Ir al contenido
Volver a Tutoriales
post-quantum-cryptography pqc crypto-agility security-architecture

Cómo Iniciar una Migración de Criptografía Post-Cuántica: Inventario, Priorización y Piloto

Intermedio · 1 hour · 3 min de lectura · Byte Smith ·

Antes de comenzar

  • Un inventario actual de activos o al menos una lista de aplicaciones principales, servicios de red y plataformas
  • Visibilidad en PKI, emisión de certificados y uso de certificados
  • Alguna forma de inspeccionar el uso criptográfico en código, bibliotecas, protocolos o productos de proveedores
  • Una lista de propietarios inter-equipos que cubra seguridad, infraestructura, redes, equipos de aplicación y adquisiciones
  • Un entorno de staging o piloto donde las pruebas de protocolo e interoperabilidad puedan ocurrir de forma segura

Lo que aprenderás

  • Identificar dónde se usa realmente criptografía de clave pública vulnerable a cuántica en tu entorno
  • Priorizar sistemas basándose en vida útil de confidencialidad, exposición y dificultad de migración
  • Evaluar agilidad criptográfica en lugar de asumir que cada sistema puede intercambiar algoritmos después
  • Definir un primer piloto con objetivos de interoperabilidad, reglas de rollback y criterios de éxito medibles
  • Hacer las preguntas correctas de migración a proveedores y equipos internos temprano
  • Construir una hoja de ruta por fases que comience ahora sin forzar un rollout big-bang imprudente
1
En esta página

La criptografía post-cuántica ya no es un tema “para después” para equipos de arquitectura. NIST finalizó sus primeros tres estándares principales de PQC en agosto de 2024 — FIPS 203 para ML-KEM (encapsulación de claves), FIPS 204 para ML-DSA (firmas digitales) y FIPS 205 para SLH-DSA (firmas basadas en hash sin estado) — y ha dicho a las organizaciones que comiencen a migrar ahora. La línea temporal de transición de NIST apunta hacia deprecar algoritmos de clave pública vulnerables a cuántica para 2030 para la mayoría del uso federal y eliminarlos completamente de los estándares NIST para 2035, con sistemas de alto riesgo esperados a moverse antes.

Eso hace de PQC un problema de migración, no solo un tema de investigación. El proyecto activo Migration to Post-Quantum Cryptography del NCCoE está enfocado en demostrar prácticas que ayuden a las organizaciones a descubrir dónde se usan algoritmos vulnerables a cuántica, priorizar riesgo y probar interoperabilidad con enfoques PQC estandarizados.

Este tutorial te da un programa de migración realista de primera fase. Al final, tendrás un formato de inventario criptográfico funcional, un modelo de priorización basado en riesgo, un checklist de revisión de agilidad criptográfica, una definición de piloto, un cuestionario de proveedor y una hoja de ruta por fases que puedes llevar a la planificación de arquitectura empresarial o seguridad. Si quieres el contexto estratégico antes de sumergirte en el trabajo práctico, lee el artículo complementario sobre construir una hoja de ruta de migración de criptografía post-cuántica.

El tutorial completo cubre inventariar dónde vive la criptografía, priorizar por riesgo, evaluar agilidad criptográfica, construir un alcance de piloto, involucrar a proveedores y propietarios internos, crear una hoja de ruta por fases y documentar y gobernar.

Consejo

Un inventario criptográfico solo es útil si captura contexto. “Usa TLS” no es suficiente. Necesitas saber dónde, por qué y qué tan difícil será cambiarlo.

Advertencia

No priorices solo por exposición a internet. Un sistema de confianza interno difícil de reemplazar que protege datos sensibles de larga vida puede importar más que un borde web público más simple.

Info

“Soporta PQC” no es lo mismo que “es criptográficamente ágil.” La mejor pregunta es si el sistema puede evolucionar sin una reescritura de plataforma o una interrupción de producción.

Consejo

Un primer piloto PQC debería enseñarte sobre compatibilidad, operaciones y propiedad. No debería convertirse en un proyecto encubierto de transformación de infraestructura.

Advertencia

Una migración PQC se estanca rápido cuando cada equipo asume que alguien más posee la conversación de protocolo, certificado, hardware o proveedor.

Nota

La gobernanza PQC no se trata de forzar a cada equipo a convertirse en experto en criptografía. Se trata de asegurar que las dependencias criptográficas sean visibles, tengan propietario y se revisen antes de convertirse en proyectos de emergencia.

Conclusión

Un programa realista de migración PQC de primera fase debería lograr cuatro cosas: un inventario creíble de dónde vive la criptografía de clave pública, un modelo de priorización basado en riesgo, una evaluación de agilidad criptográfica para sistemas clave y al menos un piloto acotado con métricas de rollback y éxito.

Lo que no hay que hacer todavía: no fuerces un intercambio big-bang de algoritmos en cada protocolo, no asumas que cada producto es criptográficamente ágil y no trates las hojas de ruta de proveedores como problema de otro. Lo que hay que empezar inmediatamente: construye el inventario, clasifica sistemas de alto riesgo, abre conversaciones con proveedores, define un piloto y haz de la agilidad criptográfica parte de la revisión de arquitectura y adquisiciones. Cuanto antes lo hagas, más libertad mantienes para las decisiones más difíciles de interoperabilidad y reemplazo después.

Para el caso de negocio estratégico y enmarcado a nivel de arquitectura detrás de este trabajo, consulta Post-Quantum Cryptography Migration Roadmap: A Practical Guide for Enterprise Security Teams. Para endurecimiento de infraestructura relacionado, los tutoriales sobre endurecer tu pipeline CI/CD con Sigstore, SLSA y SBOMs e implementar passkeys empresariales cubren temas complementarios de infraestructura de confianza.