La preparación para la agilidad criptográfica no consiste en predecir cuándo cambiarán los estándares criptográficos, sino en comprender si su organización es capaz de adaptarse cuando eso ocurra. A medida que los algoritmos evolucionan, los certificados se multiplican y se acerca la transición a la era poscuántica, las organizaciones necesitan una forma práctica de evaluar si su entorno criptográfico puede adaptarse con rapidez, seguridad y a gran escala.
La criptografía es la base de casi todas las arquitecturas de seguridad modernas, pero su seguridad se degrada de forma natural con el paso del tiempo. Los avances en criptoanálisis, el aumento de la potencia computacional y las tecnologías emergentes, como la computación cuántica, merman de forma constante la solidez de los algoritmos existentes. Como señala el NIST, «la agilidad criptográfica es una práctica clave que debe adoptarse a todos los niveles, desde los algoritmos hasta las arquitecturas empresariales». Los principales organismos reguladores han hecho hincapié en la urgencia de incorporar la agilidad criptográfica a la infraestructura organizativa, entre ellos la Casa Blanca (NSM-10), el NIST, la CISA, el NCSC del Reino Unido y el AIVD neerlandés.
Esta guía describe los aspectos fundamentales de la preparación para la agilidad criptográfica y cómo evaluarlos.
¿Qué significa «preparación para la agilidad criptográfica»?
La preparación en materia de agilidad criptográfica mide la capacidad de una organización para detectar, gestionar y actualizar rápidamente los activos criptográficos sin interrumpir el servicio. Esto incluye la rotación de certificados, la gestión de claves y el cambio o la actualización de algoritmos y bibliotecas.
Agilidad criptográfica, también conocida comúnmente como «agilidad criptográfica», es la capacidad de la infraestructura criptográfica de una organización para cambiar de forma rápida y eficiente entre algoritmos criptográficos, bibliotecas, claves, tokens, certificados y otros activos o protocolos criptográficos sin que se produzcan interrupciones operativas importantes. Esta flexibilidad es esencial para mantener la seguridad a medida que evolucionan los estándares criptográficos, especialmente en respuesta a nuevas vulnerabilidades, avances tecnológicos o requisitos normativos.
Se centra en la capacidad operativa más que en los plazos, reconociendo que el cambio criptográfico es continuo y no solo está impulsado por acontecimientos concretos. Los acontecimientos que podrían desencadenar un cambio no son predecibles. Incluso después de que los algoritmos poscuánticos se hayan ultimado, normalizado e implementado, es posible que las organizaciones tengan que alternar entre diferentes algoritmos a medida que surjan nuevos conocimientos que puedan debilitar la seguridad de los algoritmos existentes. Hay aspectos de los algoritmos poscuánticos que aún desconocemos y que quizá no conozcamos hasta que exista un ordenador cuántico capaz de lanzar ataques simulados contra ellos. La criptoagilidad proporciona la flexibilidad necesaria para adaptarse a los cambios del panorama y evitar amenazas posteriores.
Paso 1: Evaluar la visibilidad criptográfica
No se puede adaptar una criptografía que no se ve.
Preguntas clave que hay que evaluar:
- ¿Dispone de un inventario completo de los certificados, claves y algoritmos que se utilizan?
Un inventario criptográfico es un registro dinámico, exhaustivo y sistemático de todos los activos criptográficos actuales y en evolución dentro de la infraestructura digital ampliada de una organización. Debe abarcar la criptografía operativa, software , la criptografía de red, la criptografía gestionada y hardware .
- ¿Es posible detectar la criptografía integrada en los flujos de trabajo de CI/CD, los binarios, las bibliotecas, los dispositivos y las cargas de trabajo en la nube?
Las organizaciones necesitan soluciones capaces de detectar certificados, sistemas de gestión de claves, bibliotecas criptográficas y objetos binarios en los procesos de integración y despliegue continuos (CI/CD), HSM, puntos finales de red, cargas de trabajo en la nube y equilibradores de carga. Las fuentes heterogéneas pueden «ocultar» activos criptográficos; es decir, las claves, los certificados y los algoritmos pueden estar integrados en aplicaciones, sistemas de archivos, interfaces de red, hardware , servicios en la nube y sistemas heredados.
