Última hora: Keyfactor adquiere InfoSec Global y CipherInsights | Soluciones integrales para descubrimiento, control y agilidad

Implementación de la criptografía resistente al quantum: Pasos clave
  • Inicio
  • Blog
  • PQC
  • Implementación de la criptografía resistente al quantum: Pasos clave

Implementación de la criptografía resistente al quantum: Pasos clave

PQC

Junio 6, 2025

Los rápidos avances en computación cuántica están provocando uno de los cambios tecnológicos más fundamentales en criptografía y seguridad de datos.

A medida que la era de PQCo criptografía post-cuántica, la necesidad de criptografía resistente a la cuántica en las empresas se disparará. Estos cambios ya están influyendo en las hojas de ruta y los plazos de cumplimiento. No es de extrañar, ya que la complejidad de la implantación de la criptografía resistente al quantum exige un enfoque gradual y alineado con el riesgo. Y hay que empezar hoy mismo.

Dos pilares de este enfoque incluyen la adaptación de la infraestructura existente para la criptoagilidad y la introducción de certificados híbridos que se posicionan según la criticidad de los datos. Prepararse para los cambios que se avecinan ayudará a garantizar una transición fluida de los algoritmos criptográficos heredados a la criptografía post-cuántica del futuro.

Realización de un inventario basado en los riesgos

El primer paso para implantar la criptografía resistente a la cuántica es realizar un inventario completo de la PKI de la organización. Esto incluye certificados digitales, claves de seguridad, protocolos, bibliotecas de datos y todos los dispositivos vinculados a la cadena de confianza de la PKI. Una vez catalogado, cada activo debe clasificarse en función de tres factores clave:

  • Sensibilidad de los datos que protege

  • Duración prevista de los datos o cuánto tiempo deben permanecer confidenciales

  • Riesgo e impacto de la posible exposición de datos

Entre las principales prioridades para la protección contra la resistencia cuántica suelen figurar:

  • Claves de autoridad de certificación (CA) raíz y emisora

  • Sistemas de autenticación de clientes

  • Plataformas de firma de firmware IoT

  • Sistemas de firma de documentos a largo plazo

Estos activos son críticos en el ecosistema PKI y conllevan graves riesgos operativos si se ven comprometidos.

Comience por identificar los algoritmos criptográficos en uso, dando prioridad a los activos de alto riesgo. Preste especial atención a los plazos de caducidad de los certificados (algunos pueden durar entre 5 y 10 años, lo que podría prolongarse más allá del plazo de implantación del PQC del NIST). Es esencial supervisar la evolución de las normas y adaptar los ciclos de vida de los certificados en consecuencia.

Los sistemas que interactúan con socios externos requieren una atención especial. Estos sistemas de borde necesitan actualizaciones coordinadas para la compatibilidad de la criptografía híbrida y pruebas continuas para garantizar la funcionalidad continua durante la transición.

Adecuación de la protección al nivel de riesgo

El número de activos que maneja cualquier organización es enorme, por lo que se hace necesaria una clasificación de la aplicación y un enfoque escalonado de la protección. Las clasificaciones realizadas en la fase de inventario guiarán la aplicación de protecciones criptográficas proporcionalmente a la sensibilidad de cada activo y al riesgo de exposición.

Las tres categorías siguientes dan una idea general de qué protecciones priorizar para sus datos, teniendo en cuenta que los activos de cada organización son únicos y las necesidades pueden variar:

  1. Protección necesaria ahora: Sistemas con requisitos de confidencialidad a largo plazo (como propiedad intelectual legal, financiera, sanitaria y estratégica), ya que son los que corren un mayor riesgo de Recoger ahora Descifrar después más tarde.
  2. Transición mediante certificados híbridos o PQC: Sistemas de riesgo medio que siguen necesitando la validación clásica de sólo certificado por motivos de compatibilidad.
  3. Criptografía clásica ágil que puede cambiar rápidamente de algoritmo.: datos de bajo riesgo y transacciones de corta duración.

En cada fase de implantación para cada nivel de riesgo, siga documentando su postura de seguridad para cumplir los requisitos normativos.

Adoptar un enfoque híbrido de la criptografía resistente a los cuánticos 

Un enfoque híbrido, que implique certificados híbridos que puedan soportar tanto algoritmos heredados como PQC, es un paso práctico y pragmático hacia la criptografía post-cuántica. Sin embargo, las organizaciones no deben confiar completamente en esta estrategia, ya que la depreciación de los algoritmos que pronto serán heredados hará necesaria la eliminación progresiva de la PKI vulnerable.

Un certificado híbrido es un certificado que contiene dos algoritmos de firma: uno clásico y otro poscuántico, lo que garantiza la compatibilidad con los clientes existentes y proporciona un cifrado resistente a la cuántica allí donde ya se admite. Esta estructura de doble pila permite una transición gradual que puede aplicarse por fases. Puede empezar a emitir certificados híbridos en sistemas internos en los que controle tanto el cliente como el servidor, como el sistema TLS mutuo (mTLS) dentro de su red. Antes de actualizar los certificados y sustituirlos por certificados híbridos en otros sistemas, asegúrese de saber qué tipos específicos de certificaciones híbridas admiten estos sistemas.

