Ir al contenido

Webinar: Regístrese para nuestro próximo seminario web

Regístrate Ahora

  1. Blog
    2. Criptografía postcuántica

Comprensión de NIST CSWP 48 para marcos de migración y seguridad de PQC 

Publicado porTushar Sharma 12 minutos
Comprensión de NIST CSWP 48 para marcos de migración y seguridad de PQC
Tabla de contenido

Introducción

La transición a Criptografía post-cuántica La certificación PQC (Procesamiento de Calidad de Procesos) es una de las iniciativas de seguridad más importantes de la década. Al finalizar noviembre, el sector se centra intensamente en la documentación del Instituto Nacional de Estándares y Tecnología (NIST), en particular en el Libro Blanco sobre Ciberseguridad. CSWP 48 IPDEl documento, publicado el 18 de septiembre, ofrece un informe exhaustivo sobre el estado actual y consejos prácticos directamente desde la experiencia del proyecto PQC del Centro Nacional de Excelencia en Ciberseguridad (NCCoE). 

Si está planificando su estrategia de seguridad a largo plazo, este documento es su guía definitiva para migrar sus sistemas de forma segura y estratégica. Este blog explora los temas clave del CSWP 48 del NIST, cómo alinea la migración a computación cuántica potencial (PQC) con marcos de trabajo bien establecidos y qué implica esta alineación para las organizaciones que se preparan para un futuro resistente a la computación cuántica. 

¿Por qué es importante el CSWP 48? 

La transición a la criptografía cuántica pasiva (PQC) es ahora un proceso de cumplimiento global complejo, obligatorio e inminente, claramente definido por organismos internacionales de normalización y gobiernos. El NIST ha consolidado esta transición no solo estandarizando nuevos y complejos algoritmos de PQC como ML-KEM y ML-DSA (FIPS 203, 204, 205), sino también estableciendo un calendario firme para la obsolescencia de la criptografía vulnerable a la computación cuántica, como RSA y ECC/ECDSA, que se eliminará gradualmente de los sistemas federales y críticos de EE. UU. para 2030 y se prohibirá por completo para 2035.

Esta medida se replica a nivel mundial, lo que demuestra un imperativo estratégico: ambos Canada y  Unión Europea Han publicado hojas de ruta coordinadas de PQC con el objetivo de lograr una transición completa para 2035 (migrando los sistemas de alto riesgo antes, para 2030 o 2031), mientras que la NSA CNSA 2.0 En Estados Unidos ya se está exigiendo el uso de PQC, incluyendo la obligatoriedad de las firmas digitales para los Sistemas de Seguridad Nacional en un plazo muy ajustado. 

¿Qué hace CSWP 48? 

¿Cómo se integra entonces un proyecto nuevo y de gran envergadura como PQC en una agenda de seguridad ya sobrecargada? 

Ese es el poder del Libro Blanco de Ciberseguridad CSWP 48 IPD del NIST. Este documento actúa como un traductor crucial para su equipo de seguridad. Conecta el nuevo mundo de la migración a PQC directamente con los marcos de trabajo establecidos y confiables que usted utiliza a diario. 

Considéralo como el puente entre el futuro de la criptografía y los marcos de seguridad en los que ya confías. El informe técnico vincula las nuevas capacidades de migración a PQC con el Marco de Ciberseguridad (CSF) 2.0 del NIST y la publicación especial 800-53 del NIST, ofreciendo una visión clara de cómo la preparación para la computación cuántica se integra en tu estrategia de seguridad actual. 

Estos detalles garantizan que su transición a la criptografía cuántica segura no sea un proyecto aislado y disruptivo. Le proporcionan un lenguaje claro y conforme a las normativas para integrar este esfuerzo crucial en sus objetivos de ciberseguridad y requisitos de auditoría existentes. 

La tabla a continuación resalta las asignaciones clave del CSWP 48 del NIST, mostrando cómo las capacidades de migración de PQC demostradas se alinean con el Marco de Ciberseguridad 2.0 del NIST y los controles SP 800-53.   

