El presidente de Estados Unidos, Donald Trump, ha firmado dos órdenes ejecutivas que marcan un antes y un después en la estrategia de ciberseguridad y tecnología cuántica del gobierno federal. La primera, titulada Securing the Nation Against Advanced Cryptographic Attacks, establece plazos concretos para la migración hacia criptografía resistente a la computación cuántica. La segunda, Ushering in the Next Frontier of Quantum Innovation, amplía la inversión en tecnologías cuánticas con un enfoque coordinado que abarca desde la investigación hasta el despliegue comercial.

Plazos federales para la criptografía postcuántica

La orden ejecutiva sobre criptografía establece hitos claros para las agencias federales. Los mecanismos de establecimiento de claves deberán migrarse antes del 31 de diciembre de 2030, mientras que los sistemas de firma digital tienen como fecha límite el 31 de diciembre de 2031. En un plazo de 30 días, cada agencia deberá designar responsables de alto nivel para supervisar la migración. La Oficina de Gestión y Presupuesto emitirá directrices de implementación en 90 días, y las agencias deberán desarrollar planes para sustituir los sistemas criptográficos vulnerables en todos los entornos federales.

Chris Hickman, CISO de Keyfactor, una empresa especializada en criptografía postcuántica, señaló que la orden "obliga a actuar" y está alineada con lo que se está haciendo en otras jurisdicciones globales. Según Hickman, los plazos no solo afectan a las agencias, sino también a contratistas y operadores de infraestructuras críticas, que enfrentarán una presión creciente para demostrar su preparación. "Muchos proveedores no quieren perder ingresos del gobierno federal", afirmó.

El escenario 'harvest now, decrypt later'

La Administración advierte que los adversarios podrían estar recopilando comunicaciones cifradas y datos sensibles ahora, con la intención de descifrarlos en el futuro cuando existan ordenadores cuánticos lo suficientemente potentes. Este escenario, conocido como harvest now, decrypt later, subraya la urgencia de la migración. Aunque los expertos debaten cuánto tiempo llevará desarrollar ordenadores cuánticos criptográficamente relevantes, el gobierno insiste en que las organizaciones no pueden esperar.

Inventario criptográfico y CBOM

La orden introduce el concepto de cryptographic bill of materials (CBOM), similar a un SBOM pero centrado en algoritmos criptográficos, bibliotecas y dependencias. El NIST y la CISA deberán desarrollar los elementos mínimos de un CBOM en 270 días. Los expertos en seguridad han señalado durante años que las organizaciones no pueden migrar eficazmente sin saber dónde se usa la criptografía. Además, el NIST establecerá un programa piloto federal de migración a criptografía postcuántica antes de finales de 2027 para identificar desafíos y desarrollar buenas prácticas.

Nuevas exigencias para contratistas

El Federal Acquisition Regulatory Council desarrollará requisitos de contratación que obliguen a los proveedores a cumplir con los estándares del NIST antes de finales de 2030. Esto tendrá un impacto significativo en proveedores de seguridad, servicios cloud, desarrollo de software y servicios gestionados que trabajen con el gobierno federal. La orden también exige que los contratistas documenten los componentes criptográficos integrados en sus productos, lo que impulsará la transparencia en la cadena de suministro.

Ilona Cohen, de HackerOne y ex asesora general de la Oficina de Gestión y Presupuesto, destacó que "las redes federales son tan resilientes como lo sean los contratistas que las respaldan". Esto refuerza la necesidad de que las empresas tecnológicas se preparen para los nuevos requisitos, como ya ocurre en otros ámbitos de ciberseguridad, como la detección de vulnerabilidades.

Iniciativa cuántica: QC-ADDS y más allá

La segunda orden ejecutiva crea el programa Quantum Computing for Accelerated Discovery and Development for Science (QC-ADDS), con el objetivo de desarrollar al menos un ordenador cuántico capaz de habilitar descubrimientos científicos. Participarán el Departamento de Energía, el Departamento de Comercio, el Departamento de Defensa, la National Science Foundation, la NASA, la NSA y otras agencias de inteligencia. Las agencias deberán definir requisitos técnicos en 90 días y planes de implementación en 180 días.

Stefan Leichenauer, vicepresidente de ingeniería en SandboxAQ, subrayó que "Estados Unidos tiene una ventana de oportunidad para liderar en este ámbito" y que se requiere inversión coordinada en todo el stack tecnológico: criptografía, infraestructura de computación, generación de datos y desarrollo de aplicaciones. También destacó la necesidad de alianzas entre gobierno, industria y academia.

Comercialización, talento y seguridad

La iniciativa busca trasladar las tecnologías cuánticas de los laboratorios al mercado, reforzando las cadenas de suministro nacionales y apoyando la transferencia tecnológica. Ankur Saxena, de TDK Ventures, señaló que "la computación cuántica está pasando de ser una frontera científica a una carrera de ingeniería e industrial". La orden también reconstituye el National Quantum Initiative Advisory Committee y amplía el Quantum Counterintelligence Protection Team para proteger la investigación sensible.

El desarrollo del talento es otro pilar: se apoyarán programas educativos, certificaciones y formación profesional, y se establecerán institutos nacionales de desarrollo de la fuerza laboral en ciencia y tecnología de la información cuántica. Esto es clave para que las empresas puedan aprovechar estas tecnologías, similar a cómo la adopción de la nube requirió nuevas habilidades.

Dos caras de una misma estrategia

Las órdenes ejecutivas reflejan un enfoque dual: acelerar el desarrollo de tecnologías cuánticas mientras se preparan las organizaciones para los riesgos de seguridad que conllevan. Para los responsables de ciberseguridad, las disposiciones sobre criptografía postcuántica son las de impacto más inmediato, con plazos de migración, inventarios criptográficos y mandatos de contratación. Para el sector tecnológico en general, estas órdenes indican que la computación cuántica ya no es solo un proyecto de investigación, sino una tecnología estratégica que exige inversión, gobernanza y gestión del riesgo.

En un contexto donde la infraestructura de red evoluciona hacia la era de la IA, la criptografía postcuántica se convierte en un habilitador crítico. Las empresas que trabajan con el gobierno federal, especialmente en sectores como distribución tecnológica o retail, deben empezar a planificar su migración ahora.

Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.