PREPARACIÓN PQC // CHIMERASCOPE
Evaluación cuantificada de su infraestructura criptográfica frente a amenazas de computación cuántica — alineada con las obligaciones de cumplimiento de CRA, NIS2 y BSI TR-02102-1.
Los avances recientes en la investigación de la computación cuántica han reducido significativamente los recursos estimados necesarios para romper la criptografía de clave pública ampliamente desplegada. Las organizaciones que manejan datos sensibles — registros financieros, información médica, propiedad intelectual, secretos comerciales — enfrentan una presión temporal concreta que los reguladores ya están abordando.
La amenaza principal es sencilla: el tráfico de red cifrado interceptado hoy puede almacenarse y descifrarse una vez que las computadoras cuánticas alcancen la capacidad suficiente. Esta estrategia de “cosechar ahora, descifrar después” convierte la migración post-cuántica en una prioridad de gestión de riesgos presente, no en una consideración futura. Las estimaciones actuales sitúan la ventana entre la interceptación y la capacidad de descifrado en tres a diez años.
NIST finalizó tres estándares criptográficos post-cuánticos en agosto de 2024: ML‑KEM (FIPS 203) para la encapsulación de claves, ML‑DSA (FIPS 204) para firmas digitales y SLH‑DSA (FIPS 205) para firmas basadas en hash. Los principales proveedores de infraestructura ya han comenzado su despliegue, pero la gran mayoría de las organizaciones aún no ha evaluado su propia preparación.
Nuestra evaluación analiza la preparación criptográfica cuántica en todos los puntos finales observables externamente de su infraestructura. No se requiere acceso a los sistemas internos.
Evaluación de las configuraciones de intercambio de claves TLS a través de algoritmos híbridos y puros post-cuánticos estandarizados. Determina si sus puntos finales negocian intercambios de claves resistentes a la computación cuántica o siguen siendo vulnerables a la interceptación. Cubre dominios principales, subdominios y puertos de servicio adicionales.
Análisis de algoritmos de certificados que incluye la evaluación del esquema de firma y la puntuación de preparación para la migración. Evalúa si su infraestructura de certificados puede pasar a algoritmos cuánticamente seguros sin interrupción operativa — una función de la autoridad emisora, el nivel de automatización y las restricciones de pinning.
Verificación de la capacidad post-cuántica de STARTTLS en su infraestructura MX. El transporte de correo electrónico es uno de los canales cuánticamente vulnerables más pasados por alto — los datos actuales indican que menos del uno por ciento de los servidores de correo globales admiten cifrado de transporte cuánticamente seguro.
Detección de vulnerabilidades de degradación de protocolos que permiten a los atacantes forzar conexiones a versiones de protocolo más antiguas y vulnerables a la computación cuántica, incluso cuando existen protecciones más recientes. Incluye la evaluación de la modernización del intercambio de claves SSH en todas las interfaces de gestión expuestas.
Análisis consciente de CDN que distingue entre la protección cuántica proporcionada en el borde de la red y la protección nativa de su infraestructura de origen — una distinción crítica que ninguna herramienta pública de puntuación realiza actualmente. Las organizaciones que dependen de redes de entrega de contenido a menudo asumen una protección total cuando solo la capa de borde está preparada para la computación cuántica.
Nuestras evaluaciones en organizaciones industriales, financieras y tecnológicas europeas revelan un patrón constante:
La preparación criptográfica post‑cuántica no es una preocupación teórica — es un requisito de cumplimiento emergente en múltiples marcos regulatorios aplicables a organizaciones europeas.
El CRA exige que los productos con elementos digitales implementen protecciones criptográficas que reflejen el estado del arte. El Artículo 10 obliga a los fabricantes a garantizar la confidencialidad mediante “mecanismos y protocolos apropiados”, un lenguaje que cada vez más abarca la preparación post‑cuántica a medida que maduran los estándares NIST. La notificación de vulnerabilidades se vuelve obligatoria a partir de septiembre de 2026, con cumplimiento total para diciembre de 2027.
El Artículo 21 exige que las entidades esenciales e importantes implementen medidas de seguridad “de última generación” proporcionales al riesgo. A medida que los estándares criptográficos post‑cuánticos alcanzan la madurez, la falta de evaluación y planificación de la migración genera una brecha demostrable en las medidas de gestión de riesgos que exige NIS2. Se espera que la guía sectorial haga referencia explícita a los plazos de migración a PQC.