Área de Capacidad Resumen de funciones Marcos de seguridad mapeados 
Descubrimiento e inventario de criptomonedas Herramientas y procesos para identificar el uso de criptomonedas en sistemas, código, certificados, claves y HSM. Esto permite comprender los activos criptográficos y los algoritmos vulnerables a la computación cuántica presentes. Apoya el Marco de Ciberseguridad NIST para identificar funciones (Gestión de Activos, Evaluación de Riesgos) y los controles SP 800-53 sobre inventario, ubicación de la información y planificación de contingencias. 
Análisis criptográfico Analizar el inventario para encontrar criptoactivos débiles, no conformes y vulnerables a la computación cuántica para fundamentar las decisiones sobre riesgos y cumplimiento normativo. Admite subcategorías de gestión de riesgos de CSF como evaluación de riesgos, gestión de identidades y protección de datos (series PR.AA y PR.DS). 
Implementaciones de algoritmos y servicios PQC Demostrar y probar nuevos algoritmos y servicios resistentes a la computación cuántica para autenticación, vinculación de identidad, protección de datos y control de acceso. Asigna a las subcategorías de funciones de CSF Protect y a los controles SP 800-53 que abarcan la gestión de la configuración, la autorización del software y la protección del acceso a la red. 
Herramientas y complementos de integración Herramientas de integración compatibles con la era post-cuántica para bibliotecas criptográficas, infraestructuras de red, PKI y HSM. Se alinea con los controles de política de ciberseguridad de la organización y los marcos de gestión de acceso e identidad. 
Implementaciones de la Autoridad de Certificación Las autoridades de certificación habilitadas para PQC se alinearon con la estrategia de seguridad de la organización. Aplica las políticas de ciberseguridad para la gestión del ciclo de vida y la emisión de certificados. 
Módulos de seguridad de hardware (HSM) Dispositivos físicos que admiten almacenamiento de claves cuánticas seguras y operaciones criptográficas con protección contra el acceso no autorizado. Protege las identidades, los datos de autenticación y garantiza la confidencialidad y la integridad, apoyando las funciones CSF PR.AA y PR.DS. 

Servicios de asesoramiento de PQC

Obtenga preparación post-cuántica con una evaluación criptográfica dirigida por expertos, una estrategia de migración y una implementación práctica alineada con los estándares NIST.

Más información

Capacidades clave demostradas por el proyecto de migración a PQC 

La NCCoE Coordinó un proyecto que demostró las dos capacidades esenciales e innegociables que todo equipo de seguridad debe desarrollar para lograr una migración exitosa a PQC: 

1. Descubrimiento e inventario de criptomonedas (No se puede proteger lo que no se puede ver) 

Antes de migrar cualquier sistema, es fundamental saber con exactitud qué se está protegiendo y dónde se encuentra. Esta capacidad básica consiste en detectar cualquier instancia de criptografía vulnerable en toda la empresa. 

El problema: La criptografía no se limita a los certificados; está presente en el firmware, los repositorios de código, los clientes VPN, las aplicaciones personalizadas e innumerables claves SSH. A esto lo llamamos «proliferación criptográfica». 

La solución del NCCoE: El proyecto validó un enfoque holístico utilizando una combinación de métodos potentes: 

  • Herramientas de escaneo activo: Al igual que los detectives automatizados, estas herramientas analizan los hosts, los servicios de red y los entornos de compilación de software para detectar algoritmos vulnerables y su uso. 
  • Herramientas de monitoreo pasivo: Estos sistemas proporcionan vigilancia continua, recopilando telemetría y analizando registros para detectar criptomonedas vulnerables en acción durante las operaciones normales. 
  • Gestión de activos criptográficos: Este es el libro mayor centralizado, que correlaciona datos sobre claves, certificados, HSM y las conexiones entre componentes de software y hardware. 

