▷ Auditoría de Uso de la Criptografía - EADTrust
Contacto

Blog

Inicio > Criptografía > Auditoría de uso de la Criptografía: El primer paso para anticiparse al  Criptocalípsis

2 de marzo de 2026

Auditoría de uso de la Criptografía: El primer paso para anticiparse al  Criptocalípsis

Suscríbete:

El «Q-Day«, o como lo llamamos en EADTrust : el “Criptocalípsis”, (el momento en que los ordenadores cuánticos podrán descifrar en tiempos relativamente cortos las claves privadas a partir de las públicas de los sistemas de criptografía asimétrica convencionales) se acerca inexorablemente.  

Ante este horizonte, muchas empresas se preguntan ¿nos puede afectar?  ¿Cómo nos preparamos para ese momento? ¿Qué tipo de tecnología de cifrado Post-Cuántica (PQC) podemos adoptar?».  

Pueden ser muchas preguntas…. 

Antes de adquirir soluciones o realizar cambios en la forma en la que se conserva la información conviene empezar con una Auditoría de uso de la Criptografía en la empresa. La realidad incómoda para la mayoría de los CISO es que no saben con exactitud en qué entornos se usa el cifrado y de qué tipo es, cuántas claves tienen, si se requieren certificados o no, dónde se custodian, qué algoritmos utilizan o quién las gestiona.  

No se puede proteger lo que no se conoce. Veamos por qué el inventario de activos de información a preservar y la auditoría de uso de la criptografía son los cimientos obligatorios de cualquier estrategia de defensa ante la amenaza cuántica. 

«La llegada de la computación cuántica representa tanto una oportunidad revolucionaria como una amenaza inminente»

— Julián Inza, Presidente de EADTrust

Conceptos clave de la auditoría criptográfica

Para comprender por qué una auditoría de uso de la criptografía es esencial en el contexto actual de transformación tecnológica, es necesario conocer algunos conceptos clave relacionados con la seguridad criptográfica y el impacto potencial de la computación cuántica. Estos términos permiten entender mejor los riesgos que afrontan las organizaciones y las estrategias necesarias para gestionarlos.

¿Qué es el criptocalipsis cuántico?

El criptocalipsis cuántico es el escenario en el que los ordenadores cuánticos alcanzan suficiente capacidad de cálculo para romper los algoritmos criptográficos asimétricos utilizados actualmente en Internet, como RSA o ECC. Esto sería posible mediante algoritmos cuánticos como el de Shor, capaces de resolver problemas matemáticos que hoy protegen la confidencialidad de las comunicaciones digitales.

¿Qué es la criptografía post-cuántica?

La criptografía post-cuántica (Post-Quantum Cryptography, PQC) es el conjunto de algoritmos criptográficos diseñados para resistir ataques de ordenadores cuánticos. Estos algoritmos utilizan problemas matemáticos diferentes a los de la criptografía clásica y forman parte de los procesos de estandarización impulsados por organismos como el NIST para proteger los sistemas digitales en la era cuántica.

¿Qué es la Shadow Cryptography?

Shadow Cryptography describe el uso de mecanismos criptográficos dentro de una organización sin supervisión centralizada por parte del equipo de seguridad o TI. Esto puede incluir claves incrustadas en código, bibliotecas criptográficas obsoletas o certificados digitales no inventariados, lo que genera riesgos de seguridad y dificulta la gestión de la infraestructura criptográfica.

El problema de la «Criptografía no documentada» (Shadow Cryptography) 

En la mayoría de las organizaciones, el uso de la criptografía ha crecido de forma orgánica y desordenada durante décadas. Esto ha generado lo que denominamos «Criptografía no documentada» para la que existe un término acuñado en inglés: Shadow Crypto: implementaciones de seguridad que escapan al control central del equipo de TI. 

¿Dónde se esconden los riesgos? 

