Archivo de la categoría: Criptocalipsis

Mejoras del algoritmo TLS 1.3 para resistir la amenaza de la computación cuántica

Deja un comentario

«Criptocalipsis» o «Q-day»

En el sector de la ciberseguridad a menudo preferimos anticiparnos a las amenazas. Por eso se ha acuñado el término «Criptocalipsis» —ese momento teórico en el que un ordenador cuántico sea lo suficientemente potente como para romper en poco tiempo la criptografía asimétrica que protege Internet (la base de los algoritmos de cifrado asimétrico y de firma electrónica como RSA y ECC)— .

A ello ha contribuido las recomendaciones de los organismos de estandarización (IETF, NIST, ETSI, ISO) y los grandes proveedores de infraestructura que se toman en serio los riesgos detectados .

Y el riesgo actual tiene un nombre técnico bastante inquietante: «Harvest Now, Decrypt Later» (Recolectar ahora, descifrar después).

Cabe pensar que el tráfico cifrado que circula hoy por las redes podría estar siendo recogido y almacenado masivamente por organismos de algunos estados o por grandes organizaciones delictivas con recursos económicos a su disposición.

La información que se guarda cifrada, sin conocer la clave de descifrado, parece poco útil, pero dentro de 5, 10 o 15 años, cuando llegue el llamado «Q-Day» (el día que un ordenador cuántico relevante esté operativo), esa «caja fuerte» de datos grabados hoy podría abrirse en espacios de tiempo cortos usando el algoritmo de Shor.

Si la confidencialidad de los datos de las empresas y organismos (secretos industriales, comunicaciones diplomáticas, datos médicos a largo plazo) debe durar más de una década, la criptografía convencional podría no ser suficiente.

Uno de los usos del cifrado se da en las comunicaciones seguras de los browsers o navegadores con los sitios web que tendrán instalado un certificado para que se pieda activar esa comunicación cifrada.

El protocolo utilizado se llamaba antiguamente SSL pero ya no se usa esa denominación porque ese protocolo incluía importantes vulnerabilidades, que se han resuelto posteriormente.

Ahora se emplea el protocolo TLS , la evolución del SSL, pero tampoco vale cualquier versión. No valen la versiones anteriores a la 1.2 y pronto dejará de utilizarse esta, conforme se generalice la versión TLS 1.3.

Y en el protocolo se usa un certificado X.509 en el servidor en base al cual se gestiona el intercambio de claves

  1. Si un ataque en base a computación cuántica desvelara la clave privada del certificado, el atacante podría suplantar el servidor (lo que requeriría más operaciones para la suplantación como atacar los DNS). Incluso si eso sucede, habría indicios que permitirían al propietario del servidor web legítimo detectarlo y reaccionar.
  2. La Confidencialidad de las comunicaciones se basa en el intercambio de claves de cifrado: Si un ataque en base a computación cuántica desvelara la clave de cifrado, de un intercambio de información del pasado (preservada por el atacante), podría descifrar todo el intercambio de información.

Por eso, la prioridad del IETF en su actualización del protocolo ha sido blindar el intercambio de claves. Y ya está publicado como estándar.

Enfoque híbrido del intercambio de claves: compatibilidad y reforzamiento

El reto en el intercambio de claves en TLS es que el objetivo de usar nuevos algoritmos postcuánticos (PQC) como Kyber (ahora estandarizado por NIST como ML-KEM), debería ser compatible con el uso de algoritmos muy probados como RSA o las Curvas Elípticas (ECC). ¿Qué pasa si al profundizar en los nuevos algoritmos se descubre una vulnerabilidad matemática no detectada en los análisis previos?

La respuesta del IETF en el reciente estándar para TLS 1.3 es el pragmatismo puro: el Intercambio de Claves Híbrido.

La idea es simple y práctica: no sustituir lo viejo por lo nuevo, sino usar ambos simultáneamente. Es una estrategia de «compatibilidad y refuerzo». Para que un atacante rompa la sesión, tendría que romper a la vez la criptografía clásica (X25519, híper probada) Y la nueva criptografía postcuántica (Kyber). Si el ordenador cuántico no da con la clave, nos protege la criptografía clásica. Si el ordenador cuántico expone la clave basada en criptografía clásica, nos protege la basada en criptografía postcuántica.

3. Cómo funciona el nuevo «Handshake» TLS 1.3 Híbrido

¿Cómo se modifica un protocolo tan establecido como TLS 1.3 para negociar dos tipos de criptografía radicalmente distintos en una sola ida y vuelta, sin perder eficiencia?

El cambio ocurre en las extensiones clave del handshake inicial:

A. El Cliente propone (ClientHello)

En un TLS 1.3 normal, el cliente usa la extensión supported_groups para decir «soporte la curva elíptica X25519» y la extensión key_share para enviar «aquí tienes mi mitad de la clave pública X25519».

En el nuevo TLS híbrido, el cliente da un paso más:

  1. En supported_groups, indica soporte para nuevos identificadores «compuestos», por ejemplo, uno que significa específicamente «X25519 combinado con Kyber768».
  2. En el key_share, el cliente no envía solo una clave. Envía un paquete concatenado: [Su clave pública X25519] + [Su clave pública Kyber].

B. El Servidor elige (ServerHello)

El servidor recibe la propuesta. Si soporta ese grupo híbrido y decide usarlo:

  1. Selecciona el grupo compuesto.
  2. Genera sus propias claves para ambos algoritmos.
  3. Realiza la operación clásica Diffie-Hellman con la parte X25519.
  4. Utiliza el mecanismo de Encapsulación de Clave (KEM) de Kyber para generar un «secreto compartido» y encapsularlo para el cliente.
  5. Devuelve en su ServerHello el paquete: [Su clave pública X25519] + [El criptograma encapsulado de Kyber].

C. La Magia: La Derivación de la Clave Maestra

Este es el punto crítico. Al final de este intercambio, tanto cliente como servidor tienen en sus manos dos secretos compartidos distintos:

  • El secreto resultante del intercambio clásico (ECDH).
  • El secreto compartido desencapsulado del intercambio postcuántico (KEM).