Elaborar este inventario criptográfico integral no solo es una buena práctica, sino el primer paso indispensable. Se alinea directamente con las funciones del NIST CSF 2.0, específicamente con las de Identificación y Protección, proporcionándole la base auditable para toda su estrategia de migración. 

2. Interoperabilidad y rendimiento de PQC en el mundo real 

Una vez identificados los activos vulnerables, el siguiente paso es demostrar que los nuevos reemplazos resistentes a la computación cuántica funcionarán realmente a escala empresarial sin arruinar el presupuesto ni ralentizar el negocio. 

El nuevo desafío de las criptomonedas: El nuevo NIST Algoritmos PQC Suelen ser más grandes y requieren más potencia de cálculo que los algoritmos RSA y ECC clásicos a los que estamos acostumbrados. Necesitamos tener la seguridad de que pueden funcionar bajo presión. 

La solución del NCCoE: El proyecto puso a prueba los nuevos algoritmos PQC estandarizados en entornos reales, centrándose en casos de uso de misión crítica: 

  • Pruebas de compatibilidad: Garantizar que PQC funcione sin problemas con protocolos de red esenciales como TLS 1.3 (para tráfico web seguro), SSH (para acceso remoto) y QUIC. 
  • Con métricas de rendimiento: Medir el impacto en el mundo real sobre métricas importantes para el negocio, como la velocidad de establecimiento de conexión, la carga computacional y el uso de recursos, especialmente dentro de hardware especializado como los HSM. 
  • Interoperabilidad entre distintos proveedores: Confirmar que las bibliotecas criptográficas y el hardware de diferentes proveedores pueden comunicarse y funcionar de manera confiable a gran escala. 

 Estas pruebas demostraron con éxito que PQC está listo para su uso en producción. Los resultados proporcionan la confianza y los datos esenciales para asegurar a las partes interesadas que la migración a la criptografía resistente a la computación cuántica cumplirá con los exigentes estándares de seguridad, manteniendo al mismo tiempo un rendimiento empresarial aceptable. 

Integrando PQC en su entorno actual de seguridad y cumplimiento normativo 

Lo más valioso del documento NIST CSWP 48 es que elimina la complejidad y las conjeturas de la transición a PQC al vincular las capacidades de migración de PQC con los marcos de trabajo en los que ya confía. Esto significa que el enorme proyecto PQC no tiene por qué ser un silo aparte y complejo. Simplemente se convierte en la siguiente evolución lógica de su programa de seguridad actual. 

1. En consonancia con el Marco de Ciberseguridad 2.0 del NIST  

El documento actúa como un traductor, mostrando cómo las capacidades de PQC se corresponden directamente con las funciones básicas ya conocidas del CSF 2.0: 

  • El descubrimiento corresponde a identificar y evaluar: El proceso de inventario y descubrimiento criptográfico se adapta perfectamente a la gestión de activos y la evaluación de riesgos de ciberseguridad. Simplemente se trata de actualizar la visión de riesgos para incluir la amenaza cuántica. 
  • La migración se relaciona con la protección y la gobernanza: El trabajo real de cambiar algoritmos y actualizar sistemas se corresponde directamente con las funciones de Protección (PR) y Gobernanza (GV). Esto incluye categorías críticas de CSF como Control de Acceso, Gestión de Identidades y Tecnología de Protección. 

2. Integración con los controles de seguridad NIST SP 800-53  

Más allá del CSF de alto nivel, el documento CSWP 48 ofrece el nivel de detalle que necesitan los equipos de cumplimiento y técnicos. Vincula las capacidades de PQC con controles técnicos y de gestión específicos del catálogo NIST SP 800-53. 

Esto significa que la migración a PQC está integrada en familias de control existentes como: 

  • Protección de sistemas y comunicaciones (SC): Actualizando los protocolos de comunicación para utilizar PQC. 
  • Gestión de la configuración (CM): Asegurar que los nuevos requisitos de PQC formen parte de sus configuraciones base. 
  • Identidad y autenticación (IA): Actualización de los certificados digitales y los métodos de intercambio de claves. 

