Redazione RHC : 22 agosto 2025 11:15
Los expertos en seguridad hablan cada vez más del «Día Q», el momento en que las computadoras cuánticas podrán manejar algoritmos de cifrado modernos. Las predicciones de las principales empresas, desde IBM y Google hasta los analistas de Gartner, se reducen a una fecha alarmante: la meta podría llegar en 2029. La paradoja es que no habrá señales de alerta drásticas. Los servidores seguirán respondiendo a las solicitudes, los navegadores abrirán páginas familiares y los sistemas empresariales permanecerán operativos. Solo cambiará la parte invisible del panorama: los atacantes que han estado «recopilando» datos cifrados durante años esperarán el momento en que puedan leerse. A principios de este verano, Keyfactor reunió a científicos en una mesa para debatir la línea entre la concienciación y la verdadera preparación. La reunión reflejó una opinión que los ejecutivos de seguridad llevan mucho tiempo repitiendo en privado: «Nadie conoce la fecha exacta, así que tiene sentido actuar como si la carrera ya hubiera comenzado». La compañía ha publicado recomendaciones para compilar un inventario criptográfico, que suele ser el punto de partida de cualquier transición importante. Sin un conocimiento profundo de los protocolos, las claves, las bibliotecas y los dispositivos involucrados en los procesos de negocio, es imposible planificar el reemplazo.
El día cuántico, sea cual sea, llegará gracias a claves públicas como RSA-2048, que ha sido la herramienta fundamental de las firmas digitales, el intercambio de claves, el TLS en navegadores web, el cifrado de correo electrónico y una gran cantidad de scripts incrustados durante décadas.
El Instituto Nacional de Estándares y Tecnología (NITS) ya ha aprobado una serie de algoritmos poscuánticos, y el camino está formalmente trazado. El problema es la escalabilidad. Ted Shorter, cofundador de Keyfactor, estima que incluso la actualización mucho más fluida de SHA-1 a SHA-2/256, que comenzó alrededor de 2007, tardó a la industria unos 12 años en completarse. Las organizaciones se enfrentaron a incompatibilidades, al riesgo de romper las integraciones heredadas y a la escasez de personal, por lo que la migración se prolongó. Casi dos décadas después, todavía hay clientes con SHA-1 oculto en los rincones de su infraestructura.
El aspecto comercial del problema se suma a la inercia. Los equipos técnicos llevan años jugando al topo con un flujo constante de incidentes, y la reestructuración estratégica de las criptomonedas ha quedado relegada al final de la lista de prioridades.
Cuando la seguridad explica los riesgos, algunos gerentes los ven como «otro Y2K», que presumiblemente puede posponerse si la amenaza no se materializa en un par de años. Esta percepción errónea afecta a los datos con un ciclo de vida largo. Los registros financieros suelen tener que conservarse durante al menos siete años, los identificadores de cuentas bancarias son válidos durante décadas y los satélites permanecen en órbita mucho más allá de la depreciación completa del equipo terrestre. Tom Patterson, de Accenture, recuerda el proyecto del primer satélite cuántico: el cifrado no es lo primero que viene a la mente, pero es imposible «reposicionar» el dispositivo en el espacio: debe instalarse protección antes del lanzamiento.
La historia del efecto 2000 dificulta enormemente la evaluación clara de los riesgos actuales. A finales de la década de 1990, el mundo se preparaba para una disrupción técnica debido al formato de dos dígitos para el año. Gobiernos, bancos, infraestructuras: todo el ecosistema gastó cientos de miles de millones de dólares en actualizar y reescribir código. Para Nochevieja, nada se derrumbó, y los esfuerzos de un ejército de ingenieros fueron prácticamente invisibles. Años después, los efectos secundarios de la «ventana» se hicieron evidentes: algunos parquímetros y sistemas de pago fallaron en 2020. Veteranos de aquellos eventos, como Peter Zatko (Mudge), actual director de informática de DARPA, recuerdan haber estado de servicio en contacto con la Casa Blanca y enfatizan: «No ocurrió ningún desastre» precisamente porque la gente trabajó. Otros recuerdan: países con una preparación mínima superaron el hito casi sin dolor, lo que significa que hubo más pánico que acción. Ambas versiones son convenientes en retrospectiva, pero ambas se reducen a un punto: Un problema a gran escala solo se puede prevenir con antelación.
En este sentido, la transición poscuántica es más compleja que el Y2K. La fecha aún no se ha fijado; Nadie publicará un comunicado de prensa anunciando que la clave finalmente ha cedido.
Los atacantes recopilarán silenciosamente el conjunto de datos y la energía necesaria, tal como los criptoanalistas trabajaron en Enigma, y trabajarán en las matrices que serán valiosas durante años. El investigador de Cuántica Aplicada Marin Ivezic llama la atención sobre el balance energético: Descifrar una sola clave RSA-2048 puede llevar días y megavatios, por lo que una «demolición» masiva de la criptografía de un solo golpe no está en los planes.
Sin embargo, la industria está empezando a moverse. El informe «Digital Trust Digest: Quantum Readiness Edition» de Keyfactor, publicado el 30 de julio, reveló que la mitad de los 450 ejecutivos de seguridad informática encuestados admitieron no estar preparados, pero el tema ya ha entrado en las agendas de las juntas directivas, aseguradoras y organismos reguladores. Los requisitos de cumplimiento normativo impulsarán a las grandes instituciones financieras, bancos, empresas de telecomunicaciones y organismos gubernamentales más rápido que a otras. Las empresas más pequeñas podrían seguir una trayectoria diferente: algunas esperarán a que el hardware y el software cambien y se «migrarán» directamente a la nueva criptografía; para quienes viven completamente en la nube, los hiperescaladores asumirán parte del trabajo.
La agenda práctica para los próximos años parece concreta. Necesitamos un registro completo de los entornos criptográficos: protocolos, bibliotecas, centros de certificación, formatos de clave y sus ciclos de vida. Luego, se implementarán pilotos de algoritmos NIST donde los riesgos sean mayores y se elaborará un plan de compatibilidad para evitar el abandono de integraciones obsoletas. La automatización será necesaria, ya que una migración manual de este tipo es insostenible. Además, tendremos que revisar constantemente las políticas criptográficas, considerando esta misma incertidumbre temporal.
El mundo digital tiene un calendario difícil: en algún momento del futuro, se avecina la «Época de la Revelación» de 2038, otro fallo en el sistema de referencia universal UNIX. Pero esto representa un problema para el futuro previsible. La protección poscuántica requiere esfuerzo ahora, mientras que las amenazas siguen siendo teóricas e invisibles. Si todo se hace a tiempo, «no pasará nada», y este será el principal indicador de éxito.
RedazioneMientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la apari...
Martes de parches de agosto: Microsoft publica actualizaciones de seguridad que corrigen 107 vulnerabilidades en los productos de su ecosistema. La actualización incluye correcciones para 90 vuln...
Como parte de las actualizaciones de seguridad del martes de parches de agosto de 2025, se ha corregido una vulnerabilidad crítica de ejecución remota de código (RCE) en el software de ...
29 000 servidores Exchange son vulnerables a la vulnerabilidad CVE-2025-53786, que permite a los atacantes acceder a entornos de nube de Microsoft, lo que podría comprometer por completo el ...
«El sistema de defensa militar Skynet entrará en funcionamiento el 4 de agosto de 1997. Comenzará a autoeducarse, aprendiendo a un ritmo exponencial, y adquirirá consciencia de s&#...
