El llamado Q-Day —o, en términos más gráficos, el criptocalipsis cuántico— ya no se contempla como una hipótesis remota, sino como un escenario que las organizaciones deben empezar a preparar con tiempo. Se trata del momento en el que los ordenadores cuánticos alcancen capacidad suficiente para comprometer, en plazos relativamente reducidos, los sistemas de criptografía asimétrica que hoy protegen buena parte de las comunicaciones, firmas y transacciones digitales.
Ante este panorama, muchas empresas empiezan a formularse preguntas muy concretas: ¿hasta qué punto puede afectarles? ¿Qué sistemas actuales podrían quedar expuestos? ¿Es el momento de adoptar soluciones de criptografía post-cuántica (PQC)? ¿Por dónde conviene empezar?
La respuesta, antes de adquirir nuevas tecnologías o modificar infraestructuras, suele ser mucho más básica de lo que parece: conocer con precisión qué criptografía se está utilizando dentro de la organización. Por eso, una auditoría del uso de la criptografía en la empresa se convierte en el primer paso lógico y necesario.
La realidad es que, en muchas compañías, no existe una visión clara y centralizada sobre qué algoritmos se utilizan, dónde se encuentran las claves, qué certificados están en circulación, quién los gestiona o qué sistemas dependen de ellos. Y, como ocurre en tantos otros ámbitos de la ciberseguridad, no se puede proteger lo que no se conoce.
La llegada de la computación cuántica representa, al mismo tiempo, una oportunidad tecnológica de enorme alcance y una amenaza real para la seguridad digital tradicional. Buena parte de los mecanismos criptográficos actuales se apoyan en problemas matemáticos que hoy resultan difíciles de resolver con la informática clásica, pero que podrían dejar de serlo en un entorno cuántico.
Esto obliga a las organizaciones a actuar con antelación. Sin embargo, cualquier estrategia de transición hacia modelos más robustos debe partir de una base previa: inventariar activos, localizar dependencias criptográficas y entender la exposición real de la empresa.
En ese contexto, la auditoría no es un trámite técnico menor, sino el cimiento sobre el que debe construirse cualquier plan de adaptación.
El criptocalipsis cuántico describe el escenario en el que los ordenadores cuánticos llegan a romper algoritmos criptográficos asimétricos ampliamente utilizados, como RSA o ECC, gracias a la aplicación de algoritmos cuánticos como el de Shor.
Si ese umbral se alcanza, sistemas esenciales para la seguridad digital —como certificados, firmas electrónicas, canales cifrados o mecanismos de autenticación— podrían quedar comprometidos. No se trata únicamente de un problema futuro: ya hoy existe preocupación por el modelo conocido como “harvest now, decrypt later”, es decir, recopilar información cifrada en el presente para descifrarla cuando la tecnología lo permita.
La criptografía post-cuántica (PQC) agrupa los algoritmos diseñados para resistir ataques realizados por ordenadores cuánticos. A diferencia de la criptografía clásica, estos sistemas se basan en otros problemas matemáticos y forman parte de procesos de estandarización impulsados por organismos internacionales como el NIST.
Ahora bien, antes de migrar a soluciones post-cuánticas, las empresas deben responder a una cuestión previa: qué tienen exactamente desplegado hoy. De poco sirve pensar en la siguiente generación de cifrado si no se conoce con precisión la infraestructura criptográfica actual.
Uno de los mayores problemas que afloran en este tipo de revisiones es la llamada Shadow Cryptography o criptografía no documentada. Se trata del uso de mecanismos criptográficos fuera del control centralizado del área de seguridad o del departamento de TI.
Esta situación suele haberse generado de forma progresiva, a lo largo de los años, mediante desarrollos heredados, integraciones parciales, librerías antiguas, certificados olvidados o claves incrustadas directamente en código fuente. El resultado es una superficie de riesgo mucho mayor de la que la organización percibe.
Una auditoría del uso de la criptografía permite descubrir vulnerabilidades en puntos que a menudo pasan desapercibidos:
En aplicaciones heredadas o desarrollos rápidos, no es extraño encontrar claves incrustadas directamente en el código o referencias a algoritmos obsoletos como MD5 o SHA-1.
Muchas dependencias de software, tanto comerciales como de código abierto, incorporan bibliotecas criptográficas antiguas o desactualizadas, generando un riesgo claro de cadena de suministro.
Servidores de prueba, entornos cloud, máquinas virtuales o dispositivos IoT pueden mantener certificados válidos sin monitorización ni control, lo que dificulta su renovación y supervisión.
Todavía existen entornos con columnas cifradas mediante algoritmos cuestionados desde hace años, como DES o RC4, que nunca se sustituyeron porque seguían “funcionando”.
Una auditoría profesional del uso de la criptografía no consiste en un simple escaneo técnico, sino en un análisis profundo de la infraestructura digital y de sus dependencias criptográficas. De forma general, este proceso suele articularse en varias fases.
Mediante herramientas de análisis de red y soluciones de gestión del ciclo de vida de certificados (CLM), se identifican:
Sigue leyendo en EAD TRUST
La certificación tipo es un procedimiento reconoc...
La gestión de riesgos es hoy crítica para la fij...
Si piensas en productos de consumo, es probable qu...