- ¿Los inventarios están centralizados o dispersos entre distintos equipos y herramientas?
En las grandes organizaciones, los subsistemas suelen implementarse por separado y ser mantenidos por diferentes grupos, lo que generalmente da lugar a una protección general más débil y a una visibilidad fragmentada.
La falta de visibilidad es, sin duda, el principal obstáculo para la agilidad criptográfica, ya que genera puntos ciegos que ocultan riesgos y ralentizan los tiempos de respuesta. El sector en general ha reconocido que «no se pueden solucionar las vulnerabilidades que no se ven». Sin una revisión exhaustiva de los activos criptográficos, no se puede garantizar la base de la confianza futura. Esto incluye una revisión de su ubicación, así como de su eficacia, la criticidad y la sensibilidad de los datos protegidos, y las garantías operativas, como veremos a continuación.
Paso 2: Identificar los riesgos y la exposición criptográficos
Una vez que los activos están identificados, la preparación depende de comprender qué medidas de seguridad requieren y de priorizar cuáles son los más importantes.
Entre los indicadores de preparación se incluyen:
- Capacidad para identificar y revocar certificados a punto de caducar, débiles o que no cumplen con los requisitos.
Esto incluye la detección de certificados a punto de caducar, certificados no conformes y autofirmados, y certificados que no cumplen con los estándares de seguridad actuales. La puntuación priorizada permite a los administradores priorizar y orientar de manera eficiente las medidas correctivas, abordando primero los riesgos más críticos.
- Información sobre algoritmos obsoletos o mal configurados, parámetros inseguros y claves reutilizadas o revocadas.
Las organizaciones necesitan visibilidad sobre algoritmos, protocolos o bibliotecas obsoletos, tamaños de clave inseguros y claves codificadas de forma fija, reutilizadas o revocadas. Las clasificaciones de gravedad criptográfica —como «No conforme», «Legado», «Conforme» y «Preparado para la criptografía poscuántica (PQC)»— ayudan a categorizar el estado de cada activo.
- Priorización de los riesgos criptográficos en función del impacto empresarial, el impacto técnico, la gravedad de las vulnerabilidades y el nivel de seguridad requerido.
Es fundamental vincular los activos criptográficos y los hallazgos correspondientes a las partes interesadas y funciones empresariales específicas. Un marco de gestión de riesgos garantiza que las medidas de mitigación se prioricen en consonancia con los escenarios de riesgo empresarial críticos, incluyendo la exposición del balance y la continuidad operativa.
Las organizaciones que no pueden evaluar el riesgo criptográfico tienen dificultades para migrar algoritmos de manera eficiente o responder a las amenazas emergentes. El ataque «Harvest Now, Decrypt Later» —en el que los actores maliciosos recopilan datos cifrados ahora para descifrarlos cuando los ordenadores cuánticos estén disponibles— hace que esta priorización sea aún más urgente para los datos con una larga vida útil.
Paso 3: Evaluar las capacidades de automatización del ciclo de vida
La agilidad criptográfica se ve rápidamente mermada cuando los cambios criptográficos dependen de procesos manuales.
Valora si puedes:
- Renueve, sustituya o revoque certificados de forma automática y a gran escala.
Los certificados vulnerables deben renovarse o revocarse rápidamente, de forma individual o masiva. La automatización permite una renovación fluida de los certificados, al tiempo que facilita las aprobaciones para activos sensibles o de alto riesgo.
- Aplique flujos de trabajo basados en políticas para activos de alto riesgo o sensibles.
Un sistema centralizado de gestión de políticas criptográficas permite a las organizaciones aplicar y gestionar los requisitos criptográficos en todas las aplicaciones y la infraestructura. Las políticas definen los algoritmos permitidos, los parámetros de seguridad y los proveedores de implementaciones aprobadas, y pueden modificarse para cumplir los requisitos específicos de cada jurisdicción.
