Carlos B Fernández. La preocupación de la Comisión Europea por la protección de los datos y la seguridad de las comunicaciones sensibles, ante el potencial desarrollo futuro de ordenadores cuánticos capaces de descifrar los sistemas de cifrado actuales, ha llevado a la publicación, en el DOUE del pasado 12 de abril, de su Recomendación (UE) 2024/1101, de 11 de abril de 2024 (LA LEY 8052/2024), sobre una hoja de ruta para llevar a cabo de manera coordinada la transición hacia una criptografía postcuántica.
Su finalidad es facilitar que Europa busque salvaguardias más sólidas frente a esa tecnología, garantizando la protección de las comunicaciones sensibles y la integridad a largo plazo de la información confidencial.
La previsión es que esta transición a la criptografía postcuántica, eliminará las vulnerabilidades conocidas de la actual criptografía asimétrica y mejorará la resistencia frente a las amenazas que plantea el uso malintencionado de los ordenadores cuánticos.
La importancia del cifrado y de la ciberseguridad para la Unión Europea
En su Recomendación, la Comisión subraya que la ciberseguridad reviste una importancia estratégica para construir «Una Europa Adaptada a la Era Digital», tal como se establece en la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, de 19 de febrero de 2020, y en el Programa Estratégico de la Década Digital, definido por la Decisión (UE) 2022/2481 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022 (LA LEY 26073/2022).
En el mismo sentido, tanto la Estrategia de la UE para una Unión de la Seguridad, de 24 de julio de 2020 (COM(2020) 605 final), como la Estrategia de Ciberseguridad de la UE, de 16 de diciembre de 2020 (JOIN(2020) 18 final), destacan que el cifrado es una tecnología clave para garantizar la resiliencia, alcanzar la soberanía tecnológica y desarrollar la capacidad operativa a fin de prevenir los ciberataques.
En particular, el cifrado resulta esencial en el mundo digital para garantizar la seguridad de los sistemas y las transacciones digitales, proteger un conjunto de derechos fundamentales y garantizar las capacidades de defensa.
Sin embargo, se destaca, la carrera emprendida por varios países y entidades privadas para desarrollar capacidades de computación cuántica, plantea amenazas para las normas de cifrado actuales.
Necesidad de una transición a una criptografía resistente a la computación cuántica
En consecuencia, el potencial de desarrollo en el futuro de ordenadores cuánticos capaces de descifrar los sistemas de cifrado actuales hace necesario que Europa busque salvaguardias más sólidas, garantizando la protección de las comunicaciones sensibles y la integridad a largo plazo de la información confidencial.
Esta es la denominada transición a la criptografía postcuántica, un nuevo tipo de criptografía que eliminará las vulnerabilidades conocidas de la actual criptografía asimétrica y mejorará la resistencia frente a las amenazas que plantea el uso malintencionado de los ordenadores cuánticos.
En su virtud, los Estados miembros deben considerar la posibilidad de migrar sus actuales infraestructuras y servicios digitales para las administraciones públicas y otras infraestructuras críticas hacia la criptografía postcuántica lo antes posible, induciendo un cambio fundamental en los algoritmos, protocolos y sistemas criptográficos. Una tarea que, como se destaca en el reciente Libro Blanco de la Comisión titulado «¿Cómo abordar con éxito las necesidades de infraestructura digital de Europa?», requiere un esfuerzo coordinado por parte de agencias gubernamentales, organismos de normalización, partes interesadas del sector, investigadores y profesionales de la ciberseguridad.
La Recomendación de la Comisión anima a los Estados miembros a desarrollar una estrategia integral para la adopción de la criptografía postcuántica, para garantizar una transición coordinada y sincronizada entre los diferentes Estados miembros y sus sectores públicos.
La estrategia debe definir objetivos, hitos y cronogramas claros que den como resultado la definición de una hoja de ruta conjunta para la implementación de la criptografía postcuántica. Esto debería conducir al despliegue en toda la Unión de tecnologías de criptografía postcuántica en los sistemas de administración pública y las infraestructuras críticas existentes a través de esquemas híbridos que puedan combinar la criptografía postcuántica con enfoques criptográficos existentes o con la distribución de claves cuánticas.
Creación del Subgrupo de trabajo sobre criptografía postcuántica
La Recomendación anima a los Estados miembros a coordinar sus acciones a escala de la Unión a través de un foro específico de los Estados miembros.
A tal fin, la Comisión recomienda que los Estados miembros aprovechen las estructuras existentes a escala de la Unión en el ámbito de la ciberseguridad y creen un subgrupo del Grupo de Cooperación SRI, designando a representantes expertos que trabajen en estrecha cooperación con la Comisión y a los que se encomienden la definición y el desarrollo de la hoja de ruta para llevar a cabo de manera coordinada la transición hacia una criptografía postcuántica.
Dicho subgrupo podría incluir a representantes de las agencias nacionales de seguridad y expertos en ciberseguridad, en particular de las autoridades nacionales de ciberseguridad y la ENISA.
Su misión sería estudiar medidas adecuadas, eficaces y proporcionadas para definir y coordinar el desarrollo de la hoja de ruta para llevar a cabo de manera coordinada la transición hacia una criptografía postcuántica.
Se anima al subgrupo sobre criptografía postcuántica a entablar debates con otros organismos pertinentes, como Europol, la OTAN u otros, a fin de evitar la duplicación de esfuerzos y garantizar un enfoque cohesivo para hacer frente a los retos emergentes.
Además, se debería disponer de la hoja de ruta para llevar a cabo de manera coordinada la transición hacia una criptografía postcuántica en un período de dos años a partir de la publicación de la presente Recomendación. Una vez que se cuente con la hoja de ruta, cada Estado miembro elaborará y adaptará su propio plan de transición a la criptografía postcuántica, de conformidad con los principios establecidos en dicha hoja de ruta.
Acciones a escala de la unión
La Comisión, en cooperación con los representantes expertos de los Estados miembros, realizará el seguimiento y la evaluación del conjunto de los trabajos.
A tal efecto, podrá solicitar a los representantes de los Estados miembros que presenten toda la información pertinente que pueda esperarse razonablemente que faciliten a fin de garantizar el seguimiento de los avances logrados en la elaboración de dicha hoja de ruta para llevar a cabo de manera coordinada la transición hacia una criptografía postcuántica y la eficacia de dichas medidas.
Sobre la base de esa y otra información disponible, la Comisión evaluará las medidas diseñadas y el funcionamiento de la red de representantes de los Estados miembros y determinará si son necesarias acciones adicionales, incluida la propuesