Guía del CISO para la planificación y ejecución de la migración a PQC

Criptografía postcuántica (PQC) es el conjunto de algoritmos de cifrado y firma digital diseñados para mantenerse seguros contra ataques de computadoras cuánticas, y es uno de los temas más comentados entre los líderes de seguridad en la actualidad. La mayoría de los líderes de seguridad ya han aceptado que la computación cuántica romperá la criptografía de clave pública actual. El debate ha avanzado. La pregunta ahora no es si actuar, sino cómo convertir una evaluación de riesgo cuántico en una PQC un programa de migración que esté financiado, gobernado y que no tenga probabilidades de interrumpir la producción en el proceso.

Es un problema más complejo de lo que parece. El análisis y el inventario revelan las vulnerabilidades. La planificación y la ejecución determinan si se solucionan sin comprometer la infraestructura de confianza sobre la que se sustenta el negocio a diario. Esta guía abarca la etapa intermedia del proceso: las decisiones de planificación posteriores al análisis, las decisiones arquitectónicas que influyen en los costos durante años y la disciplina de ejecución que distingue un programa real de una simple presentación.

¿Por qué la planificación de PQC merece la atención de la dirección ejecutiva?

Dado que PQC no es un ciclo de parches, y tratarlo como tal es la forma más rápida de perder el control del presupuesto y del cronograma, una actualización rutinaria simplemente cambia el número de versión. Esto altera la base matemática que sustenta la autenticación, el cifrado y la confianza digital en toda la empresa.

Seis realidades convierten la planificación estructurada en una preocupación a nivel de junta directiva, en lugar de una simple nota a pie de página en el ámbito de la ingeniería:

• Los nuevos algoritmos se comportan de manera diferente: Las claves y firmas más grandes, junto con las mayores exigencias de procesamiento, afectan al ancho de banda, la latencia y el almacenamiento, lo que implica que las suposiciones de capacidad inherentes a los sistemas existentes podrían dejar de ser válidas. El salto es sustancial: ML-KEM-768 genera una clave pública de 1,184 bytes frente a los 32 bytes de X25519, y una firma ML-DSA-44 ocupa 2,420 bytes frente a los 64 bytes de Ed25519. Si multiplicamos esto por cada intercambio de claves y cada artefacto firmado en un entorno de alto volumen, el impacto en el ancho de banda, el almacenamiento y la sobrecarga de conexión se convierte en una preocupación real para la planificación de la capacidad, en lugar de un simple error de redondeo.
• El radio de la explosión es todo el tejido de confianza: PKILos sistemas TLS, VPN, de firma de código y de identidad dependen de la criptografía que se está reemplazando, por lo que es necesario establecer las dependencias antes de secuenciar cualquier acción.
• Las actualizaciones de software no lo solucionarán todo: Algunos dispositivos no aceptan claves post-cuánticas, lo que obliga a incorporar los plazos de adquisición y los ciclos de actualización al debate presupuestario desde el principio, en lugar de hacerlo tarde.
• El cumplimiento normativo es un objetivo en constante cambio: Los requisitos de certificación y auditoría aún están en evolución, por lo que la documentación debe integrarse en el cronograma en lugar de reconstruirse bajo presión posteriormente.
• El reloj ya tiene fechas: La Agencia de Seguridad Nacional (NSA) CNSA 2.0 El cronograma exige que las nuevas adquisiciones del Sistema Nacional de Seguridad (NSS) sean compatibles con algoritmos post-cuánticos para el 1 de enero de 2027, que los equipos que no se puedan actualizar se retiren gradualmente para 2030 y que todos los Sistemas Nacionales de Seguridad cuenten con resistencia cuántica total para 2035. Estos plazos vinculan directamente a los contratistas de defensa y a la cadena de suministro federal, y establecen el estándar con el que se evalúa cada vez más a las empresas. Dado que las principales adquisiciones gubernamentales suelen durar entre 18 y 36 meses, los requisitos que se redactan hoy ya deben tenerlos en cuenta.
• Un error aquí es una interrupción del servicio: Dado que los sistemas criptográficos garantizan la identidad y la comunicación segura, una deficiencia en la planificación se manifiesta en forma de fallos de inicio de sesión, integraciones rotas o tiempos de inactividad, no en una reversión silenciosa.