El CSWP 48 proporciona el plan para justificar, presupuestar y ejecutar la migración a la Gestión de la Calidad del Producto (GCP) dentro de su estructura de cumplimiento establecida. Al utilizar el lenguaje del CSF y la SP 800-53, garantiza que la GCP se considere un componente prioritario de la gestión de riesgos empresariales, lo que facilita la transición y su implementación en todos los departamentos. 

¿Qué significa esto para su organización?  

El objetivo principal del documento NIST CSWP 48 es ayudarle a superar el miedo y a tomar medidas seguras y cuantificables. Al estructurar el desafío de la gestión de la calidad del producto (PQC) en torno a marcos de referencia conocidos, proporciona claridad inmediata y de gran valor para todas las organizaciones. 

Los beneficios inmediatos que obtendrá: 

  1. Un contexto claro para la gestión de riesgos: Obtendrá de inmediato una forma de hablar sobre la migración a PQC que sus ejecutivos y auditores ya comprenden. El documento proporciona un marco claro para integrar las actividades de PQC directamente en sus programas de gestión de riesgos y cumplimiento existentes, en lugar de tratarlas como un mandato externo y sin financiación. 
  2. Herramientas de descubrimiento prácticas: Obtendrá las herramientas y la información necesarias para realizar una auditoría criptográfica adecuada. Esto le permitirá evaluar con precisión dónde su criptografía específica está más expuesta a riesgos y comprender cuáles de sus funciones y controles organizacionales principales (como el control de acceso o la protección del sistema) se ven directamente respaldados por la migración a PQC. 
  3. Confianza en la nueva tecnología: Ya no es necesario esperar respuestas sobre los nuevos algoritmos. Las pruebas de interoperabilidad y rendimiento demostradas por el proyecto ofrecen información sólida sobre las características de los algoritmos PQC emergentes, lo que reduce drásticamente la incertidumbre sobre su viabilidad y preparación para su implementación empresarial. 
  4. Una base sólida para la planificación: Recibirás una base fiable para elaborar tu plan. Esto te ayudará a superar la ansiedad generalizada y a crear una estrategia de migración basada en el riesgo y alineada con el cumplimiento normativo, que se ajuste perfectamente a tus ciclos actuales de gobernanza de seguridad y presupuesto. 

Al ver Migración PQC A través de marcos de gestión de riesgos confiables como CSF ​​y SP 800-53, se evitan por completo los proyectos de emergencia fragmentados, aislados y costosos. En cambio, se logra un progreso sostenible y responsable hacia una resiliencia integral que se alinea con los objetivos de seguridad a largo plazo. 

Complementando otros materiales del NIST y de la industria

Si bien CSWP 48 no establece plazos estrictos para la migración ni instrucciones detalladas paso a paso, cumple un papel clave al vincular las capacidades de migración técnica con los marcos de gestión de riesgos. 

Este es el cronograma a seguir: 

  • 2024 2026-: Establece estándares, desarrolla tu CBOMAsegure la financiación necesaria y capacite a su equipo. Comience con implementaciones a pequeña escala, como probar PQC en aplicaciones internas. 
  • 2027 2029-: Colaborar con los proveedores para integrar las tecnologías PQC y ejecutar programas piloto en entornos de bajo riesgo, como portales de empleados o sistemas de respaldo. 
  • 2030 2033-: Abordar los riesgos emergentes a medida que avanzan las capacidades de la computación cuántica, priorizando las infraestructuras críticas como las plataformas financieras y las redes gubernamentales. 
  • Por 2035: Lograr una transición completa al cifrado seguro frente a la computación cuántica en todos los entornos, incluidos los sistemas en la nube y los dispositivos IoT. 

CBOM

Obtenga visibilidad completa con descubrimiento criptográfico continuo, inventario automatizado y remediación de PQC basada en datos.

Solicitar demostración

¿Cómo puede ayudar la consultoría de cifrado? 