- Aplique cambios criptográficos masivos sin interrumpir el servicio.
Los enfoques manuales suelen ser poco prácticos en entornos modernos, especialmente cuando se implementa un gran número de terminales autónomos. Reemplazar o reconfigurar un dispositivo es manejable; actualizar miles de ellos en entornos distribuidos requiere una automatización que pueda propagar los cambios de manera eficaz a todos los subcomponentes.
Una automatización bien diseñada es lo que convierte la agilidad criptográfica de la teoría en una realidad operativa, especialmente durante migraciones a gran escala como la transición actual a la criptografía postcuántica (PQC). Los sistemas de automatización pueden realizar un seguimiento del ciclo de vida de las claves y los certificados criptográficos, evaluar la idoneidad criptográfica y activar cambios si es necesario, garantizando así que el inventario criptográfico se actualice casi en tiempo real.
Paso 4: Revisar la flexibilidad del algoritmo y la preparación para las pruebas
Las organizaciones con agilidad criptográfica dan por hecho que los algoritmos cambiarán más de una vez y están preparadas para hacer frente a situaciones imprevistas.
Entre los indicios de que está preparado se incluyen:
- Compatibilidad con múltiples algoritmos que se ejecutan simultáneamente.
La agilidad criptográfica trata los algoritmos criptográficos como componentes modulares e intercambiables, lo que permite a los sistemas incorporar sin problemas algoritmos nuevos o alternativos. Este enfoque de «traiga su propia criptografía» significa que los proveedores pueden comercializar un único producto a nivel mundial, con clientes en diferentes jurisdicciones, sin necesidad de rediseñar, volver a realizar pruebas o redistribuirlo.
- Posibilidad de probar soluciones híbridas o exclusivamente poscuánticas en entornos que no sean de producción.
El NIST ha publicado normas para los algoritmos PQC, y la IETF está trabajando para estandarizar los esquemas híbridos. Las organizaciones deberían estar probando certificados híbridos y resistentes a la computación cuántica desde ya. Las plataformas PKI modernas ofrecen ahora compatibilidad integrada con certificados resistentes a la computación cuántica e híbridos desde el primer momento.
- Mínimo uso de criptografía preconfigurada en aplicaciones y dispositivos.
La criptografía arraigada genera rigidez sistémica. Los cargadores de arranque seguros y las raíces de confianza hardware suelen incorporar mecanismos criptográficos fijos. Si esos mecanismos se debilitan, actualizar software ya no software suficiente; la criptografía en la raíz de confianza no se puede cambiar sin un rediseño significativo. Al abstraer el uso de algoritmos criptográficos, es decir, al hacer referencia a clases criptográficas en lugar de a implementaciones específicas, las aplicaciones ganan flexibilidad para intercambiar algoritmos mediante políticas en lugar de cambios en el código.
Esta flexibilidad reduce la dependencia de un único proveedor y minimiza los riesgos en caso de que los estándares criptográficos cambien en el futuro. Las organizaciones deben diseñar los sistemas de tal manera que se puedan implementar rápidamente nuevas técnicas criptográficas y que los sistemas a gran escala se puedan construir y probar utilizando la criptografía estándar antes de reconfigurarlos con algoritmos actualizados.
Paso 5: Analizar los controles de gobernanza y acceso
La rapidez sin una gestión adecuada genera nuevos riesgos. Ser capaz de mantener el control y hacer cumplir las normas es fundamental para el éxito.
Aspectos clave en materia de gobernanza:
- Acceso a los activos criptográficos basado en roles.
Los flujos de trabajo de aprobación y el acceso basado en roles deben limitar a los usuarios únicamente a los activos pertinentes, garantizando que todas las acciones estén prescritas y sean auditables. Las organizaciones deben utilizar marcos como el modelo RACI (Responsable, Cuentable, Consultado, Informado) para asignar responsabilidades criptográficas.
- Flujos de trabajo de aprobación para cambios sensibles.