El estándar dicta que el key schedule de TLS 1.3 (la «coctelera» criptográfica que deriva las claves finales de cifrado simétrico AES o ChaCha20) debe combinar ambos secretos. Se introducen los dos ingredientes en la función de derivación.

El resultado matemático es fundamental: la clave de sesión final resultante depende criptográficamente de ambos secretos. Si un atacante cuántico logra romper la parte de X25519 en el futuro, no le servirá de nada, porque le falta el ingrediente de Kyber para poder reconstruir la clave de sesión. La confidencialidad futura queda asegurada hoy.

4. Una nota sobre el futuro de la Autenticación (Firmas y Certificados)

Los lectores más atentos notarán que solo hemos hablado del intercambio de claves. ¿Qué pasa con el certificado que presenta el servidor para autenticarse?

A día de hoy, ese certificado (el que emiten prestadores como EADTrust o Google) sigue utilizando firmas clásicas RSA o ECDSA. Como se ha indicado al principio, esto se considera un riesgo aceptable temporalmente, ya que romper esto solo permite ataques en tiempo real, no descifrado retroactivo.

La migración a certificados con firmas postcuánticas es un desafío logístico mucho mayor que implicará actualizar todas las raíces de confianza en navegadores y sistemas operativos.

Cuando llegue ese momento, la industria se debate entre varios candidatos del NIST. Mientras que Dilithium (ML-DSA) parece el estándar para propósito general, para casos de uso específicos como la firma de documentos y PDF, FALCON se perfila como una opción técnicamente superior debido a su eficiencia y al tamaño extremadamente compacto de sus firmas, algo crítico para no engordar innecesariamente los documentos electrónicos a largo plazo.

¡Nueva edición del Curso de Computación Cuántica y Criptografía Postcuántica de EADTrust! 22 y 23 de abril de 2026 – Madrid (Hotel Zenith Conde Orgaz)

Deja un comentario

La computación cuántica ya no es ciencia ficción. Los avances recientes (como el chip Majorana 1 de Microsoft o los estándares NIST ya publicados) están acelerando el llamado “criptocalipsis”: el momento en que los algoritmos actuales de cifrado (RSA, ECC…) podrán ser rotos por un ordenador cuántico. ¿Está preparada tu organización para proteger sus datos, firmas electrónicas, transacciones y sistemas críticos frente a esta amenaza real?

EADTrust, como Qualified Trust Service Provider (QTSP) líder en España, organiza la nueva edición presencial de su curso “Introducción a la Computación Cuántica y a la Criptografía Postcuántica”, los días 22 y 23 de abril de 2026 (de 9:30 a 17:30 h) en el Hotel Zenith Conde Orgaz de Madrid.

¿A quién está especialmente dirigido este curso?

Este curso está pensado para quienes toman decisiones estratégicas en ciberseguridad, tecnología, cumplimiento normativo y protección de activos críticos. No requiere conocimientos previos de física ni criptografía: está diseñado para perfiles directivos y técnicos que necesitan entender el riesgo y planificar la migración.

Empresas e instituciones a las que más interesa:

  • Entidades financieras, bancarias y aseguradoras (bancos, fintech, medios de pago, seguros): para proteger transacciones, identidades digitales y activos financieros.
  • Administraciones públicas y organismos de defensa, seguridad e infraestructuras críticas: para cumplir con EIDAS 2.0, recomendaciones del CCN, ENISA y ETSI.
  • Empresas tecnológicas, telecomunicaciones y proveedores de servicios estratégicos: que gestionan PKI, firmas electrónicas o datos sensibles.
  • Sectores regulados como salud, energía, industria 4.0 y legaltech: donde la confidencialidad y la integridad a largo plazo son esenciales.
  • Responsables de ciberseguridad, CIOs, CTOs, DPOs y equipos de cumplimiento: que deben diseñar hojas de ruta de criptoagilidad y migración a PQC.

Si tu organización maneja información sensible, certificados digitales, firmas electrónicas o sistemas que deben seguir siendo seguros durante décadas, este curso es para ti.

¿Qué vas a aprender en dos días intensivos?

  • Día 1 (nivel introductorio): Historia de la física cuántica, qubits, superposición, entrelazamiento, puertas cuánticas y circuitos. Práctica real con el IBM Quantum Composer.
  • Día 2 (nivel avanzado y aplicado): Algoritmos cuánticos (Shor, Grover…), impacto en la criptografía actual, “criptocalipsis”, estándares NIST (ML-KEM, ML-DSA, etc.), hoja de ruta europea y del CCN, estrategias de migración híbrida y criptoagilidad.

Todo con la metodología ENSAR (Experience, Name, Speak, Apply & Repeat), material didáctico completo (incluido el IQC Kit), ejercicios prácticos, casos reales y ponentes expertos: Jorge Christen, Julián Inza, Ainhoa Inza y Antonio Peris.Incluye: certificado oficial de asistencia, comidas y pausas-café durante las dos jornadas.

Precio y descuentos

  • Precio general: 900 € + IVA
  • Descuento especial (hasta 25 %) para clientes de EADTrust o referenciados → hasta el 18 de abril de 2026.
    Solicita tu oferta personalizada.

¿Cómo inscribirte?

Plazas limitadas.
→ Rellena el formulario oficial aquí:
https://www.eadtrust.eu/formulario-curso-computacion/

O llama al 917 160 555 para más información.

No esperes al último momento. La transición a criptografía postcuántica es un proceso que lleva años y los plazos regulatorios (2026-2030-2035) ya están encima.

¿Quieres que tu organización esté preparada antes que la competencia?
Reserva tu plaza ahora y da el primer paso hacia la criptoagilidad real.

¿Tienes dudas o quieres que tu equipo asista en grupo? Escríbenos a contacto@eadtrust.eu (mailto:contacto@eadtrust.eu) o comenta abajo.

#ComputacionCuantica #CriptografiaPostCuantic #Ciberseguridad #CriptoAgilidad #EADTrust #PQC #QuantumSafe

CSC Trust without Borders Summit 2026: la cumbre de la confianza digital sin fronteras en Bogotá

Deja un comentario

En mayo de 2026, Bogotá acogerá una de las citas más relevantes del año en el ámbito de la identidad digital y los servicios de confianza interoperables: el CSC Trust without Borders Summit 2026, organizado por el Cloud Signature Consortium (CSC).