Encryption Consulting es su socio de confianza para lograr seguridad cuánticaLe guiamos en cada fase, desde el descubrimiento hasta la implementación, con claridad, confianza y experiencia comprobada. 

  1. Descubrimiento e inventario criptográfico: Comenzamos por mapear todo su entorno criptográfico. Esto incluye identificar todos los sistemas (locales, en la nube e híbridos) que utilizan criptografía, catalogar claves, certificados, algoritmos y dependencias en aplicaciones, API, redes y bases de datos. El resultado: un inventario detallado y una base de referencia para evaluar el riesgo cuántico. 
  2. Evaluación del impacto de PQC: A continuación, evaluamos las vulnerabilidades ante amenazas cuánticas mediante el análisis de activos criptográficos que utilizan RSA, ECC y algoritmos similares. Evaluamos su infraestructura de clave pública (PKI). HSMy aplicaciones para Preparación para PQC y presentar un informe priorizado que destaque las zonas de alto riesgo y las necesidades de migración. 
  3. Estrategia y hoja de ruta de PQC: Una vez definidos los riesgos, creamos una estrategia de migración personalizada y por fases, alineada con sus objetivos comerciales, de cumplimiento normativo y técnicos. Esto incluye actualizaciones de políticas, diseño de algoritmos ágiles y una hoja de ruta clara que describe las etapas de implementación piloto, híbrida y completa. 
  4. Evaluación de proveedores y prueba de concepto: Le ayudamos a seleccionar y probar soluciones preparadas para PQC. Nuestro equipo gestiona los procesos de RFI/RFP, realiza pruebas de concepto para evaluar las ofertas de los proveedores y entrega informes comparativos para garantizar la selección de la tecnología óptima para su entorno. 
  5. Pruebas piloto y escalado: Antes de su implementación completa, validamos los modelos PQC en entornos piloto para garantizar la interoperabilidad y minimizar las interrupciones. Los comentarios de los equipos técnicos y comerciales permiten optimizar la implementación para lograr escalabilidad y eficiencia. 
  6. Implementación de PQC: Finalmente, llevamos a cabo la integración completa de PQC en toda su red. PKINos encargamos de la infraestructura y las aplicaciones, garantizando el cumplimiento normativo, la continuidad del servicio y la compatibilidad con algoritmos híbridos. Además, ofrecemos formación práctica, monitorización y gestión del ciclo de vida para asegurar la seguridad a largo plazo. 

La transición a PQC es compleja, pero no tiene que hacerlo solo. Encryption Consulting le garantiza una transición fluida y segura. Contáctenos en info@encryptionconsulting.com y permítanos construir una hoja de ruta personalizada que se alinee con las necesidades específicas de su organización.    

Conclusión 

El mensaje es claro: la migración a PQC no es un proyecto opcional; es una fecha límite que debe cumplirse. El documento NIST CSWP 48 le brinda la autoridad y el plan para dejar de preocuparse por las posibles consecuencias de la computación cuántica y comenzar a trabajar en el cómo hacerlo de inmediato. Al usar este marco, no solo agrega una capa de seguridad, sino que protege sus datos a largo plazo, mantiene el cumplimiento normativo y obtiene una ventaja competitiva crucial. No espere a que la normativa se convierta en una crisis. 

El siguiente paso es claro: inicie la conversación hoy mismo. Aquí es donde nuestros Servicios de Asesoría PQC entran en acción para traducir las directrices del NIST. hoja de ruta directamente en tu entorno, ayudándote a construir un riesgo

Descubra nuestra

Blogs relacionados

Principales proveedores de inventarios criptográficos

Principales proveedores y metodologías de inventario criptográfico

1 de Mayo de 2026
CBOM

CBOM y el problema de la visibilidad criptográfica

30 de Abril, 2026
Compatibilidad con PQC en navegadores web

Compatibilidad con criptografía postcuántica en navegadores web

Marzo 31, 2026

Explorar

Más temas