Una auditoría revela vulnerabilidades en lugares que a menudo se pasan por alto: 

  1. Código «Hardcodeado»: desarrolladores que, por prisas, incrustaron claves o llamadas a algoritmos específicos (ej. MD5 o SHA-1) directamente en el código fuente de aplicaciones “legacy”. 
  1. Librerías de terceros: dependencias de software (Open Source o comerciales) que utilizan bibliotecas criptográficas obsoletas sin que la empresa lo sepa (riesgo de cadena de suministro). 
  1. Certificados olvidados: servidores de prueba, máquinas virtuales en la nube o dispositivos IoT que tienen certificados válidos, pero no monitorizados, convirtiéndose en puertas traseras perfectas. 
  1. Bases de datos internas: columnas cifradas con algoritmos cuestionados  desde hace años (como DES o RC4) que nunca se actualizaron porque «funcionan bien y nadie las toca».

Metodología de auditoría 

Una auditoría de uso de criptografía profesional en la empresa, como las que desarrolla EADTrust, no es un simple escaneo de puertos. Es un análisis forense de la infraestructura digital. El proceso se divide en tres fases críticas. 

Fase 1: Descubrimiento automatizado  

Utilizando herramientas especializadas de gestión del ciclo de vida de certificados (CLM, Certificate Lifecycle Management) y escáneres de red: 

  • Se mapean todos los puntos finales TLS/SSL internos y externos. 
  • Se identifican los algoritmos de firma y cifrado en uso. 
  • Resultado: Un inventario bruto de activos criptográficos. 

Fase 2: análisis estático de código (SAST, Static Application Security Testing) 

Se revisan los repositorios de código de las aplicaciones críticas. 

  • Se buscan patrones de uso de criptografía no segura o rígida (falta de cripto-agilidad). 
  • Se detectan claves privadas almacenadas en texto plano dentro de scripts o archivos de configuración. 
  • Resultado: Identificación de “deuda técnica” (decisiones técnicas de adopción o configuración del pasado que influyen en la capacidad de cambio) criptográfica. 

Fase 3: evaluación de riesgo cuántico (Quantum Risk Assessment) 

Esta es la fase diferenciadora. Se cruza el inventario obtenido con la «vida útil” de los datos que se han de presevar mediante el uso de la criptografía. 

  • Se clasifica cada activo según su vulnerabilidad al algoritmo de Shor, al de Grover y otros algoritmos con riesgo potencial que se van anunciando. 
  • Se etiqueta la información según el riesgo «Harvest Now, Decrypt Later«. 
  • Resultado: una matriz de prioridad que indica qué sistemas deben migrar a los nuevos algoritmos  FIPS del NIST en breve plazo  y cuáles pueden esperar. 

Por qué la hoja excel ya no es suficiente 

Históricamente, muchos administradores de sistemas llevaban el control de certificados y servidores (o clientes) que los usaban en una hoja de cálculo. En la era pre-cuántica, esto era arriesgado; en la era post-cuántica, es un problema. 

La complejidad de los nuevos certificados híbridos, la reducción de la vida útil de los certificados públicos (de servidor web o de cliente web) y la necesidad de rotación de claves hacen que la gestión manual sea casi imposible. 

La tendencia es que la duración de los certificados se vaya reduciendo desde el Ballot SC‑081v3 de CA/Browser Forum hasta 47 días en 2029 La auditoría debe culminar en la implementación de una Herramienta de automatización de gestión de certificados y PKIs que mantenga el inventario actualizado en tiempo real como por ejemplo ACME (Automatic Certificate Management Environment). 

El entregable: el inventario criptográfico 

El Inventario criptográfico (en inglés «CBOM» (Cryptography Bill of Materials)  es semejante  al inventario de software que da lugar al término acuñado SBOM (Software Bill of Materials), 

Este documento es una ayuda inestimable para acreditar el cumplimiento normativo (RGPD, DORA, NIS2) y detalla: 

  • Algoritmos: qué se usan (RSA, ECC, AES,). 
  • Inventario de librerías: qué proveedores se usan (OpenSSL, BoringSSL, LibreSSL, Bouncy Castle, IAIK, SecureBlackbox , Microsoft CNG / CryptoAPI). 
  • Protocolos: qué versiones de TLS/SSH IPSec están activas. 
  • Longitud de claves:  (RSA 2048, 3072, 4096 bits, ECC 256, 384, 512 bits). 
  • Certificados y sus parámetros 
  • Módulos hardware (HSM, TPM) 
  • Versiones y configuraciones 
  • Dependencias que implementan criptografía  

Con un CBOM, un CISO ya puede responder a la pregunta de la jalta dirección: «¿Estamos preparados para cuando se pueda aplicar la computación cuántica a la criptografía?»

