Aplicaciones, redes y sistemas heredados en la mira cuántica: Perspectiva de un CISO

Como hemos explicado en las primeras entradas del blog de esta serie, la computación cuántica capaz de romper el cifrado estándar actual —el llamado "Q-Day"— es cuestión de cuándo, no de si ocurrirá. El calendario es incierto, pero las consecuencias son inmediatas, especialmente por los riesgos de "capturar ahora, descifrar después": Los adversarios pueden recoger datos cifrados hoy y descifrarlos cuando las tecnologías cuánticas sean viables.

Muchas organizaciones deben proteger datos personales sensibles mucho más allá de los plazos habituales para la planificación del riesgo. Aunque ya se han ratificado nuevos estándares criptográficos poscuánticos y algunos controladores de entrega de aplicaciones (ADC) y redes de entrega de contenido (CDN) ofrecen protecciones híbridas, el reto es urgente: La deuda técnica acumulada en sistemas heredados requerirá atención pronto, mientras crece la presión de reguladores y grupos de interés.

Esta opinión del CISO: es hora de actuar y no descuides los aspectos de gobernanza, riesgo y cumplimiento (GRC). Prepárate para auditorías, mayor escrutinio y un nuevo ecosistema que valide la preparación cuántica desde 2026. Los equipos de seguridad y GRC ya gestionan una complejidad enorme al evaluar proveedores, sobre todo con dispositivos antiguos o que no se pueden actualizar. Contar con un mensaje claro, un estado definido y reportes precisos beneficiará mucho a tu organización en los próximos años.

Aunque solemos considerar los riesgos cuánticos como una preocupación futura, la ratificación oficial de los estándares PQC inaugura una nueva era. Gartner prevé que los métodos criptográficos asimétricos más usados podrían quedar comprometidos desde 2029 y quedar completamente obsoletos en 2034.*

Estamos más cerca de 2029 que de 2020; queda poco tiempo para un proyecto de varios años, especialmente uno que aún no has definido, priorizado, presupuestado ni en el que te hayas comprometido. Como comprobarás, el alcance de la tecnología obsoleta y de los dispositivos no actualizables será mayor de lo que muchos creen.

Para CISOs, CTOs y CIOs, no prepararse proactivamente para la PQC supone un riesgo crítico para la resiliencia empresarial y, lo que es peor, uno que llevamos anticipando más de una década. Retrasar la acción puede exponer a las organizaciones a brechas previsibles, incumplimientos regulatorios como el Reglamento General de Protección de Datos (GDPR) y daños reputacionales. 

No es momento de alarmarte, pero sí de actuar con urgencia y planificar de forma coordinada entre organizaciones y cadenas de suministro. Al preparar tus estrategias para 2026, invertir estratégicamente y diseñar planes de acción concretos para PQC serán fundamentales para ejercer un liderazgo en seguridad responsable en la era de la IA y la computación cuántica. 

Estados Unidos. El Instituto Nacional de Estándares y Tecnología (NIST) ha trazado un camino claro, al finalizar algoritmos PQC como ML-KEM (FIPS 203) para intercambio de claves, ML-DSA (FIPS 204) para firmas digitales y SLH-DSA (FIPS 205) para firmas de respaldo. Estos estándares probados ofrecen una base técnica sólida, trasladando el PQC de lo teórico a lo práctico. La orientación del NIST es firme: las normas están ratificadas y ahora es el momento de implementar la primera tanda.

Y dado que las computadoras contra las que te proteges aún no existen (según nuestro conocimiento), esta es la PRIMERA migración hacia un nuevo cifrado. El objetivo no es una actualización puntual; buscamos que la “criptoagilidad” se convierta en una capacidad esencial para tu área de TI y cadena de suministro, ya que necesitarás repetir este proceso cada vez que aparezcan nuevas amenazas cuánticas. Y otra vez. Y otra vez.

Esta primera implementación de los estándares PQC será principalmente una actualización de software. Pero para lograr la criptoagilidad, es decir, la capacidad de actualizar rápidamente la criptografía conforme evolucionan los estándares, tendrás que realizar cambios profundos en la gestión de activos, la gobernanza y las operaciones de TI. Los equipos de GRC deben prepararse para abarcar un amplio alcance que incluye inventario, gestión de versiones, pruebas de compatibilidad y registros de riesgos.

Las transiciones mal gestionadas elevan el riesgo de cortes, interrupciones operativas y incumplimientos, especialmente en entornos híbridos, multinube y heredados. 

La PQC impacta directamente en las aplicaciones, no solo en la infraestructura. Adoptar criptografía cuántica segura implica más que cambiar una biblioteca: requiere revisiones sustanciales del código en componentes criptográficos profundamente integrados. Ante un esfuerzo que puede durar años, los CISO y líderes de GRC deben anticipar resistencia, quejas por falta de recursos, elevados costes en consultorías especializadas, obstáculos internos y cambios constantes en los casos de negocio, agravados frecuentemente por la escasa documentación de sistemas heredados. 

Actuar pronto evita crisis futuras y facilita un cambio más consciente y menos disruptivo. Muchas empresas desconocen aspectos clave, por lo que gestionar a las partes interesadas en este tema resultará esencial para el éxito y la ejecución. 

Los algoritmos PQC requieren claves más grandes y mayor capacidad computacional, lo que puede afectar la latencia y el rendimiento de tus aplicaciones, especialmente en cargas de trabajo críticas en tiempo.

La modernización para apoyar PQC suele revelar deudas técnicas ocultas, lo que provoca sobrecostes, pero ofrece beneficios duraderos en resiliencia y rendimiento.

