y habilidades (Organizacional):

Problema: Falta de conocimiento interno sobre las amenazas cuánticas y escasez de personal cualificado para implementar nuevas soluciones de PQC.

Solución: Implementar iniciativas de formación para TI y la dirección. Contratar consultores externos de PQC para diseñar la estrategia y la transferencia de conocimientos. Gobernanza y planificación internas (organizacional):

Problema: Ausencia de gobernanza de PQC y de un plan de transición completamente articulado, lo que resulta en una priorización de tareas ineficaz e ineficiencias operativas.

Solución: Designar un gerente o comité directivo de migración de PQC para que gestione un inventario criptográfico para la priorización de la migración basada en riesgos.

Fallos del ecosistema y la coordinación (organizacional):

Problema: La falta de participación del ecosistema, una gobernanza poco clara y una colaboración limitada dificultan la transición de PQC.

Solución: Gestionar proactivamente las relaciones con los proveedores y participar en foros del sector para compartir conocimientos, colaborar e influir en el desarrollo de estándares.

Vacíos regulatorios (organizacional):

Problema: Las regulaciones existentes (p. ej., NIS2 y DORA) exigen el uso de criptografía de vanguardia mientras se aprueban nuevas leyes específicas de PQC.

Solución: Adoptar proactivamente los estándares recientes de PQC para que los sistemas críticos cumplan con el requisito de "vanguardia". Aproveche la certificación EUCC y supervise ETSI/OpenSSL para obtener orientación sobre la implementación.

Criterios de selección inciertos (CPI):

Problema: Las organizaciones tienen dificultades para decidir entre un enfoque integral o un enfoque híbrido por fases para reemplazar los CPI, ya que carecen de criterios claros.

Solución: Adoptar un modelo CPI híbrido para obtener conocimiento operativo y minimizar las complicaciones antes de comprometerse con una estrategia de reemplazo completa.

Preocupaciones de seguridad y confiabilidad (CPI):

Problema: Debido a la incertidumbre sobre la madurez y la seguridad de los algoritmos CPI, las organizaciones deben equilibrar la protección actual con la resiliencia futura.

Solución: Utilizar un enfoque CPI híbrido con una implementación por etapas. Comenzar con áreas no críticas antes de expandirse para garantizar la estabilidad y confiabilidad de la solución.

Rigidez de los sistemas heredados (código y documentación):

Problema: Inflexibilidad de los sistemas heredados. Esto se agrava en dispositivos con recursos limitados, por ejemplo, IoT y tarjetas inteligentes, que carecen de la memoria y la potencia necesarias para claves PQC de mayor tamaño y cálculos intensivos.

Solución: Reemplazar el hardware para adaptarlo a las demandas de PQC. Si esto no es factible, implementar bibliotecas PQC ligeras y optimizadas.

Interdependencia del ecosistema (Código y documentación):

Problema: La naturaleza interconectada de la Infraestructura de Clave Pública (PKI) implica que una transición a PQC afecta a todas las partes involucradas, incluyendo organismos de normalización, proveedores de hardware/software y autoridades de certificación (AC).

Solución: Colaborar con proveedores y AC, participar en grupos industriales y regulatorios (p. ej., NIST, CISA, ENISA, ETSI, ANSSI, NCSC y BSI) y mapear todas las dependencias de componentes de terceros.

Falta de componentes certificados y aprobados (Código y documentación):

Problema: Disponibilidad limitada de componentes certificados (p. ej., HSM) de los proveedores, especialmente en sectores regulados como el financiero y el gubernamental.

Solución: Durante la adquisición, las organizaciones deben exigir la validación FIPS 140-3 o EUCC para hardware compatible con PQC, mientras inician la migración a nivel de software (p. ej., TLS/SSH) en paralelo.

Falta de agilidad (código y documentación):

Problema: Los sistemas actuales son criptográficamente inflexibles. Esto hace que la adaptación a nuevas amenazas o a la evolución de los estándares sea lenta y compleja debido a la necesidad de realizar cambios complejos en el código.

Solución: Priorizar la agilidad criptográfica diseñando nuevos sistemas que permitan el intercambio de algoritmos mediante una configuración sencilla y un soporte centralizado de claves y certificados.

Puntos Clave

Urgencia de la Migración: ¡Actúe de inmediato! La fecha límite es ahora. El tiempo de espera para la CRQC ha terminado. Las organizaciones deben comenzar a preparar y migrar sus datos de inmediato para garantizar la seguridad a largo plazo.

Establecer Prioridades Fundamentales: Los esfuerzos estratégicos deben centrarse en desarrollar una estrategia clara y viable para planificar y ejecutar la transición a la PQC sin problemas.

Fomentar la Colaboración Unida: La transición a la PQC exige un esfuerzo unificado para abordar el desafío colectivo de seguridad. Esto requiere compartir activamente las lecciones aprendidas y colaborar entre industrias, gobiernos y el mundo académico.

Integrar la Criptografía Híbrida y la Agilidad Criptográfica: La capacidad de combinar, modificar o intercambiar primitivas criptográficas de forma rápida y fluida debe adoptarse como la piedra angular de la nueva postura de seguridad para adaptarse a los futuros avances en los estándares de seguridad cuántica.

Reconocer los Desafíos Interdependientes: El éxito de cualquier migración a la PQC depende de reconocer que la transición implica abordar varias categorías de desafíos interdependientes. Este es solo un extracto de los numerosos temas que se abordan en el Security Navigator 2026. Para obtener artículos más detallados sobre el uso y abuso de la IA generativa, el hacktivismo y el cibercrimen, la gestión de vulnerabilidades y la ciberextorsión, así como estadísticas de CyberSOC y predicciones de seguridad, ¡le recomendamos consultar el informe completo! Visite la página de descarga para obtener una copia.

Referencias:

• The Quantum Insider – Quantum Computing Roadmaps: A Look at the Maps and Predictions of Major Quantum Players
• cnlab – Post-Quantum Cryptography: A Comprehensive Guide
• ETSI – Migration Strategies and Recommendations for Quantum Safe Schemes
• NCSC – Timelines for Migration to Post-Quantum Cryptography
• Encryption Consulting – Enterprise Guide to PQC Migration
• NIST – Migration to Post-Quantum Cryptography: Preparation for Considering the Implementation and Adoption of Quantum Safe Cryptography
• arXiv – Identifying Research Challenges in Post Quantum Cryptography Migration and Cryptographic Agility
• CISA – Quantum-Readiness: Migration to Post-Quantum Cryptography
• BSI – Quantum-Safe Cryptography: Fundamentals, Current Developments and Recommendations
• Orange Cyberdefense – 8 Minutes to Stay in Control: Quantum and Security
• NXP – Post-Quantum Cryptographic Migration Challenges for Embedded Devices
• IEEE Security & Privacy – Cybersecurity in an Era with Quantum Computers: Will We Be Ready?

Suscríbete a nuestro Boletín