La llegada de la computación cuántica está reabriendo uno de los debates más complejos en ciberseguridad: hasta qué punto las estrategias actuales de protección criptográfica serán capaces de resistir un nuevo escenario. Para Tan Teik Guan, autor del artículo Crypto-agile Defence-in-Depth (CADD), el problema no es solo técnico, sino conceptual.
En su análisis, advierte de una idea cada vez más extendida —también entre CISOs y proveedores—: asumir que la transición hacia algoritmos post-cuánticos es una evolución más dentro de la historia de la criptografía.
Aunque la industria ha sustituido algoritmos vulnerables en el pasado sin grandes disrupciones, el salto cuántico introduce un cambio de naturaleza. Reducir el problema a migrar hacia criptografía post-cuántica (PQC) o a tecnologías como QKD es, a juicio del autor, insuficiente.
El riesgo de harvest now, decrypt later —interceptar hoy para descifrar mañana— es solo una parte del problema. A medio plazo, podrían surgir amenazas más complejas: manipulación de transacciones, falsificación de identidades o invalidación de documentos firmados. No se trata solo de proteger datos, sino de preservar la confianza digital.
El desarrollo de estándares refleja esta incertidumbre. El NIST ha avanzado en algoritmos post-cuánticos, pero también ha incorporado alternativas ante posibles vulnerabilidades. Esto plantea una cuestión clave: ¿con qué rapidez pueden adaptarse las organizaciones si un algoritmo deja de ser seguro?
Además, estas tecnologías implican más consumo de recursos y posibles impactos en rendimiento y experiencia de usuario, lo que condicionará su adopción. En este contexto, Tan Teik Guan considera que el concepto actual de crypto-agility se ha quedado corto. Muchos proveedores lo reducen a ofrecer múltiples algoritmos, trasladando la complejidad al cliente, que no siempre tiene capacidad para reaccionar ante cambios rápidos.
Una aproximación por capas
Como alternativa, propone aplicar el modelo de defence-in-depth al ámbito criptográfico. Su enfoque CADD se articula en tres niveles:
- Comprensión de amenazas: entender cómo evolucionan los riesgos cuánticos.
- Gestión de vulnerabilidades: identificar activos expuestos y evaluar impacto.
- Mitigación por capas: proteger datos en tránsito, en reposo e identidades combinando distintas tecnologías.
El objetivo es equilibrar seguridad, coste y operatividad, evitando depender de soluciones aisladas. La protección frente al riesgo cuántico exigirá no solo cambiar algoritmos, sino repensar cómo se gestionan la identidad, el dato y la confianza en entornos cada vez más dinámicos.