El lema “Trust without Borders” capta muy bien el espíritu del evento: tender puentes entre marcos regulatorios, infraestructuras y servicios de confianza en Europa y América, con foco especial en la interoperabilidad de la firma electrónica, la identidad digital y las wallets de identidad.

Datos prácticos del evento

  • Nombre: CSC Trust without Borders Summit 2026.
  • Fechas: 13 y 14 de mayo de 2026.
  • Lugar: Bogotá, Colombia. El 13 de mayo en el Hilton Bogotá Corferias y el 14 de mayo en la Universidad de los Andes, Edificio Mario Laserna
  • Organización: Cloud Signature Consortium (CSC).
  • Inscripción:
    • Página oficial en español: https://cscsummit.com/es (desde ahí se accede al registro de asistentes, condiciones para expositores y, si procede, a la convocatoria de ponentes).

Tema central: confianza digital sin fronteras

La cumbre se plantea como un punto de encuentro entre reguladores, autoridades de identidad, proveedores de servicios de confianza, fabricantes de infraestructuras de seguridad, academia y estándares, con el objetivo común de avanzar hacia un ecosistema de confianza globalmente interoperable.

Entre los temas clave que se abordarán:

  • Interoperabilidad de la firma electrónica y servicios de confianza en el contexto de eIDAS 2.0 europeo y marcos latinoamericanos.
  • Identidad digital, wallets y cómo alinear infraestructuras europeas (EUDI Wallet, eID de base eIDAS) con ecosistemas de identidad en Colombia y en la región.
  • Criptografía Post‑cuántica, infraestructuras de confianza resilientes y estándares abiertos (CSC, ETSI, W3C, FIDO, etc.).
  • Regulación, reciprocidad jurídica y comercio internacional seguro, con especial atención a la interoperabilidad entre la UE y las Américas.

Algunos ponentes de referencia

El programa reúne un panel muy sólido de expertos internacionales, con figuras conocidas en el ámbito de la identidad digital, eIDAS, servicios de confianza y estándares de firma. A continuación una selección orientativa (la lista completa está disponible en la web oficial de ponentes: https://cscsummit.com/speakers).

  • Viky Manaila – Presidenta del Cloud Signature Consortium y experta en eIDAS/eIDAS 2.0, mercados digitales seguros y servicios de confianza.
  • Borja Carreras – Presidente de GSE y fundador de bemyself ID, con décadas de experiencia en identidad digital, autosoberanía y ciberseguridad en Europa y Latinoamérica.
  • Kim Nguyen – Senior VP de Innovación en Bundesdruckerei, trabajando en identidad digital, IA de confianza, post‑cuántica y soberanía digital.
  • Jean Everson Martina – Profesor asociado de Ciencia de la Computación (UFSC, Brasil), especializado en identidad digital, documentos electrónicos y proyectos de interoperabilidad en América Latina.
  • Sebastian Elfors – CTO/CSO en IDnow, experto en eIDAS 2.0, QTSP, wallets de identidad y estándares internacionales (ETSI, CEN, W3C, FIDO, CSC).
  • Sven Prinsloo – Presidente del Comité Técnico del CSC y CTO de Ascertia, con fuerte experiencia en estándares de firma y API CSC para interoperabilidad.
  • Guillaume Forget – EVP de innovación en Cryptomathic, trabajando en firmas digitales, identidades, gestión de claves, pagos y seguridad móvil.
  • Arno Fiedler – Vicepresidente de ETSI Working Group ESI, con amplia experiencia en infraestructuras de confianza, eIDAS, PSD2, GDPR y CA/B Forum.
  • Daniel Rendon – EVP de Strategic Partnerships & Business Development en SSL.com, contribuyendo al ecosistema de certificados y servicios de identidad.
  • Igor Marcolongo – Head of Business Evolution en Tinexta InfoCert, miembro de la Junta del CSC y experto en eIDAS y servicios de confianza europeos.

Es especialmente interesante el enfoque de muchas sesiones en arquitecturas de identidad, interoperabilidad entre frameworks y adopción práctica de estándares como CSC.

Temas de las sesiones y talleres (enfoque técnico‑regulatorio)

En el Summit se combinarán mesas de alto nivel, sesiones técnicas y talleres prácticos, con un enfoque híbrido entre regulación, estándares y despliegue en el mundo real. Entre los bloques que más podrían interesar a tu audiencia:

  • Regulación e interoperabilidad
    • Armonización de la firma electrónica y la identidad digital en el marco de eIDAS 2.0 y de iniciativas latinoamericanas.
    • Reciprocidad jurídica y reconocimiento de servicios de confianza para el comercio transfronterizo en la UE y América.
  • Tecnología, estándares y arquitecturas
    • Infraestructuras de identidad y PKI alineadas con eIDAS 2.0, API CSC y estándares de interoperabilidad.
    • Criptografía Post‑cuántica, wallets de identidad europea y latinoamericana, y modelos de autosoberanía compatible con marcos regulatorios existentes.
  • Casos de uso y adopción en Latinoamérica
    • Proyectos de gobierno digital, e‑administración y servicios financieros electrónicos en Colombia y otros países de la región.
    • Lecciones aprendidas de despliegues de identidad digital y firmas interoperables en distintos contextos regulatorios.
  • Negocio y ecosistema de servicios de confianza
    • Cómo los frameworks de CSC y la estandarización abierta fortalecen el “business case” de proveedores, autoridades de identidad y fintech.
    • Nuevas iniciativas de CSC LATAM y alianzas público‑privadas para impulsar la confianza digital en la región.

Por qué asistir a CSC Trust without Borders Summit 2026

Para los expertos en identidad digital, servicios de confianza, eIDAS y gobierno digital, el Summit de Bogotá es una oportunidad privilegiada para:

  • Conectar con los actores clave que están definiendo la interoperabilidad de la firma electrónica y la identidad digital en el Atlántico.
  • Contrastar la evolución de marcos europeos (eIDAS 2.0, EUDI Wallet) con la realidad de la adopción en Latinoamérica, y entender cómo se pueden articular ambos mundos.
  • Participar en debates muy concretos sobre estándares CSC, API de firma, adaptación a la criptografía post‑cuántica y arquitecturas de identidad que ya están en pruebas de campo.

