top of page
Quantum
Buscar

Parte 3: Caso de estudio de una transición a criptografía poscuántica en un banco colombiano

  • Damián Salcedo
  • hace 1 día
  • 7 Min. de lectura

Serie: Radiografía del riesgo cuántico en Colombia       


Esta tercera y última entrega busca ejemplificar lo visto anteriormente en un caso de estudio simplificado para aterrizar el plan de transición a criptografía poscuántica en una organización bancaria real.


Para cerrar esta serie, quiero que analicemos cómo se ve la transición en un entorno operativo real. Imagine un banco líder en Colombia, al que llamaremos "Banco de los Andes": una organización con millones de clientes, una infraestructura híbrida (on-premise y nube) y una herencia técnica de tres décadas (AIX, AS400, Cobol, Java, DB2….). Lejos de aguardar a que la Superintendencia Financiera de Colombia emitiera una instrucción con hitos perentorios, la institución asumió una postura anticipatoria.


De hecho, considero altamente probable que, durante el presente año, la Superfinanciera remita un comunicado formal exigiendo el inicio de un plan de transición a criptografía poscuántica antes de que se acabe la década. Ante este escenario, el comité de infraestructura examinó la situación y llevó esta preocupación a la alta gerencia y, posteriormente, a la Junta Directiva, quienes decidieron actuar al entender que el "Q-Day" no es un evento futuro, sino un riesgo presente para la información con valor a largo plazo.


El Banco de los Andes se enfrentaba a un inventario criptográfico masivo y disperso. Tenían certificados RSA-2048 protegiendo desde transacciones interbancarias hasta los documentos PDF escaneados con cédulas de clientes y empleados. La información cifrada con AES-256 estaba segura, pero el uso de algoritmos deprecados como 3DES o SHA1 señalaba que debían levantar y/o actualizar su inventario de cripto activos (CBOM - Cryptographic Bill of Materials) de forma detallada. 


Fase 1: CBOM actualizado (Meses 1-3)


El inventario debe incluir información técnica sobre los siguientes elementos:

  • Algoritmos: Identificación de los algoritmos en uso (como RSA, ECC, AES o SHA) y sus parámetros técnicos.

  • Certificados digitales: Inventario de certificados TLS/SSL, firmas de código y certificados S/MIME, incluyendo sus fechas de expiración y autoridades emisoras.

  • Llaves criptográficas: Registro del ciclo de vida de las llaves (emisión, rotación y revocación) y su ubicación física o lógica.

  • Dependencias de infraestructura: Reconocimientode módulos de seguridad de hardware (HSM, cajas Atala por ejemplo), SDKs, librerías de terceros y firmware que ejecutan funciones criptográficas.

  • Protocolos de comunicación: TLS 1.2/1.3, IPsec, SSH, entre otros.


Aunque el Banco de Los Andes contaba con un inventario básico, sabía que, dada la gran cantidad de certificados y elementos de red, requería herramientas especializadas que aceleraran su descubrimiento, administración y control operativo. En tal contexto, la adopción de plataformas de gestión de certificados, llaves y SIEM resulta clave para lograr hacer la tarea más rápido y de manera confiable. En Cyte® facilitamos la creación de este inventario mediante soluciones como Notyfind® (https://www.cyte.co/es/notyfind) , la cual automatiza el hallazgo y seguimiento de estos elementos perecederos y vulnerables, permitiendo a las organizaciones pasar de un enfoque reactivo a una proactivo y gobernado.


Fase 2: Evaluación de riesgos y priorización (Meses 3-12)


Esta fase puede ejecutarse en paralelo a la Fase 1. En ella, se busca priorizar la transición según la vida útil de los datos. Por ejemplo, datos con criterio de prioridad alta serían los que tienen una vida útil mayor a 10 años (historias crediticias, datos de identidad o contratos a largo plazo), a razón de que presentan mayor exposición frente al ataque de Harvest-Now-Decrypt-Later explicado en la Entrega 1. En consecuencia, el software y hardware por donde transita esta información deberían recibir prioridad en la migración o, en su defecto, recibir medidas de mitigación en tanto se pueda lograr una transición definitiva.


Por otro lado, comunicarse con los proveedores de servicios en esta etapa resulta crítico, puesto que sobre ellos recae la responsabilidad de actualizar los dispositivos y versiones de software para garantizar que pueden aceptar los nuevos algoritmos poscuánticos. Ciertos esquemas poscuánticos incrementan el consumo de ancho de banda al demandar mayores tamaños de llaves y, a su vez, son más exigentes en términos de procesador o latencia (aunque en otros escenarios hemos visto mejores rendimientos de los algoritmos PostQ vs los actuales). Por tanto, la validación técnica del proveedor debe confirmar una compatibilidad y soporte adecuados.


El Banco Los Andes consultó con sus proveedores y se dio cuenta que algunos no tenían en el radar este tema. Ante ello, se les avisó que, si en un plazo de 6 meses no elaboraban una hoja de ruta clara de versionamiento o actualización, tendrían que irse con otro proveedor que sí lo hiciera.


Igualmente, el banco constató el estado de avance de esta transición con entidades externas (organismos del gobierno, proveedores y otras instituciones financieras), debido a que la seguridad de los datos no solo dependía de sus controles internos y un solo eslabón débil en la cadena provoca que el riesgo se magnifique.


A medida que el banco recibía respuestas, podía ajustar su plan de transición sabiendo si una “simple” actualización de software protegía el nodo o si, por el contrario, resultaba necesario llevar a cabo tareas monumentales y complejas, tales como planear la adquisición y reemplazo de una o varias piezas de hardware, la migración hacia nuevas plataformas o la redefinición de dependencias tecnológicas críticas.


