AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Reguladores Exigen Pruebas de Preparación Criptográfica Post-Cuántica sin Herramientas Adecuadas

admin

#### Introducción

El auge de la computación cuántica ha impulsado una ola de preocupación en torno a la resiliencia de los sistemas criptográficos actuales, especialmente en el ámbito de los entornos industriales y de tecnología operativa (OT). Sin embargo, la presión regulatoria está obligando a los propietarios de activos OT a certificar su preparación para el criptoanálisis cuántico sin contar con las herramientas necesarias. Este escenario está generando una peligrosa desconexión entre el cumplimiento documental y la verdadera seguridad operativa.

#### Contexto del Incidente o Vulnerabilidad

Durante los últimos meses, distintos organismos reguladores europeos y estadounidenses han comenzado a solicitar a los propietarios de infraestructuras críticas —centrales eléctricas, plantas de tratamiento de agua, redes de transporte y sector manufacturero— una autoevaluación formal de su postura frente a amenazas criptográficas post-cuánticas. El objetivo es anticipar la llegada de ordenadores cuánticos capaces de quebrar algoritmos asimétricos ampliamente utilizados (RSA, ECC, DH), siguiendo las recomendaciones de la NIST y la Agencia de Ciberseguridad de la Unión Europea (ENISA).

No obstante, la mayoría de las organizaciones OT se encuentra en una posición delicada: carecen de herramientas de análisis, auditoría y migración que permitan evaluar de manera rigurosa la exposición real a estos riesgos, por lo que las declaraciones presentadas ante los reguladores tienen un valor limitado y pueden inducir a una falsa sensación de seguridad.

#### Detalles Técnicos

La amenaza cuántica se centra principalmente en la potencial vulnerabilidad de los algoritmos criptográficos tradicionales frente a técnicas como el algoritmo de Shor, capaz de factorizar enteros grandes y resolver el problema del logaritmo discreto en tiempo polinómico sobre hardware cuántico. Esto afecta a algoritmos como RSA, DSA y ECDSA, presentes en protocolos industriales (IEC 62351, OPC UA, Modbus Security, DNP3 Secure Authentication).

Actualmente, la mayoría de los entornos OT aún depende de bibliotecas criptográficas heredadas y firmware propietario, lo que dificulta el inventario y análisis de algoritmos implementados. No existen soluciones comerciales estandarizadas para escanear dispositivos OT en producción y determinar la compatibilidad o la exposición a la amenaza cuántica.

En términos de TTPs (Tactics, Techniques, and Procedures) referenciadas por MITRE ATT&CK for ICS, el vector de ataque más relevante sería la explotación de debilidades criptográficas (T0865 – Exploit Cryptographic Vulnerability). A pesar de que aún no hay exploits cuánticos en la práctica, la recolección masiva de tráfico cifrado para un posterior descifrado (“Harvest Now, Decrypt Later”) ya está documentada en campañas de APTs estatales.

No se dispone de indicadores de compromiso (IoC) específicos asociados a ataques cuánticos, pero sí se ha detectado un aumento en la recopilación de certificados y claves públicas industriales por parte de actores maliciosos.

#### Impacto y Riesgos

El impacto potencial de la irrupción de la computación cuántica en entornos OT es severo. Según estimaciones de Gartner, más del 70% de los dispositivos OT desplegados en Europa utilizan protocolos susceptibles a ataques cuánticos. Un estudio reciente de ENISA calcula que la migración de infraestructuras OT críticas a criptografía post-cuántica podría costar entre 1.200 y 3.000 millones de euros solo en la UE.

Además, la falsa percepción de seguridad generada por los informes de cumplimiento puede derivar en una exposición crítica prolongada. La legislación como NIS2 y el propio GDPR podrían considerar negligente la falta de medidas proactivas, con sanciones económicas significativas en caso de incidentes.

#### Medidas de Mitigación y Recomendaciones

Las medidas recomendadas para abordar esta amenaza deben ser de carácter estratégico y técnico:

– Realizar un inventario exhaustivo de activos OT y los algoritmos criptográficos utilizados.
– Adoptar frameworks de migración como el NIST SP 800-208, que recomienda un enfoque en capas para la transición a algoritmos post-cuánticos (CRYSTALS-Kyber, CRYSTALS-Dilithium, etc.).
– Implementar soluciones de escaneo pasivo y análisis de tráfico para identificar protocolos vulnerables.
– Priorizar la actualización de firmware y la sustitución de dispositivos inseguros, incorporando módulos criptográficos actualizables.
– Establecer procedimientos de gestión de claves robustos y planes de respuesta ante la obsolescencia repentina de algoritmos.

#### Opinión de Expertos

Según Javier Morales, CISO de una multinacional energética: “El mayor riesgo no es la irrupción cuántica en sí, sino la complacencia que genera el cumplimiento documental. Sin herramientas de auditoría específicas, cualquier declaración de preparación es papel mojado”.

Por su parte, la consultora S21sec advierte en su último informe que menos del 10% de los entornos OT dispone de una estrategia clara de migración a criptografía post-cuántica y que la industria de herramientas de seguridad aún está en fase experimental.

#### Implicaciones para Empresas y Usuarios

Para las organizaciones propietarias de activos OT, el desajuste entre requisitos regulatorios y capacidades técnicas eleva la superficie de riesgo, tanto en términos operativos como legales. Los usuarios finales y operadores pueden ver comprometida la integridad y continuidad de servicios críticos si la transición a algoritmos post-cuánticos no se planifica con antelación.

El mercado apunta a una consolidación de soluciones de inventario y migración criptográfica para OT, con un crecimiento estimado del 35% anual en los próximos cinco años, según IDC.

#### Conclusiones

La presión regulatoria para demostrar preparación frente a riesgos cuánticos en OT sin herramientas adecuadas está creando un entorno de cumplimiento superficial y riesgos latentes. Es fundamental que el sector adopte un enfoque técnico, invierta en visibilidad y migración, y exija a proveedores y autoridades un marco realista y respaldado por tecnología auditada. Ignorar esta brecha podría traducirse en incidentes de seguridad de gran impacto y sanciones regulatorias severas en el corto y medio plazo.

(Fuente: www.darkreading.com)