Beneficios estratégicos más allá de la seguridad 

Realizar una auditoría de uso de criptografía no es solo un gasto defensivo, es una inversión estratégica que ahorra dinero. 

  1. Evita el «Panic Spending»: cuando el riesgo cuántico sea inminente, las empresas sin inventario  tendrán costes mayores intentando «arreglar todo a la vez». La auditoría permite una inversión escalonada y racional durante 3-5 años. 
  1. Consolidación de proveedores: muchas auditorías descubren que la empresa está pagando a varias Autoridades de Certificación (CA) diferentes por falta de coordinación. Unificar proveedores reduce costes operativos drásticamente. 
  1. Cumplimiento de eIDAS, eIDAS 2 y NIS2: estas normativas exigen una gestión de riesgos rigurosa. Demostrar que se tiene un control auditado de la criptografía es una prueba de diligencia debida ante cualquier regulador europeo.

Preguntas frecuentes (FAQ) sobre nuestra auditoría criptográfica 

¿Cuánto tiempo tarda una auditoría completa? 

Depende del tamaño de la infraestructura. Para una empresa mediana, la fase de descubrimiento y análisis suele durar entre 3 y 6 semanas. Es un proceso que puede correr en paralelo a las operaciones normales sin causar interrupciones. 

¿Necesita el auditor acceso a las claves privadas?

No. Un auditor ético y profesional nunca solicitará acceder a las claves privadas. El análisis se basa en claves públicas, configuraciones, metadatos y código fuente, pero nunca en los secretos que protegen la información. En ocasiones puede detectar claves insertadas en código fuente. 

¿Puedo hacerse internamente por el equipo de TI? 

Es posible, pero no recomendable como única opción. Los equipos internos pueden “no ver” errores habituales por costumbre y carecen de herramientas especializadas en PQC. Una auditoría de tercera parte (como la de EADTrust) ofrece una visión imparcial y experta. 

¿La auditoría soluciona los problemas? 

No, la auditoría ayuda a diagnosticar los problemas. El resultado es un “GAP Análisis” que describe la situación actual y la situación deseada detallando los pasos necesarios para llegar de una a otra.

Así se llega a  una lista de tareas gestionable y presupuestable. 

Conclusión: opinión de experto

Cuando llegue el Criptocalípsis muchas operativas basadas en criptografía cambiarán radicalmente  para aquellos que no estén preparados. Pero la preparación no empieza con la compra de nueva tecnología, sino con el conocimiento detallado de la propia infraestructura. 

La auditoría de criptografía “precuántica” de EADTrust es un ejercicio de higiene digital recomendable para empresas que hacen algún uso de la criptografía. Revela la situación actual de una empresa y señala el camino hacia la cripto-agilidad, robusteciendo la adopción de la criptografía más adecuada para cada situación. No hay que esperare a que los ordenadores cuánticos sean noticia de portada; para entonces, puede ser demasiado tarde. 

¿Desconoces cuántos certificados digitales tienes activos o qué algoritmos protegen sus bases de datos críticas?  

En EADTrust podemos realizar una auditoría de descubrimiento y diagnóstico de criptografía precuántica para que la empresa determine como adoptar la criptograía post-cuántica, ¡llámanos ahora! o contacta con nosotros.

Ignacio Romeo

Profesional orientado a la consultoría estratégica y el desarrollo de negocio en el ámbito LegalTech. Especializado en el posicionamiento de tecnologías de confianza y seguridad, ayudo a las empresas a anticiparse a los cambios

También te puede interesar…