Informe sobre el estado de la agilidad criptográfica en 2025: cómo se están preparando las organizaciones para la criptografía poscuántica
Sectigo y la empresa de investigación global Omdia han colaborado para elaborar el informe sobre el estado de la agilidad criptográfica en 2025. En este blog se analizan las principales conclusiones y se presentan los resultados de la encuesta realizada a 272 directivos de nivel C, vicepresidentes y directores de departamentos de TI, operaciones técnicas, ciberseguridad y riesgos de todo el mundo para comprender cómo se están preparando las organizaciones y en qué aspectos están menos preparadas para la criptografía postcuántica.
Tabla de contenido
- ¿Qué es la criptoagilidad y por qué es importante?
- La reducción de la vida útil de los certificados: la primera llamada de atención para dar prioridad a la agilidad criptográfica
- Por qué la gestión manual de certificados es un riesgo que no se puede permitir
- La agilidad criptográfica comienza con la automatización
- La amenaza cuántica está a la vuelta de la esquina
- Cerrar la brecha con un Centro de Excelencia Criptográfica (CCOE)
- El camino a seguir
Por primera vez en la historia de la informática moderna, la criptografía que sustenta la seguridad digital mundial debe ser eliminada y sustituida. Lo que antes era una predicción lejana se ha convertido ahora en una realidad que se aproxima rápidamente. El informe 2025 State of Crypto Agility Report, elaborado por Sectigo en colaboración con Omdia, ofrece la visión más clara hasta la fecha de la situación de las organizaciones ante este cambio radical.
Desde la reducción de la vida útil de los certificados hasta la amenaza inminente de la computación cuántica, las empresas se enfrentan a una transformación de alto riesgo en la forma en que gestionan y protegen su infraestructura criptográfica. La conclusión es clara: la criptoagilidad debe convertirse en una necesidad empresarial para sobrevivir a esta nueva era.
¿Qué es la criptoagilidad y por qué es importante?
La criptoagilidad es la capacidad de encontrar, gestionar, sustituir y adaptar rápidamente los activos criptográficos, incluidos los certificados y los algoritmos de cifrado, en respuesta a las amenazas de seguridad en constante evolución.
Dos fuerzas urgentes están colisionando para hacer de la criptoagilidad una necesidad:
- La reducción de la vida útil de los certificados SSL/TLS, que pasará de los 398 días actuales a solo 47 días en 2029.
- La migración a la computación poscuántica para 2030.
La combinación de ambos factores exige un nuevo enfoque: uno en el que la automatización, la visibilidad y la adaptación criptográfica continua se integren en la estructura de seguridad de su organización. El enfoque sugerido: la gestión automatizada del ciclo de vida de los certificados (CLM).
La reducción de la vida útil de los certificados: la primera llamada de atención para dar prioridad a la agilidad criptográfica
A partir del 15 de marzo de 2026, el plazo máximo permitido para los certificados SSL/TLS públicos se reducirá a 200 días, lo que los situará en una cadencia de renovación de 6 meses, y para 2029 se reducirá a solo 47 días, lo que supone un calendario de renovación mensual. Esto significa:
- 12 veces más renovaciones
- 12 veces más trabajo
- 12 veces más riesgo de provocar interrupciones
|
Fecha límite |
Vida útil máxima de los certificados TLS públicos |
Periodicidad de renovación |
Periodo máximo de reutilización de DCV |
|
15 de marzo de 2026 | 200 días | 6 meses | 200 días |
|
15 de marzo de 2027 | 100 días | 3 meses | 100 días |
|
15 de marzo de 2029 | 47 días | 1 meses | 10 días |
Según el informe:
- El 96 % de las organizaciones están preocupadas por el impacto que tendrá en su negocio la reducción de la vigencia de los certificados.
- Menos de 1 de cada 5 organizaciones (19 %) se sienten preparadas para gestionar renovaciones mensuales.
- Solo el 28 % tiene un inventario completo de certificados.
- Y solo el 13 % confía en poder rastrear certificados no autorizados o ocultos.
Las cifras operativas son abrumadoras: 12 veces más renovaciones, 12 veces más riesgos y 12 veces más trabajo para 2029, a menos que se implemente la automatización.
Por qué la gestión manual de certificados es un riesgo que no se puede permitir
A medida que se reducen los periodos de validez de los certificados, la carga de trabajo de los equipos de TI y seguridad crece exponencialmente. El informe revela lo siguiente:
- Solo el 53 % de las organizaciones automatiza la renovación de certificados.
- Un tercio (33 %) de las empresas automatizan la implementación de certificados, lo que deja a las otras dos terceras partes implementando los certificados manualmente. Solo un 32 % automatiza la validación del control de dominio (DCV).
Esto significa que la mayoría de las organizaciones siguen dependiendo de métodos manuales, una apuesta peligrosa en un mundo en el que un solo certificado caducado puede provocar interrupciones del servicio, incumplimientos normativos y pérdidas de ingresos.
La agilidad criptográfica comienza con la automatización
Una de las conclusiones más alentadoras del informe es que el 90 % de las organizaciones reconocen que el trabajo necesario para prepararse para una vida útil más corta de los certificados se solapa directamente con la preparación para la PQC. Esto significa que invertir hoy en automatización y gestión del ciclo de vida de los certificados, los pilares fundamentales de la agilidad de los certificados, ayuda a construir una base sólida para la agilidad criptográfica del mañana.
