F Notes by FridayInteligencia privada, pulida para publicar
← Inicio

Criptoresiliencia a fuego alto

Una reflexión desde un evento que mezcló criptografía post-cuántica, resiliencia operativa y una cooking experience: preparar un buen steak también enseña algo sobre cómo migrar antes de que el calor llegue.

Leer esta nota en inglés →

Una copa de vino frente a una estación de cocina con sartenes, ingredientes y cortes de carne durante una experiencia culinaria.
Una copa de vino frente a una estación de cocina con sartenes, ingredientes y cortes de carne durante una experiencia culinaria.
Ilustración editorial generada con Codex que combina una sartén de hierro, un steak y motivos de criptografía post-cuántica.
Ilustración editorial generada con Codex que combina una sartén de hierro, un steak y motivos de criptografía post-cuántica.

Hay conversaciones técnicas que se quedan en la cabeza por el contenido. Otras se quedan por el contexto. Esta fue una mezcla poco común de ambas cosas: una conversación sobre criptoresiliencia, criptografía post-cuántica y dependencia de protocolos de cifrado que probablemente tienen fecha de caducidad, mientras al mismo tiempo aprendíamos a preparar un buen steak.

La escena tenía algo de metáfora involuntaria. En una mesa había sartenes, aceite, cortes de carne, cuchillos, fuego y una copa de vino. En la conversación, aunque no siempre de forma visible, estaban los inventarios criptográficos, los certificados, los algoritmos, las dependencias heredadas, los proveedores, los datos de larga vida útil y esa pregunta incómoda que muchas organizaciones todavía no han respondido con suficiente precisión: ¿qué parte de nuestra confianza digital depende de criptografía que un adversario cuántico podría romper mañana?

La computación cuántica todavía no es una amenaza operacional cotidiana para la mayoría de las organizaciones. Pero ese no es el punto. El punto es que la migración criptográfica no ocurre en el momento en que el riesgo se materializa. Ocurre años antes, cuando todavía parece prematuro, incómodo y difícil de justificar.

El problema no es solo el algoritmo

Cuando se habla de ciberseguridad post-cuántica, es fácil reducir el tema a una lista de algoritmos: cuáles quedarán obsoletos, cuáles serán reemplazados, cuáles recomienda NIST, cuáles soportan los proveedores. Esa parte es necesaria, pero incompleta.

El verdadero reto está en la dependencia sistémica.

El cifrado está en todas partes: TLS, VPNs, correo, identidad, banca digital, APIs, firmas de software, HSMs, dispositivos, backups, canales entre sistemas, integraciones con terceros y datos archivados que deben seguir siendo confidenciales por años. Muchas veces ni siquiera existe un inventario completo de dónde se usa criptografía, con qué parámetros, bajo qué proveedor, con qué ciclo de renovación y con qué capacidad real de cambio.

Ahí empieza la criptoresiliencia: no en escoger un algoritmo nuevo, sino en construir la capacidad institucional de saber qué se usa, dónde se usa, qué protege, cuánto tiempo debe seguir protegido y qué tan rápido puede ser reemplazado.

“Harvest now, decrypt later” cambia el reloj

Uno de los puntos más importantes de la conversación fue el riesgo de harvest now, decrypt later: capturar tráfico o información cifrada hoy para descifrarla en el futuro, cuando exista capacidad cuántica suficiente.

Esto cambia el análisis. Si un dato necesita permanecer confidencial por diez, quince o veinte años, el riesgo post-cuántico no empieza el día en que aparece una computadora cuántica capaz de romper RSA o ECC a escala práctica. Empieza hoy, si ese dato puede ser recolectado y almacenado por un adversario paciente.

En sectores regulados, financieros o de infraestructura crítica, esa distinción importa. No basta con decir “todavía falta”. La pregunta correcta es: ¿qué información protegida hoy seguirá siendo sensible cuando la amenaza madure?

