Introducción: róbalo hoy, rómpelo en una década

La evolución digital es imparable y, aunque el ritmo puede variar, las cosas tienden a encajar más pronto que tarde. Eso, por supuesto, también se aplica a los adversarios. El auge del ransomware y la ciberextorsión generó financiación para un ecosistema delictivo complejo y altamente profesional. La era de la nube trajo consigo la disponibilidad general de cantidades casi infinitas de almacenamiento. Por lo tanto, no hay literalmente nada que impida a los delincuentes robar y traficar montones de datos, estén cifrados o no.

Los pacientes adversarios están empleando la estrategia de «cosechar ahora, descifrar después» (HNDL). Acumulan discretamente datos cifrados con la intención de descifrarlos más adelante mediante ordenadores cuánticos. Cualquier dato que requiera seguridad a largo plazo, como los secretos comerciales o los diseños clasificados, es vulnerable porque su vida útil sobrevivirá inevitablemente al cifrado actual. Por lo tanto, es crucial que las organizaciones comiencen a planificar su migración a PQC ahora, garantizando que los datos cifrados en la actualidad permanezcan protegidos contra futuros ataques de descifrado con tecnología cuántica.

El juego de la espera cuántica

La criptografía es la columna vertebral de la confianza digital, pero la inminente era de la computación cuántica amenaza sus cimientos.

Aprovechando la física cuántica, las máquinas cuánticas del futuro romperán sin esfuerzo los esquemas matemáticos de cifrado que protegen los datos en la actualidad. Prototipos actuales [1] todavía no lo han conseguido porque carecen fundamentalmente de la escala y la capacidad de corrección de errores necesarias para ejecutar con éxito algoritmos cuánticos complejos. Sin embargo, la perspectiva de un ordenador cuántico (CRQC) maduro y relevante desde el punto de vista criptográfico es alarmante. Es probable que una máquina de este tipo rompa el cifrado moderno en cuestión de minutos, probablemente entre 2030 y 2035.

Para combatir la amenaza inminente de la computación cuántica, nuestra criptografía debe evolucionar de inmediato. Por eso, la criptografía poscuántica (PQC) [2] se presenta como una solución. PQC proporciona nuevos algoritmos criptográficos diseñados para resistir los ataques de los ordenadores clásicos actuales y de las máquinas cuánticas del futuro.

Guía paso a paso para prepararse para el futuro con PQC

La migración de PQC es un proceso complejo que abarca toda la organización y, potencialmente, llega a lo más profundo de su arquitectura de seguridad. Esta transición masiva se complica debido al estado actual de la planificación de la industria. Todavía hay una falta de consenso en la literatura técnica sobre las medidas comunes o la terminología uniforme para las estrategias de migración. Sin un lenguaje común, a las empresas les resulta difícil comparar, adoptar o coordinar eficazmente las estrategias de migración más adecuadas.

Nuestra investigación concluye que la siguiente estrategia ofrece un marco efectivo y universal que se puede adaptar para adaptarse a cualquier organización. [3, 4, 5, 6, 7, 8, 9]

Security Navigator 2026 ya está aquí: descárguelo ahora

El recién lanzado Navegador de seguridad 2026 ofrece información crítica sobre las amenazas digitales actuales y documenta 139 373 incidentes y 19 053 infracciones confirmadas. Más que un simple informe, sirve como guía para navegar por un panorama digital más seguro.

¿Qué hay dentro?

  • 📈 Análisis en profundidad: estadísticas de CyberSOC, análisis de vulnerabilidades, Pentesting, CERT, Cy-X y observaciones de ransomware de la vigilancia de la Dark Net.
  • 🔮 Preparado para el futuro: equípese con predicciones de seguridad e historias sobre el terreno.
  • 🧠 Historias de profesionales de la seguridad de todo el mundo.
  • 👁️ Inmersiones en materia de seguridad: reciba información sobre las tendencias emergentes relacionadas con la IA generativa, la tecnología operativa y la criptografía poscuántica.

Manténgase un paso adelante en ciberseguridad. ¡Tu guía esencial te espera!

🔗 Obtenga su copia ahora

En esta etapa, es importante hacer hincapié en que se debe establecer un equipo de migración para cada migración. Este equipo debe estar formado por expertos en criptografía y ciberseguridad y administradores del sistema de software o la infraestructura que se está migrando. El equipo impulsará el proceso de migración y garantizará su finalización.