Sin embargo, a pesar de comprender esta correlación entre la agilidad de los certificados y la consecución de la agilidad criptográfica, las organizaciones siguen estancadas en su avance.
- Solo el 5 % de las organizaciones ha automatizado completamente la gestión de certificados.
- El 57 % afirma que las prioridades de la hoja de ruta de la competencia son un obstáculo importante o crítico para la adopción de la automatización.
- Un asombroso 95 % sigue dependiendo, al menos en parte, de procesos manuales, ya que está planeando aumentar la automatización o todavía está evaluando su enfoque.
Esto indica una peligrosa desconexión entre la concienciación y la ejecución real.
La amenaza cuántica está a la vuelta de la esquina
Los plazos de los certificados están a la vuelta de la esquina, y por una buena razón. La computación cuántica plantea una serie de preocupaciones para la seguridad digital actual, aunque pueda parecer que aún faltan unos años para que se haga realidad.
Las máquinas cuánticas podrían descifrar los datos cifrados actuales en cuestión de años, y los atacantes lo saben. Por eso ya se están produciendo ataques Harvest Now, Decrypt Later (HNDL), en los que los actores maliciosos almacenan datos cifrados ahora para descifrarlos en el futuro. Una vez maduras, las máquinas cuánticas serán capaces de descifrar RSA y ECC, los algoritmos que protegen la gran mayoría de los datos digitales actuales. El NIST tiene previsto dejar de utilizar ambos en 2030, con su prohibición total en 2035.
- El 60 % de las organizaciones están «muy o extremadamente preocupadas» por los ataques HNDL.
- El 92 % espera aumentar la inversión en criptografía poscuántica (PQC) en un plazo de 2 a 3 años.
- Sin embargo, solo el 14 % ha llevado a cabo una evaluación completa de los sistemas vulnerables a la computación cuántica.
El riesgo es real y el tiempo corre.
El efecto 2000 frente al Q-Day
A menudo comparada con el efecto 2000, la computación cuántica no es un tema que deba tomarse a la ligera. La transición a la criptografía postcuántica (PQC) refleja el reto del efecto 2000, ya que ambos requieren una coordinación proactiva en toda la empresa para hacer frente a un cambio tecnológico sistémico inminente. Al igual que el efecto 2000 exigió una revisión exhaustiva del código, los sistemas y las dependencias para evitar fallos críticos, la PQC requiere una transformación operativa completa que alcance todas las capas de la organización, desde la infraestructura y las herramientas hasta la gobernanza y la colaboración entre equipos.
No basta con cambiar los algoritmos; las empresas deben replantearse cómo se integra, gestiona y escala la criptografía, con prioridades como la integración con las plataformas existentes (58 %), la facilidad de implementación (55 %) y las opciones de automatización (49 %). En ambos casos, el éxito depende de que el cambio se considere una responsabilidad compartida entre los responsables de TI, seguridad y dirección empresarial, y se aborde mediante medidas deliberadas y coordinadas, en lugar de soluciones de última hora.
La lección del efecto 2000 es clara: quienes inviertan pronto en visibilidad, automatización y colaboración navegarán por el PQC con resiliencia, mientras que quienes se demoren corren el riesgo de no estar preparados cuando la necesidad sea urgente.
|
Efecto 2000 | Q-Day | |
Fecha objetivo | Conocida: 1 de enero de 2000 | Desconocida, estimada para 2030 |
Duración de la amenaza | Finita: no hubo amenaza previa al efecto 2000, terminó en cuestión de meses | En curso: ataques activos en la actualidad, amenazas que continúan después del día Q |
Impacto en el sistema | Limitado: aplicaciones, actualizaciones de datos | Amplio: todos los sistemas, redes, aplicaciones e infraestructura de datos interconectados |
|
Calendario de implementación avanzado | 6-12 meses de antelación | Años de antelación |
Nivel de esfuerzo de la solución | Cientos de miles de millones de dólares, millones de horas de trabajo | Completamente desconocido |
Cerrar la brecha con un Centro de Excelencia Criptográfica (CCOE)
El informe destaca la necesidad de una respuesta centralizada a la modernización criptográfica. A medida que aumenta la complejidad, las organizaciones deberán establecer Centros de Excelencia Criptográfica para coordinar los equipos, las herramientas y la infraestructura.
Según Gartner, las organizaciones que cuenten con CryptoCOE en 2028 ahorrarán un 50 % en los costes de transición a PQC en comparación con las que no lo tengan. Sin una estrategia centralizada, la transformación criptográfica corre el riesgo de fragmentarse, caerse y ser ineficaz.
El camino a seguir
El mensaje del informe «State of Crypto Agility» es claro:
- Los plazos se acercan rápidamente y la gestión manual de certificados no se adaptará cuando las cadencia de renovación empiecen a reducirse.
- La PQC es una prioridad estratégica ahora, no en el futuro.
- La automatización es la forma más eficaz de reducir el riesgo, el coste y la complejidad.
La agilidad criptográfica es un viaje, pero el primer paso es innegociable: automatizar hoy mismo. Hacerlo no solo preparará a su organización para el futuro de los certificados de 47 días, sino que también le permitirá desarrollar la resiliencia que necesitará para sobrevivir a la era cuántica.
¿Desea obtener todos los datos, información y recomendaciones?
Descubra cómo se están preparando las organizaciones (y en qué aspectos se están quedando atrás) en materia de agilidad criptográfica, gestión de certificados y preparación para la PQC.