Debes gestionar la expectativa de que no todos los sistemas pueden actualizarse y que no se trata de un evento puntual que instalas y olvidas. Comunica a las partes interesadas que el descubrimiento y adaptación constantes son la nueva norma, y que durante esta transición surgirán nuevos retos con el tiempo.

PQC transformará los dispositivos de red, los servidores y los servicios en la nube, especialmente los que gestionan la terminación y el cifrado TLS. Aunque muchos navegadores y servidores se adaptarán, muchos sistemas antiguos deberán actualizarse o sustituirse debido al mayor consumo de ancho de banda y a las demandas de procesamiento.

Una perspectiva estratégica para planificar la seguridad es distinguir entre el impacto de PQC en los mecanismos de intercambio de claves (KEM) frente a las firmas digitales en protocolos como TLS. Debes priorizar imponer cuanto antes los KEM PQC (por ejemplo, ML-KEM) para frenar las amenazas de "captura ahora, descifrado después", ya que protegen datos a largo plazo que los adversarios ya están recopilando.

Puedes implementar la firma digital con un calendario más controlado y basado en el riesgo, ya que la falsificación solo ocurre durante sesiones activas.

Los HSM son esenciales para gestionar claves criptográficas, pero presentan desafíos en un entorno PQC. Las claves más grandes y la mayor demanda de procesamiento de los algoritmos resistentes a la computación cuántica pueden superar la capacidad del hardware actual, que tiene recursos limitados. Técnicas como la generación de claves basada en semillas alivian el almacenamiento, aunque añaden carga computacional. Actualizar a HSM compatibles con PQC suele implicar más coste, complejidad y tiempo, pero resulta imprescindible para mantener la integridad criptográfica.

El mayor desafío del PQC es su impacto en la tecnología operativa (OT), IoT y otros sistemas integrados que no están diseñados para una gestión criptográfica flexible. Estos dispositivos suelen carecer de la memoria, almacenamiento o capacidad de cálculo necesarias para manejar las claves PQC más grandes y las demandas de procesamiento aumentadas. Por eso, necesitamos una colaboración transversal entre ciberseguridad, infraestructura y gestión de datos, todo dentro de plazos cada vez más reducidos. En muchos casos, deberás segmentar la red para ganar tiempo hasta que se pueda sustituir o actualizar el dispositivo.

F5, con su amplia experiencia en entrega y seguridad de aplicaciones, está en una posición privilegiada para guiar a las organizaciones durante esta transición. La plataforma de entrega y seguridad de aplicaciones de F5 (ADSP) ya integra sin fisuras las soluciones de preparación para PQC, facilitando tanto la entrega como la seguridad de las aplicaciones en entornos híbridos, multinube y heredados.

Como destacó recientemente la firma analista líder EMA en su Vendor Vision 2025: Edición Black Hat: “La Plataforma de Entrega y Seguridad de Aplicaciones (ADSP) de F5 no es solo una herramienta para proteger aplicaciones; es una solución avanzada diseñada para salvaguardar activos críticos frente a amenazas emergentes, incluido el reto inminente de la computación cuántica... La integración temprana y firme de F5 en la preparación para la criptografía post-cuántica (PQC) la diferencia claramente de competidores que aún están en fase experimental.”

Las herramientas unificadas de F5 para visibilidad, gestión y evaluación de amenazas hacen que coordinar una transición segura frente a la computación cuántica sea más accesible y no afecte tu agilidad empresarial. Como empresa intermediaria, actuamos como “tu aliado en el camino” para ayudarte a centralizar y automatizar las transiciones criptográficas en el borde de la red y el acceso a las aplicaciones, además de ofrecer telemetría e inteligencia basada en IA para gestionar amenazas de forma continua. Esta estrategia enfrenta directamente el reto de "cambiar motores en un avión en pleno vuelo" al separar la migración a criptografía post-cuántica del ciclo principal de desarrollo de aplicaciones, reduciendo drásticamente la carga operativa inmediata y el riesgo de caídas.

El trayecto hacia PQC es una transformación que llevará varios años. Como líder en seguridad, debes concretar el reto, gestionar expectativas y planificar con flexibilidad ante cambios de fechas por nuevas amenazas o problemas heredados. Con preparativos proactivos, convertirás el mandato y la urgencia de PQC en una oportunidad estratégica para, por fin, abordar la deuda tecnológica acumulada, ya que volveremos a enfrentar este reto. Aprovecha para obtener visibilidad completa, modernizar las operaciones y mostrar un liderazgo claro en resiliencia digital.

Las organizaciones que triunfen serán las que consideren y comuniquen la PQC como una evolución constante en toda la empresa, no como una actualización puntual. Aborda el proceso de forma integral, difunde el mensaje a lo largo de tu organización y cadena de suministro, e invierte en las bases desde ahora. Esta es tu oportunidad para fortalecer la organización y asegurar un futuro más seguro, ágil y resiliente. Tu liderazgo en esta era marcará la continuidad, el cumplimiento y la reputación de la organización en los próximos años, y en F5 te apoyamos en cada paso. 

Para saber más, apúntate a nuestro próximo webinar, “Preparar la ciberseguridad para el futuro: Dominando PQC.” 

También, no olvides consultar nuestras entradas anteriores de esta serie en el blog:

Una valoración sobre el auge de la criptografía postcuántica

Preparando el terreno: ¿Por qué importa el PQC?

Comprender los estándares y los plazos de PQC

* Gartner, “Empiece ya la transición a la criptografía post-cuántica”, por Mark Horvath, 30 de septiembre de 2024