  • Paso 1 (Preparación): Esta fase establece el alcance y el liderazgo del proceso de migración de PQC. Las actividades clave incluyen evaluar la relevancia y la urgencia de PQC, nombrar a un líder del programa, alinear a las partes interesadas en torno a objetivos claros e iniciar conversaciones con los proveedores para determinar las necesidades de migración.
  • Paso 2 (Diagnóstico): Esta fase implica una evaluación exhaustiva de la postura actual de ciberseguridad para establecer una base de seguridad integral. Las actividades clave incluyen la documentación de todos los activos criptográficos, la categorización de los datos en función de su vida útil confidencial, la identificación de los proveedores de herramientas criptográficas para evaluar si están preparados para la PQC y la realización de una evaluación formal de riesgos para generar una lista de activos priorizada basada en principios como el teorema de Mosca [12] .
  • Paso 3 (Planificación): Una vez que se determinan la urgencia y el alcance, esta fase se centra en el «cómo» y el «cuándo». Se centra en la estrategia de migración, creando un plan empresarial y técnico integral y un cronograma basados en la urgencia y el alcance determinados en los pasos anteriores. Las actividades clave incluyen la designación de un administrador de migración dedicado a supervisar el proceso y la realización de una estimación integral de los costos de toda la migración.
  • Paso 4 (Ejecución): Esta fase crítica implica ejecutar el plan para establecer un entorno seguro desde el punto de vista cuántico mediante una implementación técnica cuidadosa. Las actividades clave incluyen mantener la compatibilidad con versiones anteriores mediante un enfoque criptográfico híbrido, implementar las primitivas de PQC recomendadas para el intercambio de claves y firmas, ajustar el tamaño de las claves e integrar la agilidad criptográfica para garantizar una adaptación rápida con una interrupción mínima del servicio.
  • Paso 5 (Supervisión y actualización continuas): Esta fase final se centra en la vigilancia continua después de la migración, reconociendo el dinámico panorama criptográfico. Entre las principales actividades figuran la revisión y actualización periódicas del inventario criptográfico, la realización de revisiones periódicas de las amenazas emergentes a los esquemas de PQC, la realización de auditorías de seguridad proactivas y evaluaciones de vulnerabilidad, y la actualización de los últimos avances en materia de PQC para garantizar las actualizaciones oportunas del sistema y del software.

Abordar los desafíos clave: una lista de verificación práctica

Para garantizar una migración exitosa de PQC, las organizaciones deben identificar y mitigar de manera proactiva los principales obstáculos que podrían obstaculizar el progreso. Deben reconocer que la transición implica sortear tres categorías de desafíos interdependientes.

  • Desafíos organizacionales: Estos obstáculos no técnicos se relacionan con las personas, la planificación estratégica, la gobernanza interna y la coordinación en todo el ecosistema, y a menudo se complican por la falta de urgencia o de personal calificado.
  • Desafíos de PQC: Estos se derivan directamente de la inmadurez de la nueva tecnología. Si bien ahora tenemos estándares iniciales, como ML-KEM, y su implementación en protocolos como TLS, la falta de estandarización de un conjunto completo de algoritmos y la incertidumbre a la hora de seleccionar y probar soluciones de PQC confiables siguen siendo obstáculos importantes. El principal problema es la falta de directrices de implementación específicas, por ejemplo, cómo implementar de manera eficaz los mecanismos de hibridación o agilidad.
  • Desafíos de código y documentación: Estos son obstáculos técnicos causados por la rigidez inherente de la infraestructura de TI existente (sistemas heredados), la necesidad de modificar ampliamente el código y la complejidad de implementar cambios criptográficos seguros.

A continuación se desglosan los principales obstáculos para una migración exitosa de PQC y se ofrecen soluciones para cada uno de ellos. Cada obstáculo se incluye en una de las categorías de desafíos previamente establecidas. Consulte las referencias [71] y [11] para un análisis más completo de los obstáculos adicionales.