Otra cosa importante a tener en cuenta es que los certificados híbridos tienden a aumentar de tamaño en comparación con los certificados heredados debido al recuento de bytes del algoritmo poscuántico, que puede ser significativo en algunas firmas poscuánticas como ML-DSA. Éstas pueden romperse potencialmente en los sistemas heredados, por lo que un enfoque gradual es una de las formas más seguras de proceder.

La mayoría de las PKI bien diseñadas pueden actualizarse gradualmente, sin necesidad de sustituirlo todo a la vez. Para facilitar el proceso, considere las CA compatibles con perfiles criptográficos que incluyan algoritmos híbridos y PQC, e integre motores de políticas que puedan asignar algoritmos, ya sean clásicos, híbridos o PQC, en función del caso de uso, el entorno o el nivel del sistema.

En esta fase, automatización de certificados no es sólo un "nice-to-have" para una empresa, sino una realidad necesaria que garantiza la correcta renovación, rotación y revocación de certificados a escala. Resulta aún más vital dado el significativo aumento de complejidad que introducen las implantaciones híbridas. La automatización también le ayudará a adaptarse a los cambios en curso y a responder a las incógnitas. Por este motivo, evite el uso de tokens o claves criptográficas codificadas, que dificultarán los cambios posteriores y serán significativamente más costosos.

Prioridad a la interoperabilidad y la conformidad

La interoperabilidad es uno de los principales retos actuales de la PKI. He aquí algunos consejos que le ayudarán a garantizar que la interoperabilidad se entreteje en el tejido de su sistema PKI preparado para el PQC:

  • Evitar el uso de algoritmos y protocolos patentados a menos que no existan alternativas.
  • Siga de cerca el proceso de normalización de PQC del NIST, ya que los formatos y las API siguen evolucionando y aún se desconoce cuál acabará siendo la norma del sector en 2030-2035.
  • Seguimiento de los esfuerzos del IETF sobre certificado híbrido X.509 y la integración de TLS 1.3 para el intercambio de claves PQC
  • Cree una matriz de compatibilidad interna y realice pruebas multiplataforma, especialmente si presta servicio a varios ámbitos geográficos o normativos.
  • Supervise los organismos reguladores pertinentes para adelantarse a los mandatos de cumplimiento; muchos están publicando marcos de preparación para el PQC y orientaciones específicas del sector para ayudar a las empresas a prepararse.

Dirigir con gobernanza, formación y comunicación clara

La adopción del PQC y la criptoagilidad exigen un cambio de política, protocolos y mentalidad en toda la empresa. Asigne la responsabilidad de la planificación de la transición al PQC a un grupo interfuncional que incluya a las partes interesadas de la arquitectura de seguridad, las operaciones de PKI, el cumplimiento y las adquisiciones, que podrán comunicar claramente la hoja de ruta hacia la criptografía resistente a la cuántica en todos los ámbitos técnicos y empresariales. La preparación del PQC es un esfuerzo de continuidad de la confianza, y enmarcarlo como tal ayudará a asegurar la financiación y la aceptación por parte de la dirección ejecutiva.

Apoye también al personal en esta transición. Forme a los desarrolladores e ingenieros de seguridad en formatos híbridos, compensaciones de rendimiento de algoritmos y errores comunes de compatibilidad. A medida que se pone en marcha el despliegue de PQC, actualice sus políticas criptográficas para reflejar las nuevas reglas de emisión de híbridos, los plazos de depreciación de algoritmos y los procesos de gestión de excepciones.

Conclusión

El camino hacia la implantación de la criptografía resistente a la cuántica puede ser largo y complejo, pero la preparación, la mentalidad adecuada y la elección de los socios adecuados contribuirán en gran medida a garantizar una transición sin problemas a la PQC.

Keyfactor es un socio de confianza preparado para guiar a su organización a través de la transición PQC. Juntos, podemos proteger su infraestructura de los adversarios del mañana mientras mantenemos la continuidad, el cumplimiento y la confianza hoy. Comience su viaje de cripto-agilidad hoy - nuestro equipo está aquí para ayudarle.

cuadrado Keyfactor logotipo

Autor

Keyfactor Equipo

Más entradas de Keyfactor

Entradas relacionadas

Ver todos los PQC
PQC

El tiempo corre: Claves de la nueva hoja de ruta de la UE para la criptografía post cuántica

Junio 26, 2025
PQC

Pasos clave para una criptografía cuántica segura

Junio 23, 2025
PQC

Interoperabilidad poscuántica en acción: Cómo la colaboración está dando forma al futuro PQC de la ciberseguridad

Junio 12, 2025