Una gobernanza sólida implica que los cambios en las configuraciones criptográficas pasen por cadenas de aprobación definidas, especialmente aquellos que afecten a activos de alto riesgo o sensibles. Se debe asignar la responsabilidad de la gestión de la criptografía a un ejecutivo de alto nivel, y dicha responsabilidad puede ser centralizada o distribuida en función de las necesidades de la organización.
- Auditabilidad total de las acciones criptográficas.
Las organizaciones deben mantener un inventario completo y en tiempo real de los activos criptográficos para demostrar fácilmente el cumplimiento de los requisitos normativos y de auditoría. Los paneles personalizables y los informes en tiempo real garantizan una visión del panorama criptográfico lista para la auditoría en todo momento.
Una buena gestión permite introducir cambios criptográficos con rapidez, sin dejar de garantizar el cumplimiento normativo y la rendición de cuentas. El cumplimiento normativo suele ser la razón principal para implantar un inventario criptográfico, y los organismos reguladores de Estados Unidos y Singapur ya han publicado notas informativas en las que recomiendan su implantación.
Paso 6: Evaluar el grado de preparación de la organización y de las competencias
La tecnología por sí sola no basta para que una organización sea ágil desde el punto de vista criptográfico.
Evalúa si:
- Se forma a los equipos sobre dónde se utiliza la criptografía en todo el entorno.
La criptografía está en todas partes. Es compleja, variada y no siempre visible. El personal debe comprender el alcance de los activos criptográficos, desde certificados y claves hasta algoritmos integrados en aplicaciones y dispositivos.
- Los equipos pertinentes, como los de seguridad, plataforma y desarrollo, colaboran en los cambios criptográficos.
En la práctica, la responsabilidad criptográfica se distribuye entre DevSecOps, TI, equipos criptográficos especializados, cumplimiento de normas de seguridad y equipos de negocio. Cada grupo necesita tener asignadas funciones claras para garantizar el control y la visibilidad, tanto a nivel interno como externo.
- Existe un plan para mejorar las competencias de los equipos en relación con los nuevos algoritmos y estándares.
El NIST ha seleccionado los primeros algoritmos resistentes a la computación cuántica, cada uno con requisitos de implementación únicos. Software , hardware y los departamentos de TI de las empresas deben estudiar cómo incorporar estos algoritmos a sus productos y sistemas, lo que requiere un gran esfuerzo, actualizaciones y nuevas competencias.
Las carencias en materia de competencias y la confusión sobre la responsabilidad son factores ocultos que suelen obstaculizar la agilidad criptográfica. La criptografía es un tema muy complejo del que hay pocos expertos. Si los departamentos deciden gestionar la criptografía por su cuenta, se necesitarán recursos considerables que podrían resultar inviables. Un equipo central específico que se encargue de la capacidad, las herramientas y la fuente de información oficial sobre los activos criptográficos suele ser el punto de partida más eficaz.
Señales comunes de que tu organización no es ágil desde el punto de vista criptográfico
- Los inventarios criptográficos están desactualizados, son incompletos o ni siquiera existen.
Sin visibilidad, no se puede garantizar la base de la confianza digital. Los datos del sector sugieren que solo una parte de los activos criptográficos se puede detectar utilizando las herramientas de automatización actuales. El resto requiere intervención manual, y muchas organizaciones ni siquiera han comenzado.
- Las interrupciones en los certificados solo se detectan una vez que se producen los fallos.
La detección reactiva indica una falta de supervisión automatizada y de gestión del ciclo de vida. Las organizaciones que carecen de un sistema continuo de análisis y alertas están operando a ciegas.
- Los cambios en los algoritmos requieren soluciones de emergencia, la reescritura de aplicaciones o un rediseño completo.
Este es un síntoma de una criptografía arraigada y codificada de forma rígida. Muchas organizaciones tardaron varios años en pasar de SHA-1 a SHA-2, y el cambio a algoritmos poscuánticos se produce a una escala totalmente diferente.
- La elaboración de informes de cumplimiento es un proceso manual que requiere mucho tiempo.