Si se tienen en cuenta todos estos factores, la conclusión es inevitable: se trata de un programa de modernización plurianual, y debe planificarse como tal.

¿Cómo se elabora el plan y el presupuesto de migración?

Comience por convertir la lista de activos priorizados de su evaluación de riesgos en una decisión para cada activo. Cada uno necesita una respuesta justificable a una pregunta simple: ¿migramos ahora, mantenemos la situación actual y mitigamos el riesgo, o aceptamos el riesgo? La mayoría de los activos se encuadran en una de tres vías de tratamiento:

• Migración inmediata: Esto es para sistemas de alto valor y cualquier cosa que proteja datos con una larga vida de confidencialidad. Estos son los sistemas más expuestos a “Cosecha ahora, descifra después (HNDL)El ataque consiste en que los adversarios recopilan el tráfico cifrado hoy y lo almacenan, para luego descifrarlo una vez que exista una computadora cuántica criptográficamente relevante (CRQC). En este caso, la demora es la opción más costosa.
• Mitigación pendiente de migración: Esto se aplica a sistemas que pertenecen al grupo inmediato pero que aún no pueden integrarse, generalmente porque el proveedor no está preparado o la implementación es realmente compleja. Aplique controles provisionales y mantenga la migración programada.
• Aceptación de riesgos o excepción gestionada: Esto se aplica a sistemas de bajo impacto, activos próximos al final de su vida útil o casos en los que el coste de la migración supera claramente el riesgo residual.

Una vez que cada activo tiene una ruta definida, el presupuesto deja de ser una mera conjetura. Un modelo de costos creíble va mucho más allá del software, y nombrar cada componente desde el principio es lo que evita que el programa se exceda silenciosamente más adelante. Incorporar:

• Rediseño o refactorización del sistema, especialmente cuando la criptografía está profundamente integrada en el código de la aplicación.
• Reemplazo de hardware para dispositivos que no pueden almacenar claves post-cuánticas de mayor tamaño.
• Prueba entornos que reproduzcan con la suficiente fidelidad el entorno de producción como para detectar regresiones de rendimiento antes de que lo hagan los usuarios.
• Mitigación de tiempos de inactividad, incluyendo ventanas de mantenimiento, reversión probada y planificación de la continuidad.
• Licencias del proveedor, soporte y cualquier prima asociada a los productos con capacidad post-cuántica.
• El trabajo de cumplimiento, incluida la validación del módulo FIPS 140-3 a través del CMVP cuando corresponda, es un esfuerzo independiente de la estandarización de algoritmos.
• Coste de la mano de obra, porque pocos equipos internos cuentan ya con conocimientos avanzados de ingeniería criptográfica.

Una estructura de desglose del trabajo convierte esa lista en cifras vinculadas a fases, formato que además se mantiene tras la revisión del consejo de administración. Cuando el departamento financiero puede ver el gasto asociado a los hitos de entrega, el programa se presenta como un plan gestionado con un estado final visible.

¿Cómo se identifica la solución adecuada para cada sistema?

Una vez definidos los presupuestos y las rutas de tratamiento, asigne a cada sistema priorizado una ruta técnica viable. Aquí es donde muchos programas descubren que su inventario era menos completo de lo que pensaban, así que considérelo como un punto de control, no como una mera formalidad. Las siguientes cuatro preguntas resuelven la mayoría de los casos:

• ¿Se puede solucionar esto con una actualización de software o se necesita hardware nuevo?
• ¿Existe actualmente una solución comercial, o hay alguna que esté prevista en los planes futuros?
• ¿Es inevitable el desarrollo a medida, como suele ocurrir con los sistemas heredados o específicos para cada misión?
• ¿Cómo se alinea esta opción con los estándares del NIST, a saber? FIP 203 (ML-KEM, por encapsulación de clave), FIP 204 (ML-DSA, para firmas digitales) y FIP 205 (SLH-DSA, para firmas basadas en hash sin estado), ¿y qué ruta de validación, como CMVP, se aplica?

