Plan de acción poscuántico

Protege tus datos con la transición a la criptografía poscuántica

Durante la mayor parte de los últimos dos años, los riesgos que plantea la computación cuántica han ocupado los primeros puestos de la lista de ciberseguridad de todos.

Por un lado, la computación cuántica promete ofrecer avances científicos e impulsar la innovación en otros sectores. Por otro lado, plantea una amenaza fundamental para la seguridad digital. A medida que los sistemas cuánticos maduren, tendrán capacidad para descifrar los sistemas criptográficos de clave pública que se utilizan hoy en día para proteger Internet.

El peligro no es hipotético, y no está a muchos años vista. De hecho, los delincuentes ya están recopilando datos encriptados hoy en día, apostando a que los futuros ordenadores cuánticos podrán descifrarlos, una estrategia conocida como "recopilar ahora, descifrar después". Al mismo tiempo, los recientes avances en la computación cuántica permiten a los ciberdelincuentes acceder a potentes máquinas incluso antes de lo previsto.

Recientemente tuve la oportunidad de hablar sobre estas amenazas y desafíos emergentes que plantea la computación cuántica con Scott Francis, responsable de Cyber Next en Accenture para América, y Khalid Kark, director de informática de Cloudflare para América. Examinamos algunas de las ideas y métricas destacadas en 2025 Cloudflare Signals Report y analizamos las formas en que las organizaciones pueden formular un plan para empezar a migrar a la criptografía poscuántica ahora, antes de que sus datos queden expuestos.

Seguimiento de las amenazas cuánticas, en marcha

El Instituto Nacional de Estándares y Tecnología (NIST) del Gobierno de EE. UU. ha advertido que las organizaciones deben actuar ahora para evitar verse sorprendidas por amenazas relacionadas con la tecnología cuántica. Los actores de estado-nación y los adversarios sofisticados ya están recopilando tráfico encriptado, propiedad intelectual y secretos de estado para desencriptarlos más tarde. Las comunicaciones que requieren confidencialidad durante décadas (o más), como los registros sanitarios, la inteligencia militar y los contratos legales, son especialmente vulnerables si no están protegidas con acuerdos de claves con resiliencia cuántica.

Como señaló Scott Francis en nuestro reciente debate, la IA podría acelerar significativamente el tiempo necesario para descifrar la encriptación que protege los datos. En lugar de tardar años, los ciberdelincuentes podrían utilizar la IA para descifrar una clave en cuestión de meses o semanas una vez que tengan acceso a ordenadores cuánticos, o incluso a suficientes GPU.

Para proteger los datos confidenciales, las organizaciones deben empezar a implementar la criptografía poscuántica, es decir, una criptografía que pueda resistir eficazmente los ataques de los ordenadores cuánticos. Los organismos gubernamentales y los grupos industriales de todo el mundo están estableciendo rápidamente nuevas normativas y estándares de criptografía poscuántica que impulsarán a las organizaciones. "Ha habido una explosión de cambios normativos en todo el mundo", señala Francis. "Las organizaciones que han logrado evitar la planificación poscuántica hasta ahora no podrán evitarla por mucho tiempo".

Tendencias y deficiencias en la adopción de la criptografía poscuántica

La buena noticia es que muchas organizaciones están adoptando la criptografía poscuántica. Según un análisis del tráfico de red, solo el 3 % del tráfico HTTPS se encriptaba con algoritmos poscuánticos a principios de 2024. En marzo de 2025, esa cifra alcanzó el 38 %, tras la implementación de Cloudflare de Transport Layer Security (TLS) poscuántica híbrida por defecto, y la compatibilidad de navegadores de Chrome, Edge y Firefox. En algunos países europeos, el uso de algoritmos poscuánticos supera el 50 %. Aun así, la adopción es desigual e inmadura. La mayoría de los entornos empresariales se encuentran en las primeras fases de desarrollo o prueba piloto.