Sin paneles de control centralizados ni informes automatizados, demostrar el cumplimiento normativo se convierte en una tarea que consume muchos recursos y agota a los equipos de seguridad.
Estos síntomas indican problemas estructurales que deben resolverse antes de llevar a cabo cambios criptográficos importantes. El reto de lograr la seguridad cuántica se ve agravado aún más por el uso de hardware software distintos proveedores, las arquitecturas complejas y las dependencias de terceros.
Qué hacer tras la evaluación de la agilidad criptográfica
Una evaluación debería traducirse directamente en medidas concretas:
- Elimine las lagunas de visibilidad mediante un análisis a nivel de toda la empresa.
El descubrimiento criptográfico es el primer paso fundamental. Este paso es obligatorio para las agencias federales según la Casa Blanca y lo recomiendan las agencias de ciberseguridad de todo el mundo. Implemente herramientas de descubrimiento automatizadas que puedan localizar certificados, claves, algoritmos, bibliotecas y protocolos en toda la infraestructura.
- Reduzca el trabajo manual mediante la automatización del ciclo de vida.
Implemente procesos automatizados para la renovación, el aprovisionamiento y la revocación de certificados. La automatización garantiza que el equipo de seguridad pueda actuar ante las amenazas, prevenir interrupciones del servicio, facilitar la elaboración de informes de cumplimiento normativo y realizar análisis forenses.
- Establecer políticas y un marco de gobernanza centralizados para los cambios criptográficos.
Definir los algoritmos permitidos, los parámetros de seguridad y las implementaciones aprobadas mediante una gestión centralizada de políticas. Distribuir las políticas entre las aplicaciones a través de mecanismos de actualización seguros.
- Comience a realizar pruebas controladas de nuevos algoritmos cuando sea pertinente.
Comience a probar soluciones híbridas y exclusivamente poscuánticas en entornos que no sean de producción. Aproveche las soluciones de PKI y de firma que ofrecen compatibilidad integrada con certificados resistentes a la computación cuántica.
- Aumentar la modularización, de modo que las aplicaciones hagan referencia a clases criptográficas en lugar de a algoritmos específicos.
Esta abstracción desacopla las aplicaciones de algoritmos concretos, lo que permite una migración fluida a futuros algoritmos y la flexibilidad necesaria para satisfacer los requisitos de criptografía soberana. A modo de ejemplo, la aplicación utiliza la referencia «firma digital» en lugar de especificar un algoritmo concreto como «ML-DSA-44».
La mejora de la agilidad criptográfica es un proceso gradual, pero cada paso reduce el riesgo y aumenta la resiliencia. Como señalan los autores de *The PQC Migration Handbook*: «Una gestión y un seguimiento adecuados de la criptografía no solo ayudan a una organización a facilitar la migración a la criptografía postcuântica (PQC), sino también a mitigar los riesgos relacionados con la criptografía en general».
Preparación para la agilidad criptográfica conKeyfactor
Evaluar el grado de preparación de su organización en materia de agilidad criptográfica es solo el primer paso. Para subsanar las deficiencias en materia de visibilidad, automatización y gobernanza que pone de manifiesto una evaluación, se requieren soluciones específicas diseñadas para funcionar a escala empresarial. Sin las herramientas adecuadas, incluso los planes de preparación mejorintencionados se estancan en la fase de implementación.
CómoKeyfactor la preparación para la agilidad criptográfica
- Detección de certificados e identidades de dispositivos en toda la empresa.
Keyfactor Command, combinado con AgileSec Analytics, ofrece un inventario completo de los activos criptográficos de una organización. Las capacidades de detección abarcan certificados, sistemas de gestión de claves, bibliotecas criptográficas, objetos binarios en pipelines de CI/CD, HSM, puntos finales de red, cargas de trabajo en la nube y equilibradores de carga.
- PKI centralizada y automatización del ciclo de vida de los certificados.
Keyfactor Command un inventario a nivel de toda la empresa de todas las autoridades de certificación e identidades de máquinas, lo que facilita la identificación de los certificados y algoritmos en uso, así como la definición de políticas y flujos de trabajo automatizados. EJBCA, una moderna plataforma PKI, ofrece compatibilidad integrada para la emisión de certificados híbridos y resistentes a la computación cuántica.