Un matiz importante de la última pregunta conviene tenerlo en cuenta en los plazos de adquisición. La validación de módulos FIPS 140-3 mediante el Programa de Validación de Módulos Criptográficos (CMVP) es un proceso independiente de la estandarización de algoritmos del NIST. A mediados de 2025, muchas implementaciones de PQC cumplen con las especificaciones de los algoritmos FIPS 203, 204 y 205, pero aún no figuran en la Lista de Módulos Validados del CMVP. Para los contratistas federales en particular, la estandarización de un algoritmo no es lo mismo que la validación de un módulo, por lo que conviene planificar teniendo en cuenta esta diferencia en lugar de asumir que ambos procesos se completan simultáneamente.

También es importante tener en cuenta el panorama algorítmico, ya que sigue en expansión. El NIST publicó la norma IR 8547, su hoja de ruta para la transición a los estándares post-cuánticos, en noviembre de 2024. Además, ha avanzado más allá de los tres primeros estándares finalizados: un cuarto algoritmo, FN-DSA (FIPS 206), el esquema de firma reticular basado en FALCON, alcanzó la fase de Borrador Público Inicial a finales de 2025 y se espera que se finalice entre 2026 y 2027. Las organizaciones pueden comenzar la evaluación con respecto al IPD ahora mismo.

En marzo de 2025, el NIST seleccionó HQC, un mecanismo de encapsulación de claves basado en código, como quinto algoritmo, documentando esta decisión en el informe NIST IR 8545, el informe de estado de la cuarta ronda del proceso de estandarización. HQC no reemplaza a ML-KEM, sino que es una alternativa basada en una matemática diferente, por lo que es menos probable que un avance criptoanalítico aislado comprometa ambos. Para una hoja de ruta plurianual, diseñar esta diversidad ahora es más sencillo que adaptarla posteriormente.

Dos decisiones arquitectónicas que se tomen ahora influirán silenciosamente en los costes de la próxima década:

• Criptografía híbrida: Esto implica ejecutar simultáneamente un algoritmo clásico y uno postcuántico. Se obtiene compatibilidad con versiones anteriores para socios que no hayan migrado, protección contra ataques cuánticos y menor riesgo operativo durante la transición. Para cualquier aplicación externa, suele ser la única vía que garantiza la interoperabilidad desde el primer día.
• Criptoagilidad: Este es el más estratégico de los dos, y es más un principio arquitectónico que un producto. En la práctica, un cripto-ágil El sistema selecciona su algoritmo mediante un parámetro de configuración en lugar de llamadas predefinidas, y coloca una capa de abstracción entre la lógica de la aplicación y las primitivas criptográficas subyacentes, por lo que cambiar ML-KEM por un algoritmo futuro no implica reescribir la aplicación. Los sistemas construidos de esta manera absorben el siguiente cambio de estándares como una actualización de configuración, lo que evita una segunda migración completa. Incorpore agilidad ahora, y los futuros cambios post-cuánticos serán mucho más fáciles y menos costosos de gestionar.

¿Qué debes confirmar con los proveedores antes de comprometerte?

