Introducción: ¿Por qué importa el PQC?
Cuántico La computación está en el horizonte y cambiará radicalmente los sistemas criptográficos que protegen nuestros datos, comunicaciones e infraestructura. El momento de empezar a prepararse es ahora. En esta serie de seis artículos sobre criptografía poscuántica (PQC), los expertos en criptografía de F5 explicarán qué está en riesgo, qué oportunidades se avecinan y qué acciones puede tomar su organización hoy para mantenerse segura en un mundo poscuántico. El futuro está más cerca de lo que piensa. Prepárémonos juntos.
En 2015, la Agencia de Seguridad Nacional (NSA) de EE. UU. interrumpió la transición de la industria hacia la Criptografía de Curva Elíptica (ECC) desde los sistemas criptográficos Rivest-Shamir-Adleman (RSA), muy extendidos, al afirmar: «Para los socios y proveedores que aún no hayan adoptado los algoritmos de curva elíptica Suite B, recomendamos no hacer un gasto significativo ahora, sino prepararse para la próxima transición a algoritmos resistentes a la computación cuántica».
Desde entonces, han surgido muchas proyecciones y, honestamente, especulaciones sobre cuándo estará disponible una computadora cuántica capaz de romper RSA y ECC. Incluyen la afirmación de que existe una probabilidad de una entre siete de que la criptografía ampliamente utilizada sea vulnerada para 2026 y una posibilidad del 50% de que quede obsoleta para 2031.
Recientemente, Satya Nadella, director ejecutivo de Microsoft, afirmó que un procesador de un millón de qubits está al alcance. Microsoft, junto con hiperescaladores como IBM, Google y AWS, lideran la investigación cuántica y ofrecen malware sandbox en sus respectivas plataformas en la nube. F5 Labs, en su artículo Predicciones de ciberseguridad para 2025, destaca que, aunque la computación cuántica capaz de romper criptografía directamente no es inminente, en 2025 veremos cómo la IA se emplea para vulnerar la criptografía tradicional.
La criptografía poscuántica afectará a todas las industrias y regiones.
No somos expertos en curvas predictivas
El “Día Q” se acerca. No sabemos exactamente cuándo será. La industria de la seguridad ha hecho predicciones antes, pero aquí vemos claramente cómo los líderes de opinión y las autoridades reguladoras tratan de anticiparse.
En 2000, Salesforce lanzó la primera API disponible públicamente. En 2019, el Open Worldwide Application Security Project (OWASP) lanzó su primer proyecto de seguridad para APIs. Han cambiado varias previsiones sobre cuándo alcanzaremos la Inteligencia Artificial General (AGI), situándose entre 2040 y 2070, pero el rápido avance de la IA generativa junto con los progresos en computación cuántica generan serias dudas de que estas fechas se cumplan; probablemente sucederá mucho antes.
Como mencionamos en el blog inicial de esta serie, la situación de “capturar ahora, descifrar después” es real, y el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. ya ha estado publicando recomendaciones sobre algoritmos resistentes a la era post-cuántica.
Q-Day afectará todas las áreas de seguridad, incluidas las aplicaciones web, las API y los ecosistemas de IA conectados entre sí.
¿Cómo se posicionan las distintas industrias?
La computación cuántica permitirá a los atacantes dirigir con mayor precisión sus ataques contra las redes eléctricas, financieras, los sistemas gubernamentales y las redes de telecomunicaciones. Sectores como la salud y el comercio electrónico deben cumplir normativas que les exigen proteger información confidencial de los clientes, en parte mediante la aplicación de criptografía sólida.
Las mayores organizaciones en estos sectores cuentan con más de 30 millones de activos que tendrás que adaptar para soportar la criptografía poscuántica (PQC). Todas las empresas están en riesgo cuando aparezca un ordenador cuántico capaz de romper el cifrado actual, especialmente aquellas que gestionan propiedad intelectual, historiales médicos, transacciones financieras o información relacionada con la seguridad nacional.
La investigación de F5 Labs indica que la mayoría del millón de sitios web principales prefieren TLS 1.3, lo que les da el potencial de soportar PQC, pero el soporte disminuye rápidamente para los menos populares. Safari aún no es compatible con PQC, lo que distorsiona significativamente el análisis de la preparación del lado del cliente. Si bien el impacto va mucho más allá del tráfico web, este es un indicador importante de la preparación de la industria.
