La llegada de la computación cuántica ya no es una posibilidad remota, sino un desafío real que empieza a condicionar las estrategias de ciberseguridad. La necesidad de adoptar nuevos algoritmos resistentes a esta tecnología está sobre la mesa, y Redtrust, como parte del grupo Keyfactor, ha decidido adelantarse a este cambio. Desde Ciberseguridad TIC hemos hablado con Daniel Rodríguez, General Manager de Redtrust, para conocer su visión sobre la criptografía post-cuántica (PQC), la criptoagilidad y el futuro de la identidad digital.
Desde que Redtrust se integró en Keyfactor, su capacidad tecnológica ha dado un paso adelante. “El hecho de ser parte de Keyfactor nos hace estar un paso por delante en cuanto a planificación post-quantum”, señala Rodríguez. Cuentan, además, con figuras clave como David Hook, creador de la popular librería Bouncy Castle, lo que les coloca en una posición privilegiada en este ámbito.
Aunque la computación cuántica todavía no ha alcanzado su pleno potencial, en Redtrust tienen claro que hay que anticiparse. “Ya hace algunos años que venimos advirtiendo sobre las ventajas y riesgos de la computación cuántica y de cómo va a afectar a la seguridad en internet”, recuerda Rodríguez. Esta concienciación temprana ha sido clave para incorporar la PQC a su hoja de ruta tecnológica.
“La evaluación de los activos de la empresa es el primer paso para entender cómo de ágiles podemos ser”
Sobre el nivel de preparación de las empresas españolas ante esta amenaza, Rodríguez prefiere no hacer comparaciones: “No podemos juzgar el punto en el que se encuentran las empresas cuando la realidad es que todo el sector está calentando en la línea de salida, esperando a que den el pistoletazo y sin una idea clara de cuántos kilómetros hay que recorrer para acabar la carrera”. En su opinión, es una cuestión global, no exclusiva de nuestro país. Y añade que la reciente adquisición por parte de Keyfactor de Infosec Global y CipherInsights les permite ofrecer herramientas muy precisas para evaluar el “estado de salud criptográfica” de las organizaciones.
En este contexto, la criptoagilidad se convierte en un elemento clave. Para Rodríguez, el primer paso es claro: “La evaluación de los activos de la empresa es el primer paso para entender cómo de ágiles podemos ser”. Pero, más allá del diagnóstico, lo importante es que esa agilidad sea imperceptible para el usuario: “Ningún usuario notó la diferencia de pasar de SSL 3.0 a TLS 1.2. Y así debe seguir siendo”.
La incertidumbre sobre los estándares que finalmente se impondrán (como los que definirá el NIST o las alternativas que plantea China) obliga a las organizaciones a estar preparadas para adaptarse de forma rápida. “Todo parece indicar que los algoritmos aprobados por el NIST, como puede ser ML-DSA, van a ser los ‘ganadores’, pero China ya ha dicho que va a crear sus propios estándares. Por eso, debemos poder actualizar la criptografía de nuestra organización de manera ágil”, afirma.
En cuanto a las normativas, Rodríguez considera que Europa seguirá la línea marcada por Estados Unidos. “Lo que diga el NIST va a ser lo que se aplique”, asegura. Las normativas de la Unión Europea, más centradas en aspectos de e-government, tendrán que actualizarse para incorporar los nuevos estándares. Pero, según explica, en este caso no conviene esperar: “Creemos que la tecnología y su aplicación llegará incluso antes que la normativa. Aplicar la solución puede ser fácil si contamos con las herramientas correctas”.
Keyfactor ya ha comenzado a ofrecer soluciones adaptadas a este nuevo escenario. Entre ellas están la emisión de certificados PQC mediante EJBCA, la firma con nuevos algoritmos como ML-DSA a través de SignServer, el desarrollo de aplicaciones resistentes gracias a Bouncy Castle o la gestión automatizada de activos criptográficos mediante Keyfactor Command. A esto se suman herramientas de descubrimiento e inventariado como las de Infosec Global y CipherInsights.
Sin embargo, Rodríguez recuerda que no todo depende de ellos: “Nuestra posición, por muy preparados que estemos, es dependiente de la agilidad con la que se muevan los diferentes actores”. Se refiere, entre otros, a los organismos reguladores, los desarrolladores de estándares y herramientas como OpenSSL o PKCS11, los fabricantes de sistemas operativos o los creadores de aplicaciones.
En su relación con los clientes, Redtrust detecta una actitud positiva hacia la criptoagilidad. “Las empresas tienen una recepción muy buena al respecto”, asegura. Y es que muchas ya han incorporado sin saberlo tecnologías que les acercan a ese objetivo: herramientas para centralizar certificados, evaluar protocolos, monitorizar activos o inventariar certificados de confianza en los puestos de trabajo. “No podemos decir que hayamos creado una necesidad en el mercado, sino que el propio mercado ha buscado soluciones a problemas reales”, subraya.
De cara al futuro, Rodríguez ve un cambio profundo en el modelo de identidad digital: “Hoy por hoy basamos toda nuestra seguridad y nuestra identidad digital en algoritmos que sabemos que tienen fecha de caducidad, por tanto, habrá que renovarlos tarde o temprano”. La aparición de iniciativas como los e-wallets europeos o los estándares PQC de países como China generará nuevos desafíos. Pero desde Redtrust aseguran estar preparados para afrontarlos: “Creemos que es un momento increíble de grandes cambios en cuanto a criptografía en general”, concluye el directivo.