La preparación de los proveedores puede ser determinante para el cumplimiento del cronograma, por lo que la fase de planificación es donde las conversaciones exploratorias deben convertirse en compromisos por escrito. Hay cinco preguntas que conviene insistir hasta obtener respuestas específicas:

• ¿Cuándo se lanzarán los productos compatibles con la computación post-cuántica y cuál es la ruta de actualización para los sistemas que ya utilizamos?
• ¿Se trata de un cambio de software o requiere una actualización de hardware?
• ¿Cuál es el costo total de propiedad, incluyendo licencias, soporte y servicios profesionales?
• ¿Cuál es el impacto operativo durante el despliegue, incluyendo el tiempo de inactividad y la interoperabilidad?
• ¿Proporcionará un Lista de materiales criptográficos (CBOM)¿Un inventario de los activos criptográficos y las dependencias dentro de un producto, para que podamos ver las dependencias integradas y planificar futuras actualizaciones?

Aproveche esta oportunidad para actualizar los requisitos de adquisición. Los nuevos contratos deben exigir compatibilidad con algoritmos post-cuánticos, criptoagilidad demostrada, una hoja de ruta transparente y compromisos de soporte a largo plazo. De lo contrario, la organización seguirá adquiriendo sistemas vulnerables a la computación cuántica mientras invierte en la retirada de los antiguos, un problema que conviene solucionar antes de que se agrave.

¿Cuándo conviene construir en lugar de comprar?

Algunos sistemas no tendrán una salida comercial, en particular las aplicaciones personalizadas y las plataformas heredadas con criptografía integrada en el código. Para estos casos, es mejor optar por la opción de construir o reemplazar de forma deliberada, en lugar de realizar una adaptación por defecto. Considerar:

• El cronograma de desarrollo y lo que se necesita para entregar y validar una solución personalizada.
• La experiencia interna disponible y si necesita contratar o subcontratar servicios de ingeniería criptográfica.
• Ya sea que el cambio sea solo de software o que también afecte al hardware.
• El rendimiento se ve afectado una vez que se integran los algoritmos post-cuánticos, lo cual es especialmente importante para las cargas de trabajo sensibles a la latencia.
• La carga de la validación, incluyendo cualquier revisión o certificación por parte de terceros.
• Si es mejor reemplazar el sistema por completo que modernizar uno antiguo.

A menudo, reemplazar un sistema que está llegando al final de su vida útil es más económico que modernizarlo. Considerar esta opción durante la planificación evita que los equipos inviertan esfuerzos en una modernización que quedará obsoleta en pocos años.

¿Cómo se protegen los datos durante la migración a PQC?

Pleno migración lleva años, por lo que el plan debe cubrir ese lapso. Esto es especialmente importante para los datos que los adversarios pueden recopilar ahora y descifrar después, donde el tiempo ya corre aunque la computadora cuántica aún no esté disponible. Varios controles provisionales reducen significativamente la exposición:

• Reducir la duración de los certificados para limitar el tiempo durante el cual una credencial robada puede seguir siendo útil.
• Aumente el tamaño de las claves clásicas cuando esto reduzca la exposición a ataques clásicos, pero tenga claro que ningún aumento en la longitud de las claves RSA o ECC proporciona resistencia cuántica. El algoritmo de Shor puede resolver la factorización de enteros (rompiendo RSA y DH) y el problema del logaritmo discreto de curva elíptica (rompiendo ECC) en tiempo polinomial. Revoque o reemplace los certificados con una vida útil excesiva que sean anteriores a las prácticas actuales.
• Migre a TLS 1.3 en todo el entorno para aprovechar su mayor seguridad criptográfica, pero considérelo como una solución parcialmente segura frente a ataques cuánticos. Para subsanar esta deficiencia, habilite el intercambio de claves híbrido post-cuántico, como X25519 junto con ML-KEM-768, en sus puntos finales TLS, de modo que la sesión esté protegida incluso si la parte clásica se ve comprometida posteriormente.
• Refuerce la seguridad física y la protección de los datos en reposo para aquellos datos de mayor valor.
• Añada medidas de seguridad por capas, como VPN o una segmentación de red más estricta, alrededor de los sistemas sensibles.
• Trasladar el cifrado simétrico y el hash a niveles de seguridad compatibles con la computación cuántica. El algoritmo de Grover reduce aproximadamente a la mitad la seguridad efectiva de una clave simétrica, lo que disminuye la seguridad de AES-128 a un nivel equivalente a unos 64 bits frente a un ordenador cuántico criptográficamente relevante (CRQC).

