La criptografía poscuántica (PQC) ha pasado oficialmente de ser un riesgo que parece lejano a convertirse en un mandato activo que está impulsando el cambio. No hay mejor momento que ahora para poner en marcha un plan de preparación para la PQC, si aún no lo has hecho.
El decreto ejecutivo «Protección de la nación frente a ataques criptográficos avanzados» no introduce nuevos riesgos; simplemente confirma lo que las principales organizaciones ya saben sobre cómo un ordenador cuántico relevante desde el punto de vista criptográfico (CRQC) será capaz de descifrar los algoritmos que utilizamos hoy en día en nuestras empresas.
Ya hemos oído esto de otros países y empresas, incluidos los principales hiperescaladores, y cuando ellos dan el paso, es señal de que el plazo se está acortando y la fecha se está haciendo cada vez más real.
Pasar de la planificación a la acción
Las organizaciones deben cambiar su mentalidad y pasar de pensar «ya nos ocuparemos de esto más adelante» a «tenemos que actuar ahora mismo». No hay que esperar y arriesgarse a que se produzca algún suceso catastrófico. No se trata de preguntarse «¿cuándo llegará realmente el día Q?», como ocurría cuando esperábamos el efecto 2000. Se trata, en realidad, de proteger los datos que se están generando hoy mismo.
Hemos estado hablando del riesgo real que suponen los ataques del tipo «Harvest Now, Decrypt Later» (recoger ahora, descifrar después), lo que significa que debemos partir de la base de que incluso las aplicaciones que hoy están cifradas podrían descifrarse más adelante y que los datos confidenciales podrían ser robados y verse comprometidos.
Asumir la responsabilidad de la PQC
Este decreto ejecutivo convierte el PQC, que hasta ahora se limitaba a orientaciones y recomendaciones, en una política efectiva con obligaciones de rendición de cuentas. Introduce el requisito de contar con un liderazgo y una responsabilidad claros en lo que respecta a la preparación para el PQC en toda la organización.
La criptografía es una infraestructura fundamental y está integrada en todos los sistemas que impulsan las empresas. Como tal, afecta a todas las áreas del negocio, por lo que se requiere una colaboración interfuncional para garantizar que todos los sistemas sean a prueba de la computación cuántica.
Estos pasos son fundamentales para el éxito de cualquier empresa en la era de la computación cuántica y la inteligencia artificial:
- Establecer claramente las competencias y responsabilidades de todos los equipos mediante un sistema de información y seguimiento bien definido que permita medir el avance de la migración a PQC.
- Asignar fondos y establecer un presupuesto para contratar personal, adquirir las herramientas o contratar a los proveedores necesarios, y dedicar tiempo a garantizar la preparación para el PQC.
- Mantener los esfuerzos constantes para garantizar la agilidad criptográfica en toda la infraestructura de confianza, con el fin de estar preparados ante nuevos cambios normativos, avances tecnológicos y amenazas futuras.
Todas estas recomendaciones permiten a las organizaciones pasar de considerar la preparación para el PQC como un experimento a integrarla en un programa corporativo real.
Empezar cuanto antes
Algunas de las fechas clave mencionadas en este decreto ejecutivo contribuyen a aumentar la urgencia de actuar.
- 2030
A más tardar el 31 de diciembre de 2030, los organismos federales deberán realizar la transición de sus sistemas más críticos para que utilicen la PQC en el establecimiento de claves. El decreto ejecutivo también ordena al Consejo Regulador Federal de Adquisiciones que proponga requisitos que hagan obligatorio, para los contratistas federales afectados, el cumplimiento de las normas de PQC aprobadas por el NIST en esa misma fecha.
- 2031
La orden ejecutiva amplía la apuesta por la preparación cuántica más allá del cifrado. Para el 31 de diciembre de 2031, las agencias federales deberán realizar la transición de sus sistemas más críticos para que utilicen criptografía poscuántica en las firmas digitales, lo que contribuirá a garantizar la integridad y la autenticidad a largo plazo del software, las comunicaciones y las identidades digitales.
Esas fechas no están tan lejos. De hecho, se encuentran dentro de los ciclos de planificación empresarial, que suelen abarcar entre 3 y 5 años. Eso significa que ha llegado el momento.
Las organizaciones deben actuar ahora para estar preparadas para 2030 y 2031.
Ampliar la confianza en todas las empresas
Se trata de un problema de confianza a gran escala, no solo de un reto de actualización criptográfica.
Tampoco se trata de elegir el mejor algoritmo de PQC. Se trata más bien de tenerlo todo bien organizado para disponer de visibilidad, control y coordinación en todos los sistemas de la empresa.
La criptografía ya no es un tema secundario; es una infraestructura fundamental.
Es importante porque la criptografía está integrada en sistemas y aplicaciones que la empresa considera que ya son seguros (y lo son, según los estándares actuales). Pero el riesgo radica en lo que pueda suceder en el futuro, y en que las organizaciones deben elaborar hoy mismo una hoja de ruta que comience por la visibilidad, la evaluación de riesgos y el establecimiento de prioridades y que, en última instancia, conduzca a la «criptoagilidad».
No se trata simplemente de un acontecimiento puntual, sino de un programa a largo plazo que requiere una automatización y una mejora continuas.
La cuestión para las organizaciones no es si deben prepararse, sino cuánto se han quedado atrás a día de hoy, y ¿por qué no empezar ya?