La Oficina Federal Alemana de Seguridad de la Información (BSI) mantiene directrices técnicas sobre algoritmos criptográficos recomendados. TR-02102-1 clasifica a ML‑KEM y ML‑DSA como algoritmos recomendados, ofreciendo una guía concreta para organizaciones que operan en o sirven al mercado alemán. La guía del BSI tiene un peso particular para proveedores del sector público e industrias reguladas en la región DACH.
El Commercial National Security Algorithm Suite 2.0 establece un calendario para la descontinuación de algoritmos vulnerables a la computación cuántica en los sistemas de seguridad nacional. Aunque centrado en EE. UU., los plazos de CNSA 2.0 influyen en los requisitos de la cadena de suministro global — las organizaciones que sirven a los sectores de defensa, aeroespacial o tecnología de doble uso enfrentan obligaciones de cumplimiento en cascada, independientemente de la jurisdicción.
Cada evaluación produce una puntuación de preparación cuantificada que refleja el estado real de implementación en todos los puntos finales criptográficos observables externamente. La puntuación tiene en cuenta la configuración de la capa de transporte, la postura de los certificados, la seguridad del correo electrónico, la resiliencia de los protocolos y la arquitectura de la infraestructura.
Intercambio de claves post-cuántico implementado en los puntos finales principales. La infraestructura de certificados admite la migración de algoritmos. El transporte de correo electrónico incluye protecciones cuánticamente seguras. No se detectaron rutas significativas de degradación de protocolos.
Implementación parcial post-cuántica — típicamente a través de la protección en el borde del CDN sin implementación a nivel de origen, o con brechas en el transporte de correo electrónico o SSH. Existe una ruta de migración, pero requiere acciones dirigidas en capas específicas de la infraestructura.
Protecciones post-cuánticas limitadas o inexistentes. La infraestructura de certificados puede admitir la migración, pero no se ha iniciado una transición activa. Es probable que existan rutas de degradación de protocolos. Recomendado: iniciar la planificación de la migración dentro del ciclo presupuestario actual.
No se detectaron protecciones cuánticamente seguras. Se aceptan versiones de protocolos heredados. La gestión de certificados puede impedir una migración rápida. Recomendado: priorizar el inventario criptográfico y la hoja de ruta de migración como una prioridad operativa inmediata.
Exposición criptográfica significativa que incluye algoritmos obsoletos, ausencia de confidencialidad perfecta hacia adelante y barreras estructurales para la migración. Se requiere una evaluación inmediata y la planificación de remediación.
Ahora. Los estándares NIST están finalizados, los principales proveedores de infraestructura están implementando, y los marcos regulatorios están incorporando requisitos post‑cuánticos. Las organizaciones que inicien la evaluación hoy tendrán hojas de ruta de migración listas antes de que lleguen los plazos de cumplimiento.
Parcialmente. Los principales proveedores de CDN implementan intercambio de claves post‑cuántico en el edge, pero su servidor de origen maneja el procesamiento real de datos. Si su origen carece de protecciones cuánticamente seguras, el tráfico entre el CDN y el origen sigue siendo vulnerable. Nuestra evaluación identifica exactamente esta brecha.
No. La evaluación analiza la configuración criptográfica mediante observación pasiva y análisis estándar del handshake TLS. No hay explotación, no hay intentos de autenticación, no hay interrupción del servicio. No se requiere autorización para el alcance estándar de la evaluación.
El transporte de correo electrónico se evalúa por separado de la infraestructura web. Nuestra evaluación verifica si sus servidores MX admiten STARTTLS cuánticamente seguro — una capacidad que menos del uno por ciento de los servidores de correo globales ofrecen actualmente.
La evaluación de preparación PQC está disponible como un compromiso independiente o como una capa integrada dentro de una evaluación integral de la superficie de ataque externa. Cuando se combinan, los hallazgos PQC se incorporan al mapeo general de cumplimiento y a la puntuación de amenazas.
NIST FIPS 203 (ML-KEM), FIPS 204 (ML-DSA), FIPS 205 (SLH-DSA) para la evaluación de algoritmos. CRA Art. 10, NIS2 Art. 21, BSI TR-02102-1 y CNSA 2.0 para el mapeo de cumplimiento. Todas las referencias se citan en el informe entregado.
Envíe el dominio principal de su organización para una evaluación de preparación en criptografía post‑cuántica. La evaluación se entregará en un plazo de 48 horas como PDF cifrado.
Proporcione el dominio principal de su organización. La evaluación cubre todos los puntos finales criptográficos observables externamente.