Cómo registrarse

Si te interesa seguir de cerca la evolución de los servicios de confianza interoperables entre la UE y América Latina, el CSC Trust without Borders Summit 2026 en Bogotá es una cita imprescindible.

Más información y registro en español:
https://cscsummit.com/es

Servicio de Evaluación de uso de la criptografía y preparación de plan de acción para adoptar la Criptoagilidad con los Expertos en Confianza

Deja un comentario

EADTrust anuncia su servicio de Evaluación de uso de la criptografía y preparación de plan de acción para adoptar la Criptoagilidad, que conlleva la Resistencia a la Computación Cuántica (QRC), para empresas y organismos públicos, ante la prevista llegada de computadores cuánticos que podrán aplicar el algoritmo de Shor (o el de Grover) a los sistemas de cifrado y de firma electrónica.

En un mundo cada vez más digitalizado, en el que los datos son el activo más valioso de las empresas, la llegada de la computación cuántica representa tanto una oportunidad revolucionaria como una amenaza inminente. Como consultor en confianza digital y fundador de EADTrust, he seguido de cerca los avances en este campo, y recientemente hemos lanzado un nuevo servicio de consultoría especializado en el análisis de riesgos cuánticos en criptografía para empresas.

Este servicio no solo evalúa las vulnerabilidades actuales, sino que también proporciona un «roadmap» claro para transitar hacia la adopción de una criptografía post-cuántica (PQC), asegurando la resiliencia de los sistemas en un futuro próximo.

Este tipo de iniciativas de consultoría y evaluación, sin duda será impulsado de forma similar por las grandes consultoras, pero una de las diferencias es que EADTrust puede proporcionar «bloque constructivos» para incorporar a las infraestructuras de las empresas, por su rol de Prestador Cualificado de Servicios de Confianza.

Ya el año 2025 ha sido bautizado como el «año de la cuántica»: la Asamblea General de las Naciones Unidas lo proclamó oficialmente como el Año Internacional de la Ciencia y la Tecnología Cuánticas (IYQ, por sus siglas en inglés). Han sido 100 años desde la publicación del artículo con el que Werner Heisenberg alumbró una nueva mecánica para el mundo atómico. Fue el primero de una serie de trabajos, escritos por él y otros autores —entre los que se encuentran, por ejemplo, Erwin SchrödingerMax BornPascual JordanPaul A. Dirac y Wolfgang Pauli— con los que erigieron de forma coral la mecánica cuántica.

Esta «celebración» reconoce que la ciencia cuántica ha ido influyendo en nuestra vida cotidiana de formas invisibles pero esenciales. Dio lugar a los semiconductores y a los láseres, por citar unos pocos de los cambios que han impulsado.

En el terreno de la Computación Cuántica, 2025 significó un marco de anuncios relevantes: Procesadores cuánticos más estables, con miles de qubits coherentes, permitieron simulaciones que superan en algunas tareas a los superordenadores clásicos, corrigiendo errores (ruido cuántico) que antes limitaban su utilidad.

Empresas como IBM, Google y startups especializadas demostraron aplicaciones reales en optimización logística. Eventos globales, conferencias y campañas de divulgación, como las organizadas por la UNESCO, destacaron el potencial de la cuántica para abordar desafíos como la ciberseguridad, convirtiendo 2025 en un catalizador para la «segunda revolución cuántica».

Sin embargo, este entusiasmo no oculta algunas sombras: la posibilidad de descifrar claves utilizadas en la criptografía actual.

Desde ese punto de vista, la computación cuántica no es una amenaza hipotética; es una realidad en evolución que pone en jaque los sistemas criptográficos que protegen datos sensibles en empresas de todo el mundo. Los algoritmos tradicionales, como RSA y ECC (Elliptic Curve Cryptography), se basan en problemas matemáticos difíciles para computadoras clásicas, como factorizar (encontrar los números primos que multiplicados dan la cifra) números grandes. Sin embargo, el algoritmo de Shor, propuesto en 1994, permite a una computadora cuántica resolver estos problemas mucho más rápido, rompiendo el cifrado en dias en lugar de millones de años.

Entre los riesgos más críticos destacan:

  • «Harvest Now, Decrypt Later» (Recolecta ahora, descifra después): Sistemas de inteligencia militar de otros países o ciberdelincuentes ya están recolectando datos cifrados hoy, esperando el momento en que las computadoras cuánticas escalables estén disponibles para descifrarlos. Según estimaciones de diferentes analistas del mercado, la criptografía asimétrica podría volverse vulnerable hacia 2030 y poco útil para 2035. Esto afecta a datos que requieren disponibilidad a largo plazo, como registros médicos, financieros o secretos industriales.
  • Vulnerabilidades en Infraestructuras Críticas: Sectores como banca, salud y cloud computing dependen de protocolos como TLS, para el cifrado de las comunicaciones que dejarían de ser útiles si nos se cambia el tipo de criptografía. Estimaciones recientes señalan que a lo sumo el 3% de las organizaciones ha implementado medidas de resistencia cuántica, dejando expuestas a la mayoría. En España, normativas como el Esquema Nacional de Seguridad (ENS) y el RGPD exigen protección de datos, pero muchas empresas subestiman el riesgo, con solo el 4% de líderes viéndolo como inminente en los próximos tres años.
  • Impacto Económico y Regulatorio: La transición tardía podría suponer ingentes pérdidas económicas por las nuevas brechas de seguridad.


En el lado positivo, ya existen estándares como los definidos por el NIST (National Institute of Standards and Technology) de Estados Unidos (con amplio consenso internacional) que describen en detalle los algoritmos PQC como CRYSTALS-Kyber y CRYSTALS-Dilithium, Sphincs+ y Falcon urgiendo a las empresas a adoptarlos para cumplir con regulaciones futuras.

Recientes avances en computación cuántica, como qubits más estables, aceleraron las expectativas de evolución del hardware haciendo imperativa una acción inmediata.

Metodología de EADTrust

En EADTrust, nuestra consultoría de análisis de riesgo cuántico se diseña para ser práctica y escalable, alineada con normativas europeas y españolas como el ENS, ENI y RGPD.

