Se trata de mi evento favorito, que espero con impaciencia durante todo el año: elConsorcio PKI Post-Quantum Cryptography (PQC) del Consorcio PKI.
Es un lugar donde los líderes técnicos, desde los socios hasta los competidores, se reúnen para colaborar e innovar en aras de la confianza digital, y 2025 ciertamente no defraudó.
Además del entusiasmo general, el acto de este año, celebrado en Kuala Lumpur, coincidió con un salto cualitativo en la preparación de Malasia en materia de ciberseguridad:
- El Ministerio de Asuntos Digitales y la Agencia Nacional de Ciberseguridad (NACSA) lanzaron la Hoja de ruta nacional de preparación para la criptografía poscuántica.
- Este marco reforzará la resiliencia nacional y de toda la ASEAN frente a las amenazas cuánticas, en consonancia con la previsión del informe 2026 Asia Pacific Predictions Report de Forrester, según la cual la seguridad cuántica se convertirá en una prioridad estratégica para más del 90% de las empresas de la región.
- Tuan Fabian Bigar, Secretario General del Ministerio de Asuntos Digitales, informó de primera mano a los asistentes sobre este importante avance durante su ponenciaen la que subrayó que el PQC es una oportunidad compartida para dar forma a un mundo seguro desde el punto de vista cuántico.
Y no podría estar más en lo cierto: Debemos trabajar juntos para acelerar la confianza digital y preparar a las organizaciones para un futuro post-cuántico ahora antes de que sea demasiado tarde.
Por eso he reunido los puntos clave y las reflexiones personales del evento, para que, tanto si pudiste asistir como si no, dispongas de la información fundamental que necesitas para avanzar.
PQC: La conversación ha cambiado
Hace un año, los debates sobre PQC eran profundamente técnicos:
- ¿Qué algoritmos finalizará el NIST? ¿Qué significarán para mi empresa?
- ¿Cuándo se pondrán al día las certificaciones FIPS?
- ¿Cómo funcionarán realmente los enfoques híbridos y compuestos?
Este año ha sido completamente diferente.
La atención se hadesplazado de la teoría a aplicación.
Ahora, las preguntas suenan más como:
- ¿Cómo puedo empezar sin revisar todo de golpe?
- ¿Cuál es el primer paso para estar preparado para la cuántica?
- ¿Cómo puedo medir y mantener los progresos?
Una cita memorable de la conferencia resume perfectamente el cambio de actitud:
"La adopción del PQC no es un proyecto; es un programa. No tiene fecha de inicio ni de finalización. Seguirá en marcha durante un largo periodo de tiempo".
Yo no podría haberlo dicho mejor.
Niveles de madurez: Cómo definir "Quantum-Ready
Siguiendo este cambio de algoritmos a acciones, el Grupo de Trabajo PQC del Consorcio PKI introdujo algo que marcará una verdadera diferencia: elModelo de madurez de la criptografía post cuántica.
Este modelo se basa en laMatriz de capacidades PQC pero se centra menos en los productos y más en la madurez organizativa. Ayuda a responder a preguntas como:
- ¿Qué significa "quantum-ready"?
- ¿Cómo podemos evaluar los progresos de los distintos equipos o unidades de negocio?
- ¿Qué deben esperar los vendedores y los clientes unos de otros?
Este marco nos proporciona un lenguaje compartido para avanzar.
Está abierto a los comentarios de la comunidad, y le recomiendo encarecidamente que ofrezca su opinión (si tiene alguna) porque, como se ha dicho, se necesita un pueblo para construir un futuro seguro para la cuántica . seguro.
👉Comparta aquí sus opiniones sobre el Modelo de Madurez PQC.
Aspectos clave que debe conocer
He aquí los aspectos más destacados, tanto de las sesiones formales como de las conversaciones informales.
> La criptoagilidad es la única estrategia real
Si construyes la criptoagilidad adecuadamente, podrás adaptarte sin importar qué algoritmo o proveedor gane.
