La computación cuántica ya está cerca y cambiará por completo los sistemas criptográficos que protegen tus datos, comunicaciones e infraestructura. Ahora es el momento de empezar a prepararte. En esta serie de seis artículos sobre criptografía poscuántica (PQC), expertos en criptografía de F5 te explicarán qué está en riesgo, qué oportunidades se abren y qué pasos puede dar hoy tu organización para mantenerse segura en un mundo poscuántico. El futuro está más próximo de lo que imaginas. Preparemos el camino juntos.
La criptografía poscuántica (PQC) no es un problema de “algún día”; ya está transformando cómo diseñamos sistemas seguros. La computación cuántica compromete el cifrado actual, y la táctica “captura hoy, descifra después” ya está en marcha. Con FIPS 203 ratificado y soportado en F5 BIG-IP v17.5.1, parte de la Plataforma de entrega y seguridad de aplicaciones F5, puedes empezar a implementar el intercambio híbrido de claves PQC en producción.
FIPS 203 (ML-KEM, basado en Kyber) es el primer estándar estadounidense. El Instituto Nacional de Tecnología (NIST) aprobó un algoritmo postcuántico para el cifrado de clave pública y el intercambio de claves TLS. Sin PQC, es posible recopilar ahora datos de larga duración en tránsito y descifrarlos más tarde. Esto significa que las API, los portales de clientes y los intercambios B2B sensibles están en riesgo incluso antes de que existan computadoras cuánticas a gran escala.
Por eso damos máxima prioridad hoy al PQC híbrido, sobre todo en sistemas que protegen información personal identificable, datos de pago o información confidencial.
Piensa en el PQC híbrido como llevar puesto el cinturón de seguridad y el airbag a la vez. La criptografía clásica actual (como RSA o ECC) sigue siendo eficaz contra los atacantes habituales, pero las computadoras cuánticas acabarán superándola. Al combinar métodos tradicionales con algoritmos postcuánticos en el mismo protocolo, obtienes dos capas de protección: la seguridad comprobada de lo que usamos hoy y una capa resistente a lo cuántico que protege frente a las amenazas futuras.
Desde un punto de vista práctico, el PQC híbrido significa que tu navegador, app o conexión API establece claves usando tanto un algoritmo probado (como X25519) como un algoritmo PQC (como ML-KEM). Mientras al menos uno funcione, tus datos estarán protegidos. Es algo esencial ahora mismo porque atravesamos un periodo de transición: los métodos antiguos están ampliamente desplegados y son eficientes, mientras los nuevos aún se prueban, estandarizan y despliegan. El enfoque híbrido asegura compatibilidad sin interrupciones, cerrando el riesgo de “capturar hoy, descifrar luego”.
Por eso los reguladores y organismos como NIST recomiendan una adopción híbrida: te permite proteger los flujos de datos sensibles ahora, mientras te preparas, ajustas y pruebas para un futuro completamente post-cuántico.
El primer paso consiste en activar PQC en los puntos TLS más expuestos, como portales de inicio de sesión, aplicaciones web y API, antes de extenderlo a los servicios internos. Los puntos de terminación en el borde, como las CDN y los gateways de API, son objetivos iniciales naturales, porque puedes aplicar el intercambio híbrido de claves aquí sin modificar los sistemas backend.
Cómo puedes utilizar PQC entre el cliente y F5 BIG-IP, y también entre BIG-IP y un servidor con capacidad PQC.
Adoptar PQC en tus aplicaciones web no solo implica cumplir con un requisito, sino fortalecer tu arquitectura de seguridad para hacerla más resistente. Con FIPS 203 (ML-KEM) ya aprobado y soportado en BIG-IP v17.5.1, los clientes de F5 pueden activar PQC híbrido en el borde, donde maximiza la reducción de riesgos con la mínima interrupción operativa.
Uno de los mayores beneficios surge de la centralización. Al implementar PQC en la plataforma F5, puedes añadir protección resistente a la computación cuántica en TLS sin tener que reestructurar cada aplicación individual. Así, portales sensibles, APIs e intercambios B2B cuentan con protección contra ataques de “capturar ahora, descifrar después” mediante un único punto de control. Además, facilita los informes de auditoría y cumplimiento, fundamentales porque agencias como la U.S. Cybersecurity & Infrastructure Security Agency (CISA) y organismos de estándares como NIST promueven una preparación acelerada para la era poscuántica tanto en el sector público como privado.
El rendimiento y la compatibilidad también son importantes. El intercambio híbrido de claves combina un algoritmo clásico eficiente como X25519 con ML-KEM, asegurando que el tráfico continúe siendo compatible con los navegadores y clientes actuales mientras añade una capa de seguridad cuántica. Como BIG-IP ya realiza la terminación TLS, puedes aprovechar sus capacidades de optimización para compensar parte de la carga computacional que introduce PQC. Así, se reduce la pérdida de rendimiento que, de lo contrario, recaería directamente en los servidores de aplicaciones.
Por último, te ofrecemos un beneficio estratégico. Al implementar PQC con F5, posicionamos a tu organización como pionera en un entorno de seguridad que evoluciona rápidamente. Clientes, reguladores y socios exigen cada vez más garantías de que tus datos estarán protegidos contra amenazas futuras. Demostrar PQC habilitado por F5 en producción revela liderazgo técnico y un compromiso firme con la protección duradera de tus datos. En muchos sectores, eso marca la diferencia.
PQC no es un cambio puntual, sino el inicio de una evolución constante en los estándares criptográficos. Empieza con tus servicios más expuestos y luego amplía el alcance. Habla con tus socios sobre la preparación para PQC y programa revisiones periódicas conforme surjan nuevos estándares.
Puntos clave:
Mantente atento a la última entrada de nuestra serie, donde vamos más allá de PQC para abordar un enfoque integral que mitigue los riesgos cuánticos.
También, no olvides consultar nuestras entradas anteriores de esta serie en el blog:
Aplicaciones, redes y sistemas heredados bajo la amenaza cuántica: Perspectiva de un CISO
Comprender los estándares y plazos de PQC