El tiempo corre. A medida que avanza la computación cuántica, ahora es el momento de prepararse para la criptografía post-cuántica, o PQC.
Para estar preparadas, las organizaciones deben contar con un plan de transición que incluya las aportaciones y el apoyo de toda la empresa. Adelantarse a la deuda técnica y mantenerse al día de la evolución de la normativa garantizará el cambio de mentalidad de toda la organización hacia las nuevas realidades de un futuro poscuántico.
Algunos expertos predicen que el PQC podría llegar en tan sólo cinco añosasí que el momento de actuar es ahora.
Por qué es inteligente empezar a modernizarse
- Prepárese para las amenazas de Harvest Now. Actores nacionales con buenos recursos están utilizando ataques Harvest Now Decrypt Later para robar archivos cifrados hoy y retenerlos hasta que puedan descifrarlos.
- La preparación es un objetivo móvil. Aunque las directrices PQC evolucionan, los malos actores innovan continuamente y, para las grandes organizaciones, puede llevar años desarrollar un enfoque ágil que pueda adaptarse constantemente.
- No hay plantillas. Cada plan es personalizado, con métricas e hitos únicos, y no puede desarrollarse en el vacío.
- El tiempo pasa deprisa. Según estimaciones recientes, los ordenadores cuánticos capaces de romper el RSA-2049 podrían aparecer ya en 2035, lo que deja menos de una década para completar las transiciones a gran escala.
4 pasos para prepararse
Empezar a modernizar la PKI hoy tiene sentido estratégico por varias razones. De hecho, Keyfactor ha descubierto que el éxito de la preparación post-cuántica no es sólo un reto de PKI - es una transformación de toda la organización. La verdadera cripto-agilidad requiere una colaboración interfuncional entre los equipos de seguridad, TI, legal, de cumplimiento y de producto.
Este enfoque para toda la empresa mejora el inventario de activos, la evaluación de riesgos, la formación y la respuesta ante incidentes, al tiempo que reduce la exposición a futuras amenazas. Alineando los equipos ahora, las organizaciones pueden acelerar la modernización de PKI y mantenerse a la vanguardia en su viaje PQC.
Primer paso: descubrimiento e inventario
Puede que le sorprenda, pero muchas organizaciones aún carecen de un inventario completo de sus activos criptográficos, a pesar de manejar un complejo conjunto de certificados digitales, claves privadas, algoritmos y protocolos.
Hacer inventario es crucial para elaborar un plan de transformación que abarque toda la infraestructura. Busque la infraestructura de clave pública (PKI) incluyendo certificados y claves, y no olvide tener en cuenta la criptografía integrada en aplicaciones y dispositivos, ya que estos algoritmos también tendrán que actualizarse. Los sistemas heredados exigen una atención especial, ya que a menudo se basan en configuraciones de seguridad obsoletas; la criptografía que emplean puede estar ya por debajo de las mejores prácticas y normas existentes. Dependiendo del sector de su empresa, los sistemas de tecnología operativa (OT) que soportan maquinaria, dispositivos físicos y hardware también deben incluirse en el inventario.
Incluso para las organizaciones más pequeñas, hacer un inventario puede resultar complejo muy rápidamente, por lo que es importante contar con ayuda. Las herramientas de descubrimiento criptográfico pueden ayudar a identificar activos a escala, señalando los más vulnerables en el proceso. Estas herramientas también pueden ayudar a detectar casos de TI en la sombra, o uso de software y/o hardware no autorizado fuera del ámbito oficial del departamento de TI, en su organización. Este uso, aunque a menudo bienintencionado, plantea un problema de seguridad digno de consideración. El proceso de transformación del PQC es un momento ideal para colmar estas posibles lagunas y reforzar la postura general de seguridad de su organización.
Una vez que tenga el inventario completo y una idea clara de qué sistemas exigen qué acción en primer lugar, podrá compilar el plan de migración en consecuencia, desde activos para reparación urgente hasta protocolos y certificados de menor prioridad para "migrar más tarde". Los activos de mayor prioridad y exposición exigirán una posición prioritaria en la cola de actualización de algoritmos criptográficos.
