Para hacer frente a esta amenaza latente, la criptografía poscuántica (PQC) se ha convertido en una prioridad. Abarca todos los métodos criptográficos diseñados para resistir las capacidades sin precedentes de la computación cuántica, entre ellos el cifrado poscuántico, centrado en proteger específicamente la confidencialidad de los datos mediante algoritmos de cifrado adecuados.
Según un estudio publicado por la ANSSI, el 50% de las organizaciones encuestadas en Francia está expuesto a los riesgos que plantearán futuros ataques cuánticos, especialmente relacionados con el uso de VPN o de certificados de larga duración. La Agencia Nacional de la Seguridad de los Sistemas de Información francesa insta a los beneficiarios de soluciones poscuánticas a empezar a preparar su migración lo antes posible.
Índice de temas
Principios y objetivos del cifrado poscuántico
El cifrado poscuántico, como conjunto de nuevos algoritmos criptográficos, están diseñados para resistir la potencia de los futuros ordenadores cuánticos. A diferencia de las tecnologías actuales, basados en problemas matemáticos y que a los ordenadores convencionales les llevaría muchísimo tiempo resolver, estos nuevos enfoques están concebidos para ser robustos incluso frente a máquinas capaces de utilizar las leyes de la física cuántica para explorar simultáneamente un gran número de posibles soluciones a determinados problemas matemáticos. Es esencial destacar que este cifrado sea compatible con el hardware actual, lo que significa que puede desplegarse de forma gradual, sin necesidad de esperar a la llegada efectiva de los ordenadores cuánticos.
El cifrado poscuántico, como conjunto de nuevos algoritmos criptográficos, están diseñados para resistir la potencia de los futuros ordenadores cuánticos
MARINE GONINET, STORMSHIELD
El cifrado poscuántico encuentra su lugar natural allí donde la criptografía ya es esencial: comunicaciones seguras, transacciones financieras, almacenamiento en la nube, infraestructuras críticas u objetos conectados. Sin embargo, hay sectores que deben prestar atención más inmediata a esta transición. La banca, por ejemplo, depende en gran medida de la seguridad de los pagos y de la confidencialidad de los datos de los clientes. Del mismo modo, el sector sanitario —donde la protección de las historias clínicas y de las comunicaciones entre profesionales es crucial— no puede permitirse quedarse atrás en esta transformación. Para estos sectores, anticiparse a la amenaza cuántica no es una opción, sino una necesidad estratégica, especialmente si tenemos en cuenta el largo periodo de tiempo durante el cual debe mantenerse la confidencialidad de los datos.
Progreso de la criptografía poscuántica frente a los retos industriales y técnicos
La estandarización de la criptografía poscuántica es un proceso en curso, impulsado principalmente por el NIST (National Institute of Standards and Technology). Este trabajo tiene como objetivo validar algoritmos que sean robustos, de alto rendimiento y seguros frente a las amenazas que plantearán los futuros ordenadores cuánticos. Pero, más allá de la selección de algoritmos seguros, esta estandarización también implica definir buenas prácticas para su implementación, con el fin de evitar errores en los casos de uso reales.
Desde el punto de vista tecnológico, destacan dos conceptos clave: por un lado, la hibridación, que consiste en combinar algoritmos convencionales con los postcuánticos para asegurar la transición, especialmente durante el tiempo necesario para poner a prueba la solidez de dichos algoritmos poscuánticos a largo plazo. Una segunda clave es la criptoagilidad, es decir, la capacidad de un sistema para cambiar rápidamente de algoritmo en caso de que se descubra una vulnerabilidad. Dado que ambos conceptos son fundamentales para acompañar la transición hacia PQC, serán objeto de estandarización o de recomendaciones específicas en función del uso.
Al mismo tiempo, el grado de madurez de los distintos actores es desigual. En el lado de los proveedores, observamos cierta movilización, ya que muchos están siguiendo activamente las recomendaciones actuales e integrando poco a poco los nuevos estándares en sus productos. En el lado de los usuarios finales, el panorama es más heterogéneo. Algunos sectores siguen esperando directrices claras, mientras que otros, más sensibles a las cuestiones de seguridad, ya están anticipando los cambios que vienen.
El papel de las autoridades españolas y europeas en su regulación
España, según el CCN-CERT, sigue la misma línea sobre la necesidad de garantizar que las administraciones públicas y los operadores estratégicos utilicen el estado del arte criptográfico y planifiquen esa transición. Según dicho organismo, el 93,5% de las empresas españolas ya reconoce que la computación cuántica supone un riesgo directo para su organización, pero solo una de cada diez ha empezado realmente a abordar el impacto que tendría sobre su infraestructura de clave pública y sus mecanismos de firma digital actuales.
En este contexto, el papel del CCN es clave a la hora de concienciar sobre el impacto de la computación cuántica en los sistemas criptográficos que actualmente protegen a las administraciones públicas y a los operadores de servicios esenciales. Tano el CCN como sus homólogos europeos, sugieren anticipar los costes, los plazos y la complejidad asociados a la migración hacia la PQC, con el fin de evitar una transición precipitada y arriesgada.
En el ámbito europeo, ya existen las bases para esta transición. El Cyber Resilience Act (CRA) impondrá a los proveedores la obligación de cumplir requisitos estrictos, con evaluaciones programadas en función del nivel de criticidad de las soluciones.
Conforme avanzan las tecnologías cuánticas, la implantación de la criptografía poscuántica se convierte en un reto esencial para garantizar la seguridad de los sistemas de información. Esta transición requiere una adaptación progresiva de las infraestructuras y una coordinación entre los diferentes actores del sector. Más allá de los aspectos técnicos, también plantea cuestiones organizativas y estratégicas que deben abordarse para asegurar una implantación eficaz.