- Visibilidad basada en el riesgo sobre algoritmos, uso de claves y estado de cumplimiento.
AgileSec Analytics detecta de forma proactiva posibles vulnerabilidades criptográficas, usos indebidos o incumplimientos de cumplimiento normativo, y los prioriza en función de una puntuación de gravedad técnica. Los administradores pueden aplicar medidas correctivas de manera eficiente, abordando primero los riesgos más críticos.
- Flujos de trabajo basados en políticas y controles de acceso basados en roles.
La solución integrada implementa flujos de trabajo de aprobación y acceso basado en roles para limitar a los usuarios únicamente a los activos pertinentes. Todas las acciones están predefinidas y son auditables, lo que garantiza el cumplimiento normativo al tiempo que permite cambios criptográficos rápidos.
- Compatibilidad con pruebas de criptografía híbrida y poscuántica.
Keyfactor EJBCA compatibilidad integrada para probar certificados híbridos y poscuánticos desde el primer momento. El Bouncy Castle (Java y C#) permiten a los equipos implementar algoritmos PQC en sus productos desde hoy mismo.SignServer la firma digital de código y artefactos utilizando algoritmos PQC del NIST.
Repercusiones operativas
- Menor esfuerzo manual: La detección automatizada de activos criptográficos y el análisis de vulnerabilidades eliminan la intervención manual y garantizan una protección continua.
- Migración más rápida de algoritmos: Los procesos automatizados para la renovación y el aprovisionamiento de certificados garantizan una transición fluida a los algoritmos PQC a gran escala, sin interrupciones.
- Menor riesgo de interrupciones: La supervisión continua y la gestión automatizada del ciclo de vida evitan las interrupciones relacionadas con los certificados antes de que se produzcan.
- Mejora de la preparación para auditorías: Los paneles personalizables y los informes en tiempo real ofrecen una visión clara y preparada para auditorías de todo el panorama criptográfico.
¿Listo para pasar de la evaluación a la acción? Descubre cómoKeyfactor acelerar tu camino hacia la agilidad criptográfica:
Preparación para la «criptoagilidad» Preguntas frecuentes
¿Con qué frecuencia deben las organizaciones evaluar su preparación en materia de agilidad criptográfica?
Como mínimo, una vez al año, o cada vez que se produzcan cambios importantes en la infraestructura, la normativa o la criptografía. Dado que continuamente se añaden nuevas vulnerabilidades relacionadas con la criptografía (CVE y CWE) y que los entornos normativos están en constante evolución, una reevaluación periódica garantiza que el nivel de preparación se mantenga al día con el panorama de amenazas.
¿La preparación para la agilidad criptográfica solo es relevante para la criptografía poscuántica?
No. La criptografía poscuántica (PQC) es un factor clave, pero la agilidad criptográfica también se aplica a los ciclos de vida de los certificados, los requisitos de cumplimiento normativo y las vulnerabilidades emergentes. Tal y como afirman el AIVD y los institutos de investigación neerlandeses, «la agilidad criptográfica no solo ayuda a llevar a cabo una migración fluida a la PQC, sino que también facilita la gestión de la criptografía en general». Los cambios de algoritmos, los vencimientos de certificados, los cambios normativos y las vulnerabilidades recién descubiertas exigen todos la misma flexibilidad operativa.
¿Pueden las pequeñas y medianas empresas ser ágiles en materia de criptografía?
Sí. La preparación depende de la visibilidad, la automatización y la gobernanza, no del tamaño de la organización. Los principios del descubrimiento criptográfico, la automatización del ciclo de vida, la gestión centralizada de políticas y la gobernanza se aplican a cualquier escala. Actualmente existen herramientas específicas de descubrimiento criptográfico que pueden sustituir a las laboriosas tareas manuales, lo que hace que la agilidad criptográfica de nivel empresarial sea accesible para organizaciones de todos los tamaños.