Se estructura en fases que transforman la criptografía desde un «enigma técnico» a un activo estratégico.

  1. Evaluación Inicial y Descubrimiento Criptográfico: Comenzamos con un diagnóstico exhaustivo del ecosistema digital de la empresa. Usando herramientas avanzadas, identificamos todos los activos criptográficos (claves, certificados, protocolos) en sistemas, clouds y aplicaciones. Esto incluye la creación de un Cryptographic Bill of Materials (CBOM), un inventario detallado que mapea vulnerabilidades cuánticas, priorizando datos sensibles por su valor y duración de protección necesaria.
  2. Análisis de Riesgos y Viabilidad: Evaluamos el impacto potencial mediante escenarios como «harvest now, decrypt later». Realizamos pruebas de viabilidad con algoritmos PQC estandarizados por NIST, cuantificando riesgos basados en activos (e.g., ¿qué pasaría si se rompe el cifrado de una base de datos de clientes?). Incorporamos principios de «cripto-agilidad» para permitir actualizaciones sin interrupciones operativas.
  3. Roadmap de Transformación e Implementación: Desarrollamos un plan personalizado para la transición a PQC. Esto incluye integración con marcos como Zero Trust, donde se aplican verificaciones continuas y mínimo privilegio. Recomendamos soluciones híbridas (clásica + post-cuántica) para una migración gradual, junto con formación para equipos. Finalmente, ofrecemos auditorías de cumplimiento para asegurar alineación con regulaciones.
  4. Monitorización Continus y Adaptación: La consultoría no termina en la implementación; incluimos revisiones periódicas para adaptarse a evoluciones en amenazas cuánticas, garantizando resiliencia a largo plazo.

Esta metodología no solo mitiga riesgos, sino que posiciona a las empresas como líderes en innovación, convirtiendo la amenaza cuántica en una oportunidad.

Nuestra propuesta añade un énfasis en el cumplimiento de la normativa europea y española, facilitando una comprensión accesible del mundo cuántico para decisores no técnicos.

2025 nos recordó que la fisca cuántica no es ciencia ficción, sino una fuerza transformadora también en el campo de la computación que exige preparación inmediata. Si tu empresa maneja datos críticos, contacta con EADTrust para un análisis inicial. La transición a la post-cuántica no es opcional; es esencial para sobrevivir en la era digital que se avecina. Llámanos al +34 91 716 0555 (desde España, también al 902 365 612).

Evento formativo sobre computación cuántica y criptografía postcuántica en abril de 2026, con la metodología ENSAR

Deja un comentario

Los días 22 y 23 de abril de 2026, de 9:30 a 17:30 horas. tendrá lugar un nueva edición de la Formación sobre Computación Cuántica y Criptografía Postcuántica  de forma presencial.

El uso de la metodología ENSAR y los modelos atómicos del IQC Kit (Introduction to Quantum Computing), permiten tocar lo que se va explicando.

Algunas opiniones de participantes en la edición anterior dan idea del efecto WOW que produce esta formación, cuando varias ideas que van surgiendo hacen click en nuestra mente al combinarse con otros conceptos que ya teníamos (incluso los que nada tienen que ver con la física atómica):

«Una formación fantástica, muy útil y aterrizada de la mejor manera para generar conocimiento aunque no se tenga una base sólida en el tema. Totalmente recomendable.«

«Oportuna y desafiante formación. EADTRUST ha hecho un gran esfuerzo para facilitar una comprensión a grandes rasgos del mundo cuántico y su impacto sobre la criptografía, de forma que se comprendan los desafíos técnicos, las exigencias regulatorias, y las opciones y roadmaps para que las organizaciones se preparen a tiempo. En 2026, 2030 y 2035 se cumplirán plazos regulatorios que la realidad tecnológica podría acelerar.  Como insiste Julian Inza,  «¡Hay prisa!» 

«Tenía mis dudas por no tener conocimientos previos de computación cuántica, pero está formación ha superado con creces mis expectativas. La primera parte con Jorge nos ha dado el contexto de la parte más técnica de manera super amena y divertida. La segunda parte de Julian ha puesto de manifiesto la necesidad de empezar planificar acciones para prevenir la criptocalipsis, ofreciendo una versión más práctica de cómo aplicarla. Todo genial! Muchísimas gracias :)»

«Me ha parecido estupenda la formación; me fascinó como temas tan complejos los han sabido explicar en un lenguaje llano para que nos llevemos los conceptos importantes y sobre todo el camino a recorrer para estar preparados para ”sobrevivir” a la computación cuántica. Recomiendo participar en esta formación y me gustaría en un futuro volver a participar para obtener información actualizada respecto a esto.»

El programa combina teoría, casos prácticos y demostraciones, cubriendo:

  1. Introducción a la Computación Cuántica: Conceptos básicos (qubits, superposición, entrelazamiento), avances recientes (ej. chip Majorana 1 de Microsoft, febrero 2025) y el «criptocalipsis» inminente.
  2. Amenazas a la Criptografía Clásica: Análisis de algoritmos vulnerables (RSA, ECC) y el algoritmo de Shor como catalizador de riesgos.
  3. Criptografía Postcuántica:
    • Estándares NIST: ML-KEM (encapsulación de claves), ML-DSA (firmas digitales), SLH-DSA y FN-DSA (Falcon).
    • Estrategias de migración: Híbridos (clásico + postcuántico), criptoagilidad y pruebas de interoperabilidad.
  4. Aplicaciones Prácticas: Adaptación de servidores web (TLS 1.3), PKI resistente, preservación de firmas electrónicas y análisis de riesgos GRC (Governance, Risk, Compliance).
  5. Marco Regulatorio: Impacto de EIDAS 2.0, borradores de actos de ejecución y recomendaciones ETSI para esquemas «Quantum-Safe».
  6. Recomendaciones de Centro Criptológico Nacional.
  7. Sesiones Interactivas: Taller con acceso al IQC Kit y a la herramienta de programación Qiskit de IBM
  8. Ideas para evaluar impactos en legaltech, banca y administración pública.

En esta nueva edición, además de la participación de Jorge Christen y Julián Inza, intervendrán Ainhoa Inza y Antonio Peris.