Fase 3: Definición de planes piloto y de transición (Meses 12-18)


El Banco de Los Andes ejecutaba, desde años atrás, un plan de modernización de su core bancario con miras a competir con las fintech y demás entidades financieras más modernas. Al incorporar los principios de cripto-agilidad en su nuevo core bancario (ver  NIST: Considerations for Achieving Crypto Agility https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.39.pdf), el impacto derivado de la adopción de nuevos algoritmos ya estaba contemplado, pues se diseñaron modulos y APIs que no dependían de un algoritmo o protocolo específico, con una estructura apta para sustituir parámetros criptográficos, tamaños de clave o mecanismos completos sin rediseñar el sistema nuclear. Si no hubiesen planificado esta migración, la entidad habría debido recurrir a soluciones ad hoc como un mesh que manejara las comunicaciones con los nuevos algoritmos PostQ y las tradujera al estándar clásico.


Como referencia práctica, en Cyte® ya desplegamos nuestra solución Web-Armor (https://www.cyte.co/web-armor) en el sector bancario, la cual añade una capa de cifrado ML-KEM (Kyber) sobre el TLS tradicional. De esta forma, si un atacante captura hoy esos paquetes, se encuentra con una doble cerradura. Para descifrar la información, necesitaría romper tanto el RSA clásico como el algoritmo poscuántico.


Ahora bien, para realizar una transición exitosa, es muy difícil exigir a un tercero que apague de un día para otro sus implementaciones actuales para luego encender las nuevas. Se deben llevar a cabo planes piloto donde se pruebe la funcionalidad y los tiempos de respuesta. Asimismo, es imperativo disponer de canales híbridos que acepten los algoritmos clásicos junto a los nuevos, debido a que habrá interlocutores que se demoren un poco más en completar la transición. Eso sí, se debe fijar una fecha límite viable para que todos los nodos ya estén actualizados a la criptografía resistente a ataques cuánticos.


Bajo esta lógica, el Banco de Los Andes logró definir los planes pilotos y ruta de transición para cada uno de los activos y procesos definidos en su CBOM al finalizar 2027, por lo que avanzó con su despliegue durante 2028.


Fase 4: Implementación y Pruebas (Meses 18-36)


El Banco de Los Andes tuvo que ejecutar 12 pilotos estratégicos segmentados por subcategorías del CBOM:


  • Pilotos 1-3: Enfocados en Data-at-Rest (archivos PGP y S/MIME en diferentes procesos de la organización, pasando por el MFT, el orquestador de procesos y los portales de empresas).

  • Pilotos 4-8: Destinados a Data-in-Transit (Túneles VPN entre sucursales y TLS en la App móvil).

  • Pilotos 9-12: Validación de identidad y firmas (8000 Certificados digitales de páginas web, servidores, y funcionarios).


Tales pilotos se desarrollaron en un ambiente de pruebas, donde se probó el impacto de los cambios en la latencia y se verificó la funcionalidad con cargas cercanas a escenarios reales. Sin embargo, el año 2028 trajo eventos inesperados como un par de vulnerabilidades críticas en los algoritmos a migrar, lo cual obligó a efectuar parcheos y modificaciones que retrasaron 1 mes los cambios mientras los ingenieros solucionaban el problema. Otro evento inesperado fue un incremento en el conteo de qubits lógicos logrado en China, lo cual acercó la fecha del QDay, comprimiendo el cronograma de migración de 36 meses a ¡30!


Algunos hitos a tener en cuenta 2026-2028


Siguiendo la planeación que discutimos en la Parte 2, una organización colombiana debería aspirar a estos hitos:

  • Hito 1 (2026 ): Inventario completo (CBOM) y política de criptoagilidad aprobada por la Junta Directiva.

  • Hito 2 (2027): Pilotos exitosos de canales híbridos (PQC + Clásico) en aplicaciones de cara al cliente y terceros.

  • Hito 3 (2028): Actualización de HSMs y librerías core para soportar ML-DSA (Dilithium) en firmas digitales legales. Actualización de canales de transmisión con TLS 1.3+PostQ. Actualización de llaves PGP con algoritmos PostQ (ML-KEM/ML-DSA).



Ideas finales


Esperar a que el gobierno colombiano u otra entidad defina fechas límite de transición es, sencillamente, una negligencia estratégica. Prepararse para el riesgo cuántico es como prepararse para un fuerte terremoto en una zona sísmica como la nuestra. No sabemos cuándo sucederá el "Q-Day"(las proyecciones van de 3 a 10 años), pero sabemos con certeza matemática que las estructuras que no sean reforzadas hoy colapsarán mañana. La diferencia es que el "terremoto cuántico" ya está dejando víctimas: cada giga de información sensible que usted transmite hoy bajo estándares clásicos está siendo cosechada por actores malintencionados. 


En Cyte®, con más de tres décadas de experiencia protegiendo al sector financiero y de salud, ya estamos ayudando a las empresas más visionarias de Colombia a realizar esta transición sin interrumpir su operación.


Contáctenos para una evaluación de riesgo y demo personalizada:



Fuentes:


NIST. (2024). FIPS 203, 204, 205: Post-Quantum Cryptography Standards.

Barker, W., Polk, W., y Souppaya, M. (2024). Quantum readiness: Transitioning to post-quantum cryptography (NIST Cybersecurity White Paper 39). National Institute of Standards and Technology. https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.39.pdf

 
 
 

Comentarios

bottom of page