Segundo paso: Triaje de implantación de soluciones Crypto-Agile
Siguiendo los principios de criptoagilidad a la hora de adoptar u orquestar su arquitectura criptográfica permitirá que todas las partes del ecosistema admitan algoritmos criptográficos actuales y poscuánticos durante el periodo de transición. Durante el paso de descubrimiento e inventario, priorizó los sistemas clave para la migración PQC. Estos sistemas requerirán certificados duales (tanto post-cuánticos como tradicionales) para mantener la compatibilidad con versiones anteriores antes de que se complete la transformación.
Los sistemas de mayor prioridad suelen soportar una larga vida útil de los dispositivos, incluidos los dispositivos y el firmware del Internet de las CosasIoT). Los vehículos conectados de nueva generaciónen el sector de la automoción, son un ejemplo perfecto, cuyo impacto directo en la seguridad de los operadores humanos exige los más altos estándares de seguridad incluso antes de que amanezca la era cuántica. En el sector sanitario "marcapasos "inteligentes son otro ejemplo: debido a su ubicación, no es fácil acceder a ellos una vez en funcionamiento, por lo que deben poder recibir actualizaciones de forma inalámbrica con todas las garantías adecuadas para el nivel de atención que prestan.
Los sistemas que contienen datos altamente sensibles, propietarios y críticos para el negocio también deberían estar en lo más alto de la lista de prioridades. La criptografía que sustenta la seguridad de esos datos debe migrar a algoritmos poscuánticos lo antes posible para evitar ataques HNDL.
Tercer paso: Automatización de la gestión de certificados digitales
La actualización a la criptografía poscuántica no libera a las organizaciones de las complejidades de gestión de la PKI. La gestión manual de certificados no es escalable hoy en día a nivel empresarial; por tanto, parece poco probable que sea viable en absoluto en la era PQC.
No es sólo una cuestión de volumen. Se espera que la vida útil de los certificados sea tan corta como 47 días para 2029lo que hace que la gestión manual de la ICP sea, francamente, una idea peligrosa. La complejidad algorítmica de los certificados post-cuánticos también aumentará sustancialmente, haciendo que las soluciones automatizadas sean esenciales para el seguimiento de un inventario criptográfico completo.
Mantener continuidad empresarial y la integridad criptográfica, un plan posterior a la transformación cuántica debe incluir la transición a la emisión, renovación y sustitución automatizadas de certificados, si aún no se dispone de estas herramientas. Aunque hay muchas soluciones PKI en el mercado, elija una, como por ejemplo Keyfactor EJBCAque ofrezca gobernanza, acceso basado en funciones y registros de auditoría detallados para mantener la conformidad y reducir el riesgo operativo.
Cuarto paso: Gobernanza continua de la criptografía poscuántica
La preparación post-cuántica es compleja, y la implementación del PQC es una estrategia viva que necesita una actualización continua. Estar preparado para la cuántica requiere una gobernanza continua, supervisión de riesgos e higiene criptográfica en línea con los principios de la criptoagilidad.
Algunas de las mejores prácticas para mantener un perfil de riesgo actualizado incluyen el establecimiento y la revisión periódica de políticas para la depreciación de algoritmos, la rotación periódica de claves y mecanismos de emergencia en caso de debilidades algorítmicas imprevistas o recién descubiertas. La clave para estar preparado para la cuántica es estar preparado para adaptarse.
Los algoritmos de seguridad cuántica evolucionan constantemente, al igual que sus políticas y protocolos. Éstos deben incluir la formación y educación del personal, así como criterios específicos de especialización en PQC a la hora de contratar personal para puestos de seguridad y TI. Mantener la participación y el compromiso de toda la organización para estar preparados para la cuántica es esencial para el éxito continuo de la iniciativa.
Conclusión: Modernizarse ahora para la era post cuántica
Es hora de preparar su negocio para el futuro. Prepararse para la criptografía post-cuántica es un reto difícil, pero es una oportunidad para reevaluar, evaluar y modernizar su infraestructura criptográfica. Los delincuentes están evolucionando sus técnicas. Las organizaciones también deberían hacerlo.
Póngase en contacto con Keyfactor para obtener herramientas probadas y experiencia para navegar por los riesgos de seguridad de la computación cuántica que se avecinan.