La CNSA 2.0 exige AES-256 y SHA-384 o SHA-512 para los Sistemas de Seguridad Nacional. La norma NIST SP 800-131A Rev. 3 (Borrador Público Inicial, 2024) sigue aprobando AES-128 para uso general, y AES-128 continúa siendo un estándar de referencia post-cuántico de Categoría 1, por lo que no se considera obsoleto. Dicho esto, las organizaciones que manejan datos sensibles de larga duración deben alinearse con el estándar mínimo de AES-256 y SHA-384/512 que establece la CNSA 2.0. Los sistemas de clave pública conllevan un riesgo urgente, pero las opciones de funciones hash simétricas y hash deben considerarse en el mismo plan.

Nota: : SP 800-131A Rev. 3 Aquí se cita un borrador público inicial (2024); la revisión 2 sigue siendo el estándar definitivo hasta que el NIST publique la versión final.

Comuniquen abiertamente a los líderes en qué consisten estos controles. Sirven para ganar tiempo. No eliminan el riesgo cuántico, y depender demasiado de ellos crea una falsa sensación de seguridad que puede retrasar silenciosamente la migración que se suponía que debían respaldar.

¿Cómo se ve una ejecución disciplinada?

Una vez que el plan, el presupuesto, los compromisos con los proveedores y los controles provisionales están establecidos, la ejecución transforma la estrategia en órdenes de compra, trabajo de desarrollo e integración. El orden importa: siga la secuencia basada en riesgos que diseñó, no el sistema que resulte más fácil este trimestre. Los pasos clave son fáciles de enunciar, pero más difíciles de cumplir:

• Asignar presupuesto y recursos a la lista de activos priorizados.
• Gestionar el proceso de adquisición de soluciones comerciales, incluidas las certificaciones requeridas.
• Iniciar el desarrollo interno de sistemas sin salida comercial.
• Coordinar entre las distintas unidades de negocio para que las decisiones sean visibles en lugar de estar aisladas.

La disciplina se resiste a las victorias fáciles. Migrar un sistema de bajo riesgo solo porque su proveedor está listo da la sensación de progreso, pero no reduce la exposición real. Mantener la secuencia es lo que hace que el programa sea más seguro, en lugar de simplemente más complejo.

La fase de implementación es donde la planificación da sus frutos o revela sus deficiencias, por lo que conviene implementarla por fases en lugar de hacerlo de golpe. Antes del primer cambio en producción, tenga en cuenta lo siguiente:

• Los periodos de mantenimiento acordados con los propietarios de las empresas, especialmente en los sistemas de gestión de identidades, son cruciales.
• Planes de reversión que ya han sido probados, porque los cambios criptográficos se producen en cascada de maneras que sorprenden a la gente.
• Medidas de continuidad y un plan de comunicación para cualquier interrupción prolongada.
• Gestión de la compatibilidad entre sistemas clásicos, híbridos y post-cuánticos durante una transición que puede durar años.

Después de la implementación, actualice el registro de gobernanza con la misma rigurosidad que los propios sistemas: inventarios de activos, documentación criptográfica, registros de cumplimiento y evaluaciones de riesgoSi omites esto, perderás visibilidad sobre tu propio progreso y acumularás una deuda de auditoría que no hará más que crecer. Mantener esa disciplina a lo largo de un programa de varios años es exigente, y es ahí donde un socio con experiencia se gana su lugar.

Cómo la consultoría en cifrado respalda su proceso de certificación PQC

¿No sabes por dónde empezar tu transición a la era post-cuántica ni cómo impulsarla? Ahí es donde entra en juego Encryption Consulting. Trabajamos como socio de confianza en cada fase, basando cada paso en la claridad, la seguridad y la experiencia práctica.

