El desarrollo de la computación cuántica está acelerando una carrera silenciosa pero crucial: la actualización de los sistemas de cifrado que protegen desde nuestros datos personales, hasta las redes que sostienen gobiernos, bancos o industrias críticas. Aunque los ordenadores cuánticos capaces de romper la criptografía actual aún no han llegado, los expertos llevan tiempo advirtiendo de que es sólo cuestión de tiempo. Además, no se trata de una amenaza futura: ya hoy podrían estar recopilando información cifrada para descifrarla cuando esa tecnología esté disponible.
“El mayor riesgo no es el coste, sino no conocer bien tu propia infraestructura”
En este escenario, la criptografía post-cuántica (PQC) se perfila como la respuesta tecnológica necesaria. Para conocer mejor cómo se están preparando los proveedores y qué desafíos deben afrontar las organizaciones, hablamos con Volker Krummel, experto de Utimaco, una de las compañías de referencia en seguridad criptográfica a nivel global.
La seguridad empieza por adaptarse
Durante la conversación explicaba Krummel que, desde el punto de vista técnico, incorporar nuevos algoritmos post-cuánticos no es un problema, pero otra cosa es integrar esos cambios en sistemas que llevan años o décadas funcionando: “La mayoría de las infraestructuras actuales no están pensadas para cambiar sus algoritmos fácilmente, así que cualquier migración genera una carga importante de trabajo y planificación”, advierte. Por eso, su recomendación es clara: empezar cuanto antes, aunque sólo sea con el análisis y la preparación.
De hecho, para Krummel el mayor obstáculo no es el presupuesto, sino la falta de conocimiento: “Si no se entiende bien lo que se tiene y lo que se necesita, los costes y los errores se multiplican”.
Rendimiento, flexibilidad y un mundo con estándares múltiples
Uno de los miedos recurrentes es que los nuevos algoritmos post-cuánticos sean más lentos o costosos que los actuales. Según Utimaco, no es el caso. De hecho, algunos de estos algoritmos incluso superan a los tradicionales cuando se comparan con claves más largas como las RSA de 4.096 bits, cada vez más necesarias para mantener la seguridad. “Lo interesante es que todavía no contamos con aceleración por hardware para la mayoría de estos algoritmos, así que su rendimiento sólo puede mejorar”, comenta Krummel.
Otro de los retos que se avecinan es la posible fragmentación de estándares. Mientras que en Occidente se sigue el proceso liderado por el NIST estadounidense, países como China o Rusia están desarrollando sus propias propuestas de cifrado post-cuántico. Utimaco ha apostado por una solución modular que permite a sus clientes elegir qué algoritmos usar en función de la región o del mercado en el que operan: “Nuestro enfoque permite cargar y actualizar algoritmos sobre la marcha, sin tener que cambiar de producto. Eso da mucha agilidad”.
Ser una empresa europea también aporta un valor diferencial en este entorno geopolíticamente dividido. “Nuestra neutralidad nos permite dar soporte a estándares internacionales sin estar condicionados por intereses políticos”, afirma Krummel.
En cuanto al ritmo de adopción, Krummel explicó que habrá diferencias importantes entre regiones. En Estados Unidos, por ejemplo, ya se han fijado fechas para abandonar algoritmos como RSA o curvas elípticas, lo que marca una hoja de ruta clara hacia la criptografía post-cuántica. En Europa, en cambio, se tenderá a un enfoque híbrido, en el que convivirán los sistemas actuales con los nuevos durante más tiempo.
“Veremos una transición más rápida en algunos países que en otros, pero el cambio es inevitable”, asegura.
“No existe una hoja de ruta universal para la migración a la criptografía post-cuántica”
Criptografía post-cuántica y Zero Trust: aliados naturales
Cada vez más, los expertos relacionan la criptografía post-cuántica con las arquitecturas Zero Trust, un modelo de seguridad basado en la verificación continua y la mínima confianza. Krummel considera que ambas tecnologías están llamadas a convivir estrechamente: “PQC es un componente clave para construir entornos Zero Trust. Sin una base criptográfica resistente a amenazas futuras, no se puede garantizar la seguridad extremo a extremo que exige este modelo”.
Además, cree que será fundamental para proteger dispositivos en el edge, redes distribuidas y servicios digitales que hoy dependen de mecanismos criptográficos en constante evolución.
Pasos a seguir
Como mensaje final, Krummel insiste en que no hay una receta única para todos. Cada organización debe analizar en profundidad su infraestructura, entender dónde y cómo utiliza criptografía, y empezar a trazar un plan realista de evolución. “No se trata sólo de comprar tecnología nueva, sino de conocer bien lo que ya se tiene y anticipar lo que se va a necesitar”, señala.
Y lanza una advertencia: esperar a que todos los proveedores estén listos puede ser una mala estrategia. “Cuanto antes empieces a prepararte, menos te costará, cometerás menos errores y estarás listo para tomar decisiones con criterio”, concluye.
