Para 2029, la computación cuántica dejará obsoleta la criptografía tradicional, que dejará de ser segura. Por ello, merece la pena iniciar ya la transición a la criptografía poscuántica.
- ¿Eres cliente de Gartner? Log in para obtener resultados de búsqueda personalizados
La criptografía poscuántica ofrece la próxima generación de protección de datos
El cifrado asimétrico está presente en la mayoría de software, dispositivos globales y comunicaciones por internet. Sin embargo, para 2029, los avances en la computación cuántica harán que la criptografía asimétrica deje de ser segura y, para 2034, será completamente vulnerable. De hecho, es posible que ya se estén produciendo ataques del tipo “recoger ahora, descifrar después”.
Para resistir a los ataques tanto de los ordenadores clásicos como de los cuánticos, las organizaciones deben iniciar la transición a la criptografía poscuántica (PQC). Pero no se trata de un cambio sencillo. Requerirá más trabajo que prepararse para el efecto 2000, y fracasar en este cometido podría tener consecuencias peligrosas. Además, muchas organizaciones aún no han planificado ni asignado presupuesto para esta transición.
Establece como prioridad urgente la transición hacia la criptografía poscuántica
Los gobiernos ya están promulgando mandatos y marcos legales para que las organizaciones apliquen una estrategia de criptografía poscuántica. Empieza a desarrollar la tuya ahora.
Afronta los retos que conlleva la adopción de la criptografía poscuántica
Algunos obstáculos que hay que superar son:
Falta de opciones de sustitución sencillas. No hay alternativas directas a los algoritmos criptográficos actuales. Esto crea la necesidad de descubrirlos, clasificarlos y reimplementarlos.
Requisitos de rendimiento variables. Los nuevos algoritmos tienen características de rendimiento diferentes a las de los algoritmos de la criptografía asimétrica. Por ejemplo, el tamaño de la clave y del texto cifrado es mayor, y los tiempos de cifrado y descifrado son más largos. Esto puede afectar al rendimiento y obligar a replantear o reescribir las aplicaciones actuales.
Falta de conocimientos organizacionales. Pocas organizaciones saben cómo funciona su criptografía o dónde se utilizan las claves y los algoritmos, o cómo se almacenan y gestionan los secretos.
Falta de preparación por parte de los proveedores. No des por sentado que tus proveedores están preparados para manejar la criptografía poscuántica. La mayoría no están preparados para actualizarse y puede que ni siquiera se den cuenta de que necesitan hacerlo a menos que les presiones.
Establece políticas claras que permitan la adopción de la criptografía poscuántica
Para abordar estos retos y facilitar la transición a los nuevos algoritmos, empieza por desarrollar políticas sobre la sustitución de algoritmos, la retención de datos y los mecanismos para cambiar o modificar el uso actual de la criptografía. Un programa basado en políticas reducirá la confusión y las decisiones arbitrarias, y aumentará la capacidad de gestión.
A partir de ahí, crea una base de datos de metadatos de todos los algoritmos criptográficos en uso. Esto permitirá a tu organización evaluar el impacto de la nueva criptografía, determinar el riesgo para aplicaciones específicas, reducir la deuda de seguridad criptográfica existente y reorganizar los planes de respuesta a incidentes. Crea una política de ciclo de vida que refleje los riesgos asociados a las claves de la criptografía asimétrica.
Pregunta a los proveedores que hayas identificado en tu inventario sobre sus planes para pasar a la criptografía poscuántica, la hoja de ruta general para su implementación y el impacto potencial de las actualizaciones en los sistemas existentes.
Por último, implementa el desarrollo de aplicaciones criptoágiles. Evalúa y prueba nuevos algoritmos criptográficos poscuánticos para comprender sus características, usos y rendimiento. Actualiza o sustituye el hardware cuando sea necesario.
Prepara la transición hacia la criptografía poscuántica
Para realizar una transición eficaz a la criptografía poscuántica, las organizaciones deben adoptar un enfoque proactivo y estructurado. Empieza por crear un equipo especializado que evalúe el alcance, el impacto y el coste de la transición, coordine las políticas relativas a la criptografía y aporte la experiencia necesaria. Sigue estos pasos para comenzar:
Crea un centro de excelencia en criptografía (CCOE) para evaluar el alcance, el impacto y el coste de la transición. Coordina la política en torno a la criptografía, conserva los metadatos valiosos sobre el uso de algoritmos y aporta la experiencia necesaria a los equipos de desarrollo.
Crea un inventario de metadatos. Entiende qué datos están en qué lugar y por qué se encuentran allí. Prepárate para los cambios en los algoritmos criptográficos creando un inventario de metadatos para las aplicaciones que utilizan criptografía.
Sustituye los métodos criptográficos debilitados por alternativas más potentes y seguras desde el punto de vista cuántico. Colabora con los equipos de operaciones de seguridad y los responsables de ingeniería de software para planificar las actualizaciones de las dependencias criptográficas.
Establece políticas centralizadas para regular la sustitución de los algoritmos criptográficos, garantizando una transición coherente y segura. Empieza por desarrollar políticas sobre la sustitución de algoritmos, la retención de datos y los mecanismos para cambiar o modificar el uso actual de la criptografía.
Habla con tus proveedores para conocer sus planes para pasar a la criptografía poscuántica, la hoja de ruta general para su implementación y el impacto potencial de las actualizaciones en los sistemas existentes.
Implementa el desarrollo de aplicaciones criptoágiles. Evalúa y prueba nuevos algoritmos criptográficos poscuánticos para comprender sus características, usos y rendimiento. Actualiza o sustituye el hardware cuando sea necesario.
Consulta la Guía de planificación para arquitectos de ciberseguridad y accede a planes de acción sobre criptografía poscuántica y otras tendencias tecnológicas clave que afectan a la seguridad.
Descubre cómo trabaja Gartner con los equipos técnicos para optimizar procesos y conseguir buenos resultados empresariales.
Preguntas frecuentes sobre la criptografía poscuántica
¿Qué es la criptografía poscuántica?
La criptografía poscuántica (PQC) es un conjunto de algoritmos diseñados para proteger contra ataques tanto de la computación clásica como de la cuántica. La criptografía poscuántica sustituirá al cifrado asimétrico actual, el cual, según las previsiones de Gartner, será completamente vulnerable para 2034 y dejará obsoletas las metodologías y los procesos de cifrado de la computación clásica.
¿Cuál es la motivación para adoptar la criptografía poscuántica?
La motivación para que los departamentos de TI adopten la criptografía poscuántica radica en que los avances en la computación cuántica harán que la criptografía asimétrica deje de ser segura para 2029. En 2034, la criptografía asimétrica será completamente vulnerable a las tecnologías de computación cuántica. Sin embargo, esto no significa que los riesgos estén a cinco años de distancia. La posibilidad de ataques del tipo “recoger ahora, descifrar después” ya son motivo de preocupación, lo que hace que la transición a la criptografía poscuántica sea una prioridad inmediata.
¿Cuánto tiempo falta para que los ordenadores cuánticos puedan vulnerar el cifrado?
Según las predicciones de Gartner, para 2029, los avances en la computación cuántica harán que las aplicaciones, datos y redes protegidos por criptografía asimétrica dejen de ser seguros. Para 2034, las tecnologías de computación cuántica podrán vulnerar totalmente el cifrado asimétrico de todos ellos.