Los líderes tecnológicos también son conscientes de que la criptografía poscuántica requiere un cambio integral. El cambio a la criptografía poscuántica no solo afecta a los puntos finales de TLS, sino también a la infraestructura de clave pública (PKI), las identidades de las máquinas, los sistemas operativos y el software comerciales, las cadenas de suministro de código abierto, los recursos de hiperescala y mucho más. No todas las organizaciones están preparadas y son capaces de iniciar una transformación a tan gran escala.

—Scott Francis, director para América de Cyber Next, Accenture

Plan de migración en seis pasos hacia la criptografía poscuántica

¿Cómo puedes preparar tu organización para el futuro frente a las amenazas que planteará la computación cuántica, al tiempo que proteges los datos ahora? En la conversación con Scott Francis y Khalid Kark, todos estuvimos de acuerdo en que un plan de acción de varios pasos para la computación poscuántica debería incluir los siguientes puntos clave.

1. Entender por qué estás implementando cambios.
   En primer lugar, los responsables deben aclarar por qué una transformación criptográfica es tan importante para su organización en particular. ¿Lo estás haciendo para satisfacer a los reguladores? ¿Estás intentando proteger los datos durante los próximos 30 años? ¿Tu negocio se está expandiendo a nuevas geografías en las que tendrás que cumplir con las normativas específicas de cada país?
   
   Según Scott Francis, "necesitas tener un plan impulsado por el riesgo empresarial, no por tu comprensión de la tecnología que crees que debes cambiar. Empieza por el riesgo empresarial y continúa con los datos técnicos".

2. Documenta todos los lugares en los que se utiliza la criptografía.
   Hacer un inventario preciso de dónde estás utilizando la criptografía en tu entorno informático debería ser el siguiente paso. Sin una visibilidad completa, corres el riesgo de dejar desprotegidos los sistemas críticos. Sin embargo, los sistemas criptográficos suelen estar insuficientemente documentados. Deberá examinar todo, incluidos los sistemas integrados, las cargas de trabajo en la nube, las aplicaciones heredadas, las API y los dispositivos IoT.
   
   Será esencial emplear herramientas de detección y supervisión de activos capaces de identificar criptografía obsoleta o vulnerable a la tecnología cuántica. Por ejemplo, las plataformas de detección y respuesta ampliadas (XDR) con telemetría de red profunda y de punto final pueden ayudar a descubrir criptografía obsoleta, detectar comportamientos de fallback inseguro y, a continuación, automatizar los flujos de trabajo de corrección.
   
   Una vez que tengas un inventario preciso, puedes crear una lista de proyectos de migración, priorizados según el riesgo y el nivel de esfuerzo.

3. Integra la preparación poscuántica en la evaluación de proveedores.
   No todos los proveedores son iguales a la hora de cumplir con los últimos estándares regulatorios. Deberás evaluar minuciosamente la agilidad criptográfica de tus proveedores, especialmente de los proveedores de seguridad que tunelizan el tráfico de la red corporativa. Es posible que tengas que descartar a los proveedores que no admitan el cifrado híbrido o cuántico, especialmente si operas en los sectores gubernamental, financiero o de defensa. Esos proveedores podrían convertirse en eslabones débiles que dejen expuesta a tu organización.

4. Prioriza las migraciones de acuerdos de claves.
   Debido a la amenaza que supone la recopilación ahora y el descifrado más adelante, existe una clara ventaja en garantizar que tus protocolos de acuerdo de claves sean resistentes a la tecnología cuántica en este momento. La transición a TLS 1.3 con ML-KEM (Module Lattice Key Encapsulation Mechanism, también conocido como el estándar FIPS 203 poscuántico) será un paso importante para garantizar la confidencialidad de los datos en el futuro.