Otros artículos relacionados con esta formación:

Para más información e Inscripciones visite la web de EADTrust o llame al 917160555.

Aprendiendo computación cuántica y criptoagilidad

3 respuestas

Los días 12 y 13 de noviembre de 2025, EADTrust organizó un evento formativo para que los alumnos puedan entender la forma en que el desarrollo de la física cuántica nos ha permitido llegar a programar ordenadores cuánticos que, entre otras muchas aplicaciones, permiten obtener las claves privadas a partir de las públicas en los sistemas de criptografía de clave pública más utilizados (con el afamado algoritmo de Shor). Hice un recordatorio hace unos días.

Todavía falta algún tiempo para el criptocalipsis pero es muy recomendable iniciar la transición a la criptografía postcuántica lo antes posible, especialmente a la vista de la amenaza «Harvest now, decrypt later».

Y de eso iba la segunda parte del evento: identificar las directivas y reglamentos europeos que establecen obligaciones en la mejora de la seguridad de las organizaciones, interpretando como cumplirlas, entre otras acciones llevando a cabo la adopción de la criptografía postcuántica, siguiendo las recomendaciones de diferentes organizaciones, incluyendo el Centro Criptológico Nacional.

Los alumnos procedían de diferentes sectores: despachos de abogados , organismos de la administración pública, empresa consultoras especializadas en ámbitos legales, prestadores de servicios de confianza,…

Y tuvieron ese efecto «Wow» que he ido anunciando a todos los que les comenté sobre la organización de este evento en las semanas previas a su realización.

Porque sin conocimientos previos de física se llegan a entender conceptos como la «superposición» y «entrelazamiento» de los qubits y como se utiliza la notación de Dirac al definir algoritmos cuánticos utilizando puertas simbólicas como la de Hadamard en el Quantum Composer de IBM.

La clave de este aprendizaje es la metodología ENSAR (Experience Name, Speak, Apply and Repeat) de Jorge Christen y las actividades de construcción de modelos representativos de conceptos cuánticos, como la esfera de Bloch, haciendo uso del IQC Kit de Jorge.

Ya estamos preparando la siguiente edición de este evento formativo, que tendrá lugar la última semana de febrero de 2026.

La semana que viene: Formación sobre Computación Cuántica y Criptografía Postcuántica

2 respuestas

Los días 12 y 13 de noviembre de 2025, de 10 a 17 horas. tendrá lugar la Formación sobre Computación Cuántica y Criptografía Postcuántica que ye he anunciado con anterioridad y que se impartirá en el Hotel Zenith Conde Orgaz de Madrid de forma presencial.

Este curso, impartido por Jorge Christen (experto en metodologías formativas como ENSAR que ha colaborado en iniciativas de Qureka) y Julián Inza (Presidente de EADTrust, con amplia experiencia en servicios de confianza digital, ciberseguridad y adopción de estándares criptográficos), se enmarca en los servicios de preparación de infraestructuras digitales de EADTrust.

Está diseñado para abordar los desafíos emergentes de la computación cuántica en el ámbito de la criptografía, promoviendo la transición hacia soluciones seguras y resistentes. Se trata de una formación presencial que se anuncia como un evento clave para 2025, con énfasis en la actualización práctica ante el «criptocalipsis» (el riesgo de quiebra de algoritmos clásicos como RSA y ECC).

Detalles:

  • Duración: 2 días (formato intensivo presencial).
  • Público Objetivo: Profesionales de ciberseguridad, TI, legaltech y compliance en empresas u organizaciones que manejan datos sensibles. Ideal para responsables de infraestructuras digitales, auditores y decisores que necesitan anticiparse a regulaciones como EIDAS 2.0 y estándares NIST.
  • Modalidad: Presencial, con enfoque práctico y metodologías interactivas (incluyendo ENSAR: Experience, Name, Speak, Apply and Repeat, y con un kit de componentes que ayudan a visualizar conceptos como la superposición y el entrelazamiento).
  • Inscripción: A través de este formulario de EADTrust
  • Contactar a info@eadtrust.eu para ampliar información.

Objetivos Principales:

  • Comprender los fundamentos de la computación cuántica y su impacto en la seguridad digital actual.
  • Identificar vulnerabilidades en criptosistemas clásicos y promover la criptoagilidad (capacidad de actualizar algoritmos de forma eficiente).
  • Analizar y aplicar soluciones de criptografía postcuántica (PQC) para mitigar amenazas cuánticas, como algoritmos basados en lattices (Kyber/ML-KEM, Dilithium/ML-DSA) y firmas digitales resistentes (Falcon/FN-DSA, HQC).
  • Preparar infraestructuras para estándares emergentes (FIPS 203, 204, 205, 206) y protocolos como TLS 1.3, ACME y mecanismos híbridos.
  • Fomentar la preservación de documentos y evidencias electrónicas en entornos cuántico-resistentes, alineado con normativas europeas (EIDAS 2.0, ETSI TR 103 619).

El programa combina teoría, casos prácticos y demostraciones, cubriendo:

  1. Introducción a la Computación Cuántica: Conceptos básicos (qubits, superposición, entrelazamiento), avances recientes (ej. chip Majorana 1 de Microsoft, febrero 2025) y el «criptocalipsis» inminente.
  2. Amenazas a la Criptografía Clásica: Análisis de algoritmos vulnerables (RSA, ECC) y el algoritmo de Shor como catalizador de riesgos.
  3. Criptografía Postcuántica:
    • Estándares NIST: ML-KEM (encapsulación de claves), ML-DSA (firmas digitales), SLH-DSA y FN-DSA (Falcon).
    • Estrategias de migración: Híbridos (clásico + postcuántico), criptoagilidad y pruebas de interoperabilidad.
  4. Aplicaciones Prácticas: Adaptación de servidores web (TLS 1.3), PKI resistente, preservación de firmas electrónicas y análisis de riesgos GRC (Governance, Risk, Compliance).
  5. Marco Regulatorio: Impacto de EIDAS 2.0, borradores de actos de ejecución y recomendaciones ETSI para esquemas «Quantum-Safe».
  6. Sesiones Interactivas: Talle rcon acceso a la herramienta de programación Qiskit iónde IBM
  7. Ideas para evaluar impactos en legaltech, banca y administración pública.