La lección del steak: preparación antes del fuego

Mientras se hablaba de cifrado, también aprendíamos algo más tangible: cómo tratar bien un corte de carne.

Un buen steak no empieza cuando toca la sartén. Empieza antes: elegir el corte, dejar que tome temperatura, secar la superficie, sazonar correctamente, calentar la sartén, controlar el fuego, saber cuándo no moverlo, cuándo voltearlo y cuándo dejarlo reposar.

La ejecución visible dura pocos minutos. La diferencia está en la preparación.

Con la migración post-cuántica pasa algo parecido. Si una organización espera a que el “fuego” esté encima, va tarde. Para entonces, cada dependencia no inventariada, cada sistema legado, cada contrato con un tercero, cada appliance que no soporta nuevos algoritmos y cada certificado emitido sin estrategia se convierte en fricción operacional.

La criptoresiliencia requiere mise en place:

  • inventario criptográfico real, no supuesto;
  • clasificación de datos por vida útil y sensibilidad;
  • identificación de protocolos, librerías y dependencias críticas;
  • capacidad de rotar algoritmos, claves y certificados sin rediseñar todo;
  • pruebas de compatibilidad con enfoques híbridos;
  • coordinación con proveedores y terceros;
  • gobierno claro para decidir cuándo migrar y cómo validar que la migración no rompe la operación.

Agilidad criptográfica como disciplina

La frase “crypto agility” puede sonar abstracta hasta que se aterriza en decisiones concretas. En la práctica, significa diseñar sistemas que no estén casados para siempre con un algoritmo, una librería, un tamaño de clave o un proveedor.

También significa que seguridad, arquitectura, infraestructura, desarrollo, riesgo, cumplimiento y compras tienen que hablar el mismo idioma. La migración post-cuántica no será solamente un proyecto técnico; será un programa de gestión de dependencias digitales.

Y como todo programa serio de resiliencia, necesita priorización. No todo se migra primero. No todo tiene el mismo nivel de exposición. No todo protege datos con la misma vida útil. No todo está bajo el mismo control interno.

La madurez está en poder responder:

1. Qué activos dependen de criptografía vulnerable. 2. Qué datos protegidos tienen valor de largo plazo. 3. Qué sistemas pueden adoptar algoritmos post-cuánticos o híbridos. 4. Qué proveedores ya tienen roadmap y cuáles no. 5. Qué cambios pueden probarse sin afectar disponibilidad. 6. Qué decisiones deben tomarse antes de que el mercado se mueva por urgencia.

Resiliencia también es saber cuándo reposar

Una parte curiosa de cocinar steak es que el reposo importa. Después del fuego, hay que esperar. Cortarlo demasiado rápido arruina parte del resultado.

En seguridad pasa algo similar: no todo se resuelve con velocidad. La urgencia sin método puede producir implementaciones frágiles, falsas sensaciones de cumplimiento o cambios que reducen disponibilidad sin mejorar realmente la postura de riesgo.

Criptoresiliencia no significa correr detrás de cada anuncio. Significa construir una capacidad ordenada para adaptarse. Saber cuándo investigar, cuándo probar, cuándo esperar estándares más maduros, cuándo exigir a proveedores, cuándo pilotear y cuándo ejecutar.

Una conversación que merece continuar

Salí del evento con una idea reforzada: la criptografía post-cuántica no debe tratarse como una curiosidad futurista. Debe tratarse como un asunto de continuidad, confianza y arquitectura.

Así como un buen steak depende de controlar el tiempo, el calor y la preparación, la seguridad post-cuántica dependerá de controlar inventarios, dependencias y decisiones antes de que la presión externa obligue a improvisar.

Quizás esa fue la mejor combinación del evento: hablar de una amenaza que todavía parece lejana mientras se hacía algo que castiga inmediatamente la falta de preparación. El steak no perdona una sartén fría. La criptografía tampoco perdonará una migración tardía.