Microsoft acelera la transición a criptografía post-cuántica
Resumen rápido
Microsoft adelanta su calendario para implementar criptografía segura contra ataques cuánticos. Esto se debe a los rápidos avances en la computación cuántica, que hacen necesaria una transición más temprana de los estándares de cifrado actuales.
Microsoft adelanta a 2029 su salto a la criptografía post-cuántica
Microsoft ha anunciado que acelera la migración de sus productos y servicios críticos a criptografía post-cuántica (PQC), con el objetivo de completarla en 2029, un año antes del plazo federal estadounidense. La motivación es una amenaza que no espera al ordenador cuántico: "cosecha ahora, descifra después" (harvest now, decrypt later).
El problema
Los algoritmos asimétricos actuales (RSA, ECC) que protegen TLS, firmas y VPNs son teóricamente rompibles por un ordenador cuántico suficientemente potente mediante el algoritmo de Shor. Aunque esa máquina todavía no existe a escala, un adversario puede capturar hoy tráfico cifrado y datos sensibles y almacenarlos para descifrarlos dentro de años, cuando la capacidad cuántica esté disponible. Todo secreto con vida útil larga (historiales médicos, propiedad intelectual, claves raíz) está ya en riesgo.
La estrategia de Microsoft se apoya en la cripto-agilidad: eliminar algoritmos "cableados" en el código, usar metadatos autodescriptivos y texto cifrado versionado para poder cambiar de algoritmo sin reescribir aplicaciones. Prioriza TLS 1.3 y forma parte de su Secure Future Initiative. El movimiento se alinea con Google y Cloudflare (también apuntando a 2029) y con la orden ejecutiva que fija 2030 como plazo para las agencias federales de EE. UU., además de los estándares ML-KEM y ML-DSA ya publicados por el NIST.
Recomendaciones inmediatas
- Inventaria tu criptografía: identifica dónde usas RSA/ECC y qué datos tienen una vida útil que exceda la llegada de la computación cuántica.
- Prioriza la migración de secretos de larga duración y canales que transportan información altamente sensible.
- Adopta cripto-agilidad en el diseño: nada de algoritmos cableados; usa bibliotecas que permitan rotar a ML-KEM/ML-DSA.
- Exige a tus proveedores un roadmap PQC con fechas concretas.
¿Estás cubierto en DefensOps?
Esta noticia es estratégica: no describe una vulnerabilidad explotable, sino una migración preventiva. DefensOps no "parchea" la criptografía de tus sistemas, pero sí ayuda a detectar la fase del ataque que sí es observable hoy —la captura del tráfico cifrado:
- T1040 – Sniffing de red: la telemetría de red (Zeek/NetFlow del catálogo nativo) detecta patrones de captura masiva y exfiltración de tráfico hacia infraestructura no autorizada. Disponible en el plan Advanced.
- T1557 – Adversary-in-the-Middle: el motor de correlación alerta de intentos de interceptación TLS, degradación de protocolo o certificados sospechosos que precederían a una campaña harvest now, decrypt later.
La migración PQC es una tarea de arquitectura del propio cliente; DefensOps aporta la visibilidad de red para detectar quién intenta cosechar tu tráfico mientras completas esa transición.
👉 Consulta los planes de DefensOps y solicita una demo
Fuentes: The Hacker News · Microsoft Secure Future Initiative
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Advanced.
Técnicas MITRE ATT&CK: T1040, T1557
- Captura de tráfico cifrado en tránsito (harvest now, decrypt later) · T1040 · plan Advanced
- Interceptación adversary-in-the-middle sobre TLS · T1557 · plan Advanced
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.