  • Falta de urgencia y argumento comercial (organizacional):
    • Problema: La amenaza cuántica parece lejana, lo que dificulta establecer un sentido de urgencia y la aprobación del presupuesto por parte de los líderes.
    • Solución: Las organizaciones pueden usar herramientas como el teorema de Mosca [12] para cuantificar su vulnerabilidad y realizar un inventario de los activos criptográficos para mejorar la ciberseguridad actual, independientemente del cronograma cuántico.
  • Déficit interno de conocimientos y habilidades (organizacional):
    • Problema: Falta de conocimiento interno sobre las amenazas de base cuántica y escasez de personal calificado para implementar nuevas soluciones de PQC.
    • Solución: Lance iniciativas de capacitación para TI y administración. Contrate a consultores externos de PQC para diseñar la estrategia y la transferencia de conocimientos.
  • Gobernanza interna y planificación (organizacional):
    • Problema: La ausencia de una gobernanza de PQC y de un plan de transición totalmente articulado, lo que lleva a una priorización ineficaz de las tareas y a ineficiencias operativas.
    • Solución: Designe un administrador de migración de PQC o un comité directivo para que ordene un inventario criptográfico para la priorización de la migración basada en el riesgo.
  • Fallos del ecosistema y de la coordinación (organizacionales):
    • Problema: La falta de participación de los ecosistemas, la gobernanza poco clara y la colaboración limitada obstaculizan la transición del PQC.
    • Solución: Gestione de forma proactiva las relaciones con los proveedores y únase a los foros del sector para compartir conocimientos, colaborar e influir en el desarrollo de estándares.
  • Vacíos regulatorios (organizacionales):
    • Problema: Las regulaciones existentes (por ejemplo, NIS2 y DORA) exigen el uso de criptografía de última generación, mientras que las nuevas leyes específicas de PQC están pendientes.
    • Solución: Adopte los estándares PQC recientes de forma proactiva para que los sistemas críticos cumplan con el requisito de «vanguardia». Aproveche la certificación EUCC y supervise ETSI/OpenSSL para obtener orientación sobre la implementación.
  • Criterios de selección inciertos (PQC):
    • Problema: Las organizaciones luchan por decidir entre un enfoque híbrido integral o gradual para reemplazar la PQC, ya que carecen de criterios claros.
    • Solución: Utilice de forma predeterminada un modelo de PQC híbrido para obtener conocimientos operativos y minimizar las complicaciones antes de comprometerse con una estrategia de reemplazo total.
  • Preocupaciones de seguridad y confiabilidad (PQC):
    • Problema: Debido a la incertidumbre sobre la madurez y la seguridad de los algoritmos de PQC, las organizaciones deben equilibrar la protección actual y la resiliencia futura.
    • Solución: Utilice un enfoque de PQC híbrido con una implementación por etapas. Comience con las áreas no críticas antes de expandirse para garantizar que la solución sea estable y confiable.
  • Rigidez de los sistemas heredados (código y documentación):
    • Problema: Inflexibilidad de los sistemas heredados. Esto se agrava en los dispositivos con recursos limitados, como el IoT y las tarjetas inteligentes, que carecen de la memoria y la energía necesarias para usar claves PQC más grandes y realizar cálculos intensos.
    • Solución: Sustituya el hardware para adaptarse a las exigencias de PQC. Si esto no es posible, implemente bibliotecas PQC ligeras y optimizadas.
  • Interdependencia de los ecosistemas (código y documentación):
    • Problema: La naturaleza interconectada de la infraestructura de clave pública (PKI) significa que una transición de PQC afecta a todas las partes involucradas, incluidos los organismos de normalización, los proveedores de hardware y software y las autoridades de certificación (CA).
    • Solución: Colabore con proveedores y CA, participe en grupos industriales y reguladores (por ejemplo, NIST, CISA, ENISA, ETSI, ANSSI, NCSC y BSI) y mapee todas las dependencias de componentes de terceros.
  • Falta de componentes certificados y aprobados (código y documentación):
    • Problema: Disponibilidad limitada de componentes certificados (por ejemplo, HSM) de los proveedores, especialmente en sectores regulados como las finanzas y el gobierno.
    • Solución : Durante la adquisición, las organizaciones deben exigir la validación FIPS 140-3 o EUCC para el hardware compatible con PQC y, al mismo tiempo, iniciar la migración a nivel de software (por ejemplo, TLS/SSH) en paralelo.
  • Falta de agilidad (código y documentación):
    • Problema: Los sistemas actuales son criptográficamente inflexibles. Esto hace que la adaptación a las nuevas amenazas o a la evolución de los estándares sea lenta y compleja debido a la necesidad de realizar intrincados cambios en el código.
    • Solución: Priorice la agilidad criptográfica diseñando nuevos sistemas que permitan el intercambio de algoritmos mediante una configuración sencilla y un soporte centralizado de claves y certificados.

Conclusiones clave

  • Urgencia de la migración: ¡Actúa de inmediato! La fecha límite es ahora. Se acabó el tiempo de esperar al CRQC. Las organizaciones deben empezar a preparar y migrar sus datos de inmediato para garantizar la seguridad a largo plazo.
  • Establezca prioridades fundamentales: los esfuerzos estratégicos deben centrarse en desarrollar una estrategia clara y práctica para planificar y ejecutar la transición de PQC sin problemas.
  • Fomentar la colaboración unida : La transición del PQC exige un esfuerzo unificado para abordar el desafío de la seguridad colectiva. Esto requiere compartir activamente las lecciones aprendidas y colaborar entre las industrias, los gobiernos y el mundo académico.
  • Incorpore la criptografía híbrida y la agilidad criptográfica: La capacidad de combinar, modificar o intercambiar primitivas criptográficas de forma rápida y fluida debe adoptarse como la piedra angular de la nueva postura de seguridad para adaptarse a los futuros avances en los estándares de seguridad cuántica.
  • Reconozca los desafíos interdependientes: El éxito de cualquier migración de PQC depende de reconocer que la transición implica sortear varias categorías de desafíos interdependientes.

Este es solo un extracto de los muchos temas tratados en el Navegador de seguridad 2026 . Para obtener artículos más detallados sobre el uso y el abuso de la IA generativa, el hacktivismo y la ciberdelincuencia, la gestión de vulnerabilidades y la ciberextorsión, así como las estadísticas y predicciones de seguridad del CyberSOC, ¡deberías consultar el informe completo! Dirígete a la página de descargas y obtén una copia.

Referencias:

Nota: Este artículo fue escrito y contribuido de manera experta por Mohammed Meziani, consultor sénior de seguridad de Orange Cyberdefense.

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.