La criptoagilidad no consiste en adivinar el estándar correcto. Se trata deprepararse para el cambio constanteya se trate de PQC, de amenazas impulsadas por la IA, de una menor vida útil de los certificados TLS o de nuevas normas de cumplimiento como DORA, PCI DSS o las directrices de la OCC.
> La PKI híbrida sigue confundiendo a la gente
Todavía hay mucha incertidumbre en torno a los enfoques híbridos (que combinan algoritmos clásicos y PQC).
Y está ralentizando a la gente. Aquí está la rápida y fácil:
- Utilice la PKI híbrida cuando tenga sentido, en particular cuando la certificación o el soporte hardware sean insuficientes.
- Pero que no se convierta en una excusa para retrasar el progreso.
- Las implantaciones de "PQC puro" son viables hoy en día para muchos sistemas backend e internos.
> El descubrimiento es la línea de salida
Casi todos los asistentes con los que hablé -independientemente de su sector- tenían la misma primera pregunta:
"¿Por dónde empezamos?" Con el descubrimiento y el inventario.
Lo he dicho antes y lo diré de nuevo: No puedes proteger lo que no puedes ver.
Saber dónde viven los activos criptográficos -certificados, claves, algoritmos- es el primer paso hacia un cambio significativo.
> Cumplimiento y resistencia van ahora de la mano
La conformidad ya no es una casilla que hay que marcar. Se trata de crear resistencia para poder adaptarse con rapidez y eficacia cuando cambien los reglamentos o las normas.
Cumplir es estar a la altura del listón. Resiliencia es estar preparado cuando el listón se mueve.
> La automatización es el héroe silencioso
Las mismas prácticas de automatización que acortaron los ciclos de vida de los certificadosTLS impulsan ahora las migraciones PQC.
Al reutilizar las canalizaciones de automatización, las organizaciones pueden ahorrar tiempo y financiación, al tiempo que alinean dos iniciativas importantes en un solo esfuerzo de modernización. En definitiva, todos salen ganando.
Los 5 pasos que debe dar ahora
Si la conversación ha pasado de la teoría a la acción, ¿qué debenhacer realmente las organizaciones? Yo lo plantearía así:
1.Empezar por descubrir
La visibilidad es esencial. Realice un inventario de todas las claves, certificados y dependencias criptográficas de su infraestructura.
2.Evaluar y priorizar
Identifique los sistemas más importantes para su empresa. Empiece por donde el impacto o el riesgo sean mayores.
3.Automatizar en la medida de lo posible
La automatización reducirá los errores humanos y acelerará los cambios. Si ya ha automatizado la gestión del ciclo de vida de los certificados, va por delante.
4.Incorporar la criptoagilidad a cada decisión
La criptoagilidad crea flexibilidad en todo su ecosistema de seguridad. Cuando evalúe una nueva herramienta o servicio, pregúntese:¿Puede adaptarse cuando cambian las políticas, las normativas o las tecnologías?
Si la respuesta es negativa, estará adquiriendo hoy la deuda técnica del mañana.
5.Comprometerse y colaborar
Este no es un viaje en solitario. Participe en comunidades como el Consorcio PKI, comparta las lecciones aprendidas y ayude a dar forma a las normas que definirán la próxima década de confianza digital.
Mirando al futuro: De Kuala Lumpur a Alemania
Al salir de Kuala Lumpur (con unas cuantas horas más de jet lag y un montón de notas), se me quedó grabada una idea:
Ya no preguntamossila computación cuántica alterará la confianza digital, sino sino cuán preparados estaremos cuando lo haga.
Este es mi reto para todos los responsables de seguridad que lean esto:
De aquí a la próxima Conferencia PQC en Alemania, ¿cuánto más cerca estará de la criptoagilidad?
Empieza poco a poco. Empiece ahora. Empiece por descubrir.
Descubra cómo Keyfactor puede ayudarle a descubrir y gestionar activos criptográficos - la base para mejorar su criptoagilidad.