5. Documenta las migraciones de firmas, pero no las priorices todavía.
   Las organizaciones siguen trabajando para llegar a un consenso sobre el enfoque adecuado para migrar a las firmas poscuánticas. Afortunadamente, estas firmas protegen principalmente contra los ataques activos en ruta, lo que hace que esta migración tenga menos prioridad.

6. Planifica la agilidad de las criptomonedas.
   A medida que avanza la era poscuántica, a menudo de forma impredecible, las organizaciones deben estar preparadas para el cambio continuo. Por ejemplo, los cambios geopolíticos están creando economías más protectoras y normativas específicas de cada país. Si tu organización opera en varios países, necesitarás la flexibilidad necesaria para cumplir con varios estándares criptográficos.
   
   El objetivo debe ser la agilidad criptográfica, que el NIST define como la capacidad de reemplazar y adaptar los algoritmos criptográficos sin interrumpir los sistemas en ejecución. Las organizaciones deben ser capaces de responder a los cambios sin problemas. Pero, por supuesto, eso puede ser extremadamente difícil, especialmente dada la cantidad de cargas de trabajo y aplicaciones que las organizaciones deben mantener disponibles de forma continua.

—Scott Francis, director para América de Cyber Next, Accenture

Avances hacia la era cuántica

La mayoría de las organizaciones están avanzando hacia esta nueva era como si se tratara de una visita al dentista criptográfico que deberían haber hecho hace mucho tiempo. Y deberían esperar algunas molestias, algunos costes nuevos y algunas sorpresas. Sin embargo, postergarlo solo empeora la situación. Como señaló Scott Francis en nuestro debate: "La conformidad puede ser el motor inicial que impulse un cambio. Pero si el resultado es la seguridad a largo plazo para tus datos y tus clientes, entonces merece la pena".

La prioridad ahora no debería ser reemplazar todo de la noche a la mañana, sino mejorar la visibilidad e iniciar la ruta de actualización. Aquellos que actúen pronto estarán mejor posicionados para gestionar el cambio poscuántico, antes de que se convierta en una crisis. Aunque este tipo de transición puede parecer abrumador, debería parecerse a muchos proyectos de modernización. Con el plan y las herramientas adecuadas, puedes empezar a modificar los procesos gradualmente y luego implementar la automatización para ayudarte a iterar con el tiempo.

Mientras te preparas para la era cuántica, Cloudflare ofrece funciones avanzadas de criptografía poscuántica para ayudarte a avanzar en ese camino. Por ejemplo, TLS 1.3 con ML-KEM poscuántico protege los sitios web y las API contra amenazas de recopilación de datos para su descifrado posterior. La puerta de enlace web segura (SWG) de Cloudflare es compatible con la criptografía poscuántica, lo que garantiza que mantengas una visibilidad completa del tráfico encriptado durante tu migración a la criptografía poscuántica. Además, las capacidades de seguridad Zero Trust aplican protección poscuántica, mientras que la solución de cliente permite la tunelización cuántica segura para cualquier protocolo desde los dispositivos de usuario a sus entornos. Con Cloudflare, puedes proteger hoy tus datos para que no sean objeto de recopilación, al mismo tiempo que te preparas para el futuro cuántico, todo ello mientras reduces la complejidad de las implementaciones criptográficas.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.

Más información sobre este tema

Obtén más información sobre cómo prepararte para las amenazas de la computación cuántica en 2025 Cloudflare Signals Report: Resilience at Scale.

Autor

Trey Guinn — @treyguinn, director técnico, Cloudflare

CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

• Cómo la computación cuántica supone una grave amenaza para la seguridad de los datos

• Por qué las organizaciones deben empezar a planificar ahora las amenazas cuánticas

• Cómo crear un plan de acción integral para abordar los riesgos cuánticos

Recursos relacionados

• 2025 Cloudflare Signals Report: Resilience at Scale

• Las amenazas cuánticas son reales. ¿Está preparada tu seguridad?

• Señales de seguridad en nuestra era poscuántica