Contexto

Este curso surge de la colaboración entre EADTrust y Jorge Christen, respondiendo a la urgencia de adopción PQC ante avances como los de NIST (agosto 2024) y ENISA.

¿Qué QTSP es más activo en Criptoagilidad preparando el Criptocalipsis?

2 respuestas

La criptoagilidad (o agilidad criptográfica) es la capacidad de un sistema, software o infraestructura tecnológica para adaptarse rápidamente a nuevos algoritmos criptográficos o cambiar los existentes sin requerir modificaciones significativas en su arquitectura. Esto implica poder actualizar, reemplazar o ajustar los métodos de cifrado, firmas digitales o protocolos de seguridad de manera eficiente para responder a amenazas emergentes, como el avance en la computación cuántica, vulnerabilidades descubiertas o cambios en estándares regulatorios.

EADTrust es el Prestador de Servicios de Confianza Cualificados más activo de España en lo relativo a la adecuación frente a los retos de la computación cuántica analizando y adoptando las soluciones emergentes de la criptogrfía postcuántica. A nivel europeo, también Digicert, Entrust y Sectigo han mostrado actividad en estos aspectos

Yo mismo he ido impartiendo conferencias a lo largo de los años sobre la necesaria preparación frente a a computación cuántica y algunas están disponibles en Youtube. Y publiqué un artículo en este blog en 2018: La urgente adopción de la criptografía postcuántica. También otro sobre recientes avances como el chip Majorana.

La criptoagilidad y la disponibilidad de infraestructuras con diferentes algoritmos permiten anticiparse al criptocalipsis. El criptocalipsis (o apocalipsis criptográfico) es un término que describe un escenario hipotético en el que los algoritmos criptográficos actuales, como RSA, ECC (curvas elípticas) o AES, se vuelven obsoletos o vulnerables debido a avances tecnológicos, particularmente la llegada de la computación cuántica

EADTrust fue la primera entidad de certificación que preparó jerarquías de certificación de tamaños de clave mejores que RSA de 2048 bits, y en la actualidad es la única con jerarquías de PKI para certificados cualificados de tamaños de clave RSA de 8196 bits, especialmente orientada a proyectos de alta seguridad, con resistencia a la computación cuántica.

También EADTrust fue la primera entidad de certificación que preparó jerarquías de certificación basadas en criptografía no-RSA. Cuenta con dos jerarquías de certificación basada en Criptografía de Curvas elípticas, ECC-255 y ECC-384.

La disponibilidad de jerarquías ECC por parte de EADTRUST fue esencial para que España pudiera desplegar los pasaportes COVID ágilmente, ya que EADTrust fue el Prestador que pudo emitir en tiempo récord los certificados adecuados basados en ECC-255 para todos los organismos sanitarios españoles con las especificaciones de la OMS y de la Unión Europea.

En estos momentos hemos anunciado un importante curso presencial de 2 dias: Formación sobre Computación Cuántica y Criptografía Postcuántica. Se enmarca entre los Servicios de EADTrust de preparación de infraestructuras para afrontar los retos de la Computación Cuántica en relación con la Criptografía y la Preservación de documentos.

Además estamos haciendo seguimiento de los nuevos estándares de criptografía postcuántica como el FIPS-206 Falcon al que nos hemos referido recientemente en este blog y el prometedor HQC (Hamming Quasi-Cyclic).

El NIST seleccionó HQC (procedente de la ronda 4) como algoritmo adicional para estandarizar como KEM de respaldo a ML-KEM. El NIST anunció que creará un borrador (IPD) para HQC y lo publicará para comentarios — el cronograma indicado apunta a publicar el borrador aproximadamente en 1 año desde su anuncio y una versión final alrededor de 2027.

Ya tenemos servicios disponible para clientes que se desean valorar el impacto de su preparación (criptoagilidad) para los grandes cambios que se avecinan:

  • Adaptación de servidores web (en la conexión segura «https://») para incluir TLS1.3 (RFC 8446) y la configuración necesaria para que la gestión de claves del cifrado de las comunicaciones se realice con el algoritmo ML-KEM/Kyber que ya soportan servidores y navegadores web como primera aproximación de mecanismos híbridos. Ver IETF draft-ietf-tls-kem-tls-13
  • Adaptación de servidores web para soportar el protocolo ACME (Automatic Certificate Management Environment) basado en el RFC 8555, como paso hacia una infraestructura automatizada, segura y criptoágil. Además de poder configurar a EADTrust como Autoridad de Certificación generadora de certificados para TSL con ACME, en el Certbot se pueden configurar otras CAs. Aunque contamos con varios mecanismos de verificación de dominio damos preferencia a las variantes con información actualizada en el DNS. La duración máxima de los certificados TLS públicos se reducirá progresivamente a 47 días, según lo aprobado por el CA/Browser Forum en abril de 2025 mediante el Ballot SC-081v3, propuesto por Apple y respaldado por los principales navegadores (Apple, Google, Mozilla y Microsoft). Esta es otra buena razón para incorporar a automatización a la renovación de certificados de servidor web

El NIST da otro paso en la estandarización de FN-DSA (FIPS-206) el algoritmo Falcon de firma electrónica PQC-QRC

1 respuesta

El 28 de agosto de 2025, el NIST presentó el borrador de la norma FN-DSA (FIPS 206) para su aprobación. FN-DSA es el nombre oficial del NIST para el esquema de firma digital basado en FALCON, seleccionado junto con ML-DSA y SLH-DSA para la estandarización de la criptografía poscuántica (PQC) o resistente a la computación cuántica (QRC).

A diferencia de los otros dos esquemas ya publicados, FN-DSA ha tardado más en llegar a este punto. La complejidad matemática de FALCON y la investigación en curso para perfeccionar sus componentes han alargado el plazo, pero la expectación entre los interesados en la criptografía postcuántica no ha hecho más que crecer.

Este borrador se publicará como borrador público inicial (IPD) para que pueda ser revisado de forma abierta.

Aunque aún no se ha confirmado la fecha exacta, el lanzamiento podría coincidir con la Conferencia de Normalización PQC del NIST a finales de septiembre de 2025.

