Microsoft adelanta a 2029 su salto a la criptografía post-cuántica

Microsoft ha anunciado que acelera la migración de sus productos y servicios críticos a criptografía post-cuántica (PQC), con el objetivo de completarla en 2029, un año antes del plazo federal estadounidense. La motivación es una amenaza que no espera al ordenador cuántico: "cosecha ahora, descifra después" (harvest now, decrypt later).

El problema

Los algoritmos asimétricos actuales (RSA, ECC) que protegen TLS, firmas y VPNs son teóricamente rompibles por un ordenador cuántico suficientemente potente mediante el algoritmo de Shor. Aunque esa máquina todavía no existe a escala, un adversario puede capturar hoy tráfico cifrado y datos sensibles y almacenarlos para descifrarlos dentro de años, cuando la capacidad cuántica esté disponible. Todo secreto con vida útil larga (historiales médicos, propiedad intelectual, claves raíz) está ya en riesgo.

La estrategia de Microsoft se apoya en la cripto-agilidad: eliminar algoritmos "cableados" en el código, usar metadatos autodescriptivos y texto cifrado versionado para poder cambiar de algoritmo sin reescribir aplicaciones. Prioriza TLS 1.3 y forma parte de su Secure Future Initiative. El movimiento se alinea con Google y Cloudflare (también apuntando a 2029) y con la orden ejecutiva que fija 2030 como plazo para las agencias federales de EE. UU., además de los estándares ML-KEM y ML-DSA ya publicados por el NIST.

Recomendaciones inmediatas

  • Inventaria tu criptografía: identifica dónde usas RSA/ECC y qué datos tienen una vida útil que exceda la llegada de la computación cuántica.
  • Prioriza la migración de secretos de larga duración y canales que transportan información altamente sensible.
  • Adopta cripto-agilidad en el diseño: nada de algoritmos cableados; usa bibliotecas que permitan rotar a ML-KEM/ML-DSA.
  • Exige a tus proveedores un roadmap PQC con fechas concretas.

¿Estás cubierto en DefensOps?

Esta noticia es estratégica: no describe una vulnerabilidad explotable, sino una migración preventiva. DefensOps no "parchea" la criptografía de tus sistemas, pero sí ayuda a detectar la fase del ataque que sí es observable hoy —la captura del tráfico cifrado:

  • T1040 – Sniffing de red: la telemetría de red (Zeek/NetFlow del catálogo nativo) detecta patrones de captura masiva y exfiltración de tráfico hacia infraestructura no autorizada. Disponible en el plan Advanced.
  • T1557 – Adversary-in-the-Middle: el motor de correlación alerta de intentos de interceptación TLS, degradación de protocolo o certificados sospechosos que precederían a una campaña harvest now, decrypt later.

La migración PQC es una tarea de arquitectura del propio cliente; DefensOps aporta la visibilidad de red para detectar quién intenta cosechar tu tráfico mientras completas esa transición.

👉 Consulta los planes de DefensOps y solicita una demo


Fuentes: The Hacker News · Microsoft Secure Future Initiative