Comenzamos con un análisis criptográfico e inventario, explorando todo su entorno para identificar los certificados, claves, algoritmos y protocolos en todos los puntos finales, aplicaciones, API e infraestructura. Esto establece la base necesaria antes de que pueda comenzar cualquier migración.

A partir de ahí, nuestro Evaluación PQC Mide su exposición a amenazas cuánticas, aísla los sistemas que dependen de RSA y ECC, y ofrece un informe priorizado de los activos vulnerables clasificados por gravedad.

Con esa claridad, diseñamos una estrategia y una hoja de ruta de PQC: un plan por fases adaptado a su tolerancia al riesgo, sus obligaciones regulatorias y sus objetivos a largo plazo, con la criptoagilidad integrada para que sus sistemas se adapten a medida que evolucionan los estándares.

Posteriormente, le guiamos en la evaluación de proveedores y las pruebas piloto, ayudándole a seleccionar las herramientas adecuadas, realizar pruebas de concepto y validar la interoperabilidad antes de cualquier implementación a gran escala.

Por último, lideramos la implementación completa, desplegando modelos híbridos clásicos y cuánticos seguros, implementando PQC en toda su infraestructura y PKI, y estableciendo un sistema de monitoreo para garantizar la salud criptográfica a largo plazo.

CBOM seguro

Consultoría de cifrado CBOM seguro La plataforma desempeña un papel fundamental. En lugar de lidiar con hojas de cálculo, resultados sin procesar de OpenSSL o archivos de configuración dispersos, se obtiene una visión clara del uso de la criptografía en distintos entornos. Muestra qué algoritmos se utilizan, qué cambios son necesarios para la preparación post-cuántica y si los sistemas cumplen con sus objetivos de seguridad. Cuando se acerca una actualización de la junta directiva, una decisión de arquitectura o una fecha límite de cumplimiento, esta claridad permite actuar con rapidez.

CBOM Secure es más que una herramienta de informes; optimiza los plazos. Automatiza los inventarios criptográficos, inspecciona las configuraciones TLS, valida los algoritmos y los coteja con las políticas, permitiendo que los equipos pasen del descubrimiento a la acción sin conjeturas. Las próximas versiones incorporarán la corrección automatizada, integraciones nativas en la nube y la aplicación continua de políticas para mantener las configuraciones alineadas con los estándares de seguridad en todo momento.

Ahora es el momento de comenzar las pruebas de PQC en un entorno de prueba, analizar su uso actual de criptografía y empezar a elaborar políticas internas. Si su organización desea implementar proyectos piloto de seguridad cuántica, compartir comentarios o contribuir al desarrollo de nuevas funciones, le animamos a que se ponga en contacto con nosotros. Cuanto antes empiecen los equipos, más fácil será el trabajo a largo plazo.

Conclusión

La planificación y la ejecución son las etapas en las que un programa post-cuántico deja de ser un estudio para convertirse en una transformación empresarial. Se basa en una priorización que resiste el escrutinio, una criptoagilidad integrada en la arquitectura y una documentación lo suficientemente rigurosa como para demostrar el progreso y superar una auditoría.

El riesgo es sistémico y urgente, pero se mitiga mucho más con disciplina que con mera velocidad. Las organizaciones que saldrán fortalecidas serán aquellas que hayan integrado la criptoagilidad en su arquitectura, hayan secuenciado el trabajo en función del riesgo real y hayan conservado la documentación que lo demuestre.

Para los CISO, la conclusión es clara: la criptografía es compleja, pero el liderazgo lo es aún más: gobernanza, secuenciación, gestión de proveedores y control del presupuesto. Si se gestionan correctamente, la ingeniería posterior tiene muchas posibilidades de ofrecer resiliencia cuántica sin desestabilizar la confianza de la que depende su negocio a diario.