Contando con la experiencia de plazos de las publicaciones anteriores del NIST, la revisión pública podría dura aproximadamente un año, por lo que la norma definitiva podría estar lista a finales de 2026 o principios de 2027.

La noticia la ha hecho pública Digicert.

En EADTrust estamos formando los futuros expertos en PQC. Inscríbete en nuestro evento formativo sobre computación cuántica y postcuántica.

Del Legado de Ettore Majorana al Criptocalipsis: Adopción de la computación postcuántica para firmas electrónicas y otros usos

1 respuesta

Ettore Majorana fue un físico italiano brillante y enigmático que dejó una huella imborrable en la ciencia antes de desaparecer misteriosamente en 1938. En 1937, propuso la existencia de unas partículas especiales, hoy llamadas “fermiones de Majorana”, que son únicas porque son sus propias antipartículas. Este concepto, inicialmente teórico, ha inspirado avances modernos como el chip Majorana 1, anunciado por Microsoft en febrero de 2025. Con este chip, la computación cuántica da un salto hacia adelante, pero también nos acerca a un “criptocalipsis”: el momento en que las claves privadas de los criptosistemas de clave pública actuales podrían descifrarse mediante la computación cuántica.

El avance en computación cuántica que supone el chip Majorana 1, con qubits topológicos, pone en riesgo la criptografía de clave pública basada en algortmos RSA y ECC.

Las autoridades de certificación (CAs), nos planteamos la disyuntiva: ¿priorizamos la emisión de certificados resistentes a la criptografía cuántica futuro o mejoramos los sistema de archivo electrónico para preservar documentos firmados electrónicamente con las técnicas actuales? Este artículo analiza el impacto técnico del Majorana 1, el papel del algoritmo de Shor y estrategias prácticas frente a esta transición.

Majorana 1 y el Algoritmo de Shor

El chip Majorana 1 usa los fermiones de Ettore para crear “qubits topológicos”, unidades de cálculo cuántico más estables que las tradicionales. Aunque el presentado estos días solo tiene 8 qubits, Microsoft promete escalarlo a miles o incluso un millón en pocos años. ¿Por qué importa? Porque con suficientes qubits (digamos, 3000-6000), una computadora cuántica podría usar el algoritmo de Shor para descifrar sistemas como ECC-512, comunes en certificados digitales, en cuestión de horas. Esto podría pasar hacia 2031-2033. Para RSA-4096, más resistente, harían falta 20,000 qubits o más, retrasando su caída quizás a 2035-2040. Sin embargo, el peligro ya existe: los datos protegidos hoy podrían ser guardados y descifrados después, un riesgo conocido como “recolectar ahora, descifrar después”.

Certificados Post-Cuánticos

La criptografía post-cuántica (PQC) utiiza algoritmos que no son vulnerables frente al algoritmos de Shor con problemas matemáticos resistentes, como los basados en retículos (lattices). En 2024, NIST estandarizó algoritmos clave:

  • CRYSTALS-Dilithium (ML-DSA): Usa Module-LWE y SIS; firmas de 2.7-4.8 KB, nivel 128-256 bits PQC.
  • FALCON (FN-DSA): Basado en NTRU-SVP; firmas compactas (0.6-1.2 KB), optimizado para verificación rápida.
  • CRYSTALS-Kyber (ML-KEM): Cifrado con MLWE; claves/cifrados de 0.8-1.6 KB.

La estrategia híbrida combina estos algoritmos con los clásicos: un certificado con ECDSA P-256 y ML-DSA-44 es válido hoy y seguro contra el algoritmo de Shor en el futuro. En eIDAS, un HSM QSCD como el Thales Luna S750 (firmware 7.7+, que figura en el listado de QSCD certificados en el Dashboard de la UE) genera estas claves duales. Para ECC, que se usó en pasaportes digitales COVID, la urgencia sería alta en otros usos que requieran validez a mayor plazo: 3000 qubits en 2031 podrían atacar estas longitudes de clave. Las claves basadas en RSA-4096 permiten una transición más pausada, pero iniciar PQC híbrido pronto evita prisas futuras.

Archivado Digital: Garantizar la Preservación

El archivado digital es un pilar técnico y regulatorio, especialmente bajo eIDAS (Art. 32), que exige poder validar firmas años después de su realización. Si el algoritmo de Shor rompe claves ECC en 2031 o RSA en 2035, las firmas y sello electrónicos basados en los certificados actuales deben seguir siendo verificables, Por lo que conviene ir adoptando técnicas apropiadas:

  • Sellos de tiempo cualificados: Firmarlos con ML-DSA asegura su resistencia cuántica.
  • Almacenamiento: Bases de datos replicadas y HSMs guardan certificados, CRLs y logs por 7-10 años (siguiendo las pautas de la norma ETSI EN 319 521).

Para CAs con predominio de RSA-4096, reforzar el servicio de archivo electróncio es prioritario: su mayor resistencia da tiempo, pero la trazabilidad es crítica. Para ECC, el archivado complementa PQC, protegiendo datos históricos mientras Shor acecha.

Recomendaciones para Prestadores de Servicios de Confianza DIgital

A modo de resumen

  • Prestadores que emiten certificados ECC : Deben considerar que existe una alta probabilidad de que se puede alcanzar un computador cuántico de 3000-6000 qubits en 2031, por lo que el algoritmo ECC-512 podría estar en riesgo (logaritmo discreto resuelto en O(n3)). Los PSC debería emitir certificados híbridos (ECC + PQC) ya y gestionar el archivo con sellos de tiempo basados en algoritmos PQC.
  • Prestadores que emiten certificados RSA-4096: Se requieren 20,000+ qubits (factorización en O(n3)), por lo que el computador cuántico apropiado podría no llegar hasta hasta 2035+. En este caso convendría priorizar el archivado digital, con sellos de tiempo basados en algoritmos PQC.

El chip Majorana 1, heredero del genio de Ettore, hace que el algoritmo de Shor se convierta en una amenaza más inminente de lo que se pensaba para los algoritmos de criptografía de clave pública ECC y RSA. La respuesta técnica combinará certificados PQC híbridos y un archivado robusto.