Las industrias han avanzado hacia la criptografía poscuántica, pero aún quedan rezagadas.
La realidad es que los líderes más rápidos de todos los sectores apenas han empezado a incorporar soporte PQC, dejando a todo el mundo online en una vulnerabilidad enorme. En particular, las instituciones financieras, organizaciones sanitarias, proveedores de telecomunicaciones y organismos gubernamentales, que representan gran parte de la infraestructura crítica y gestionan los datos más confidenciales y sensibles, cuentan con tasas bajas de sitios habilitados para PQC.
El sector bancario es sorprendentemente lento en adoptar PQC; solo 4 de los 145 bancos identificados (2,9 %) utilizan cifrados postcuánticos. El 8,5 % de los sitios de salud y el 7,1 % de los gubernamentales dentro del millón superior analizado ya cuentan con soporte para PQC.
El sector tecnológico está en mejor posición, con casi un 12 % de los sitios que ya admiten PQC. Las organizaciones más pequeñas suelen optar por plataformas de alojamiento web o SaaS, lo que les proporciona todos los controles de seguridad de esas plataformas, incluida la compatibilidad con PQC.
La conciencia es fundamental (sin doble sentido…)
La proliferación de APIs y el auge de la IA generativa han copado las noticias de seguridad, pero debemos llevar la preparación para PQC a la sala de juntas. Gestionar el riesgo en un contexto geopolítico cambiante de forma aislada es una fórmula para el fracaso. El liderazgo debe estar alineado, ya que PQC no es solo una función dirigida por seguridad. Las áreas de aplicaciones, infraestructura, seguridad y riesgo necesitan formarse y capacitarse en conceptos de PQC y estrategias de migración. Los actores clave y los investigadores deben mantenerse actualizados sobre los estándares, ataques y mejoras de rendimiento de PQC, utilizando las mejores prácticas y laboratorios de prueba.
La industria jugará un papel clave y debe colaborar con universidades y proveedores. Por ejemplo, los proveedores de servicios con infraestructura centralizada, autoridades de certificación internas y una relación cercana con los proveedores están en una posición ideal para gestionar la carga que implican las claves y firmas PQC más grandes. Estas redes pueden adoptar rápidamente los algoritmos PQC emergentes y servir como referencia para quienes quedan rezagados.
El equilibrio entre estar preparado y ser ágil
El inventario es fundamental y requiere combinar métodos manuales y automatizados para evaluar y priorizar riesgos. Debemos enfocarnos en los elementos tecnológicos que gestionan datos financieros, reputación y clientes.
Revisamos y actualizamos continuamente el PQC para mantener una gobernanza adecuada, evaluar nuevos algoritmos, analizar proveedores, asegurar la alineación con marcos regulatorios y mantener la eficacia de los programas de seguridad.
La Plataforma de Gestión y Seguridad de Aplicaciones (ADSP) de F5 está lista para PQC.
Los suites de cifrado híbridos que combinan algoritmos clásicos con algoritmos poscuánticos ofrecen seguridad frente a adversarios tanto clásicos como cuánticos. Si gestionas y proteges aplicaciones mediante una CDN, SaaS o una plataforma ADC actualizando continuamente cifrados y estándares, estarás preparado para el Día Q. Las organizaciones restantes deben evaluar rápidamente su riesgo y definir una estrategia de preparación clara.
Adoptar PQC no es una decisión sencilla y binaria, sino una transición progresiva que depende de la tecnología, el rendimiento, la interoperabilidad y los requisitos específicos de cada industria y sus casos de uso.
Las plataformas convergentes aseguran la entrega segura de aplicaciones, API y cargas de trabajo de IA en cualquier entorno, con un soporte sólido de PQC y capacidades XOps potentes que minimizan el esfuerzo operativo mediante IA, automatización, análisis y programabilidad.
Para más información, visita las soluciones de F5 para la preparación en PQC.
Mantente atento a la próxima entrada de nuestro blog, donde te explicaremos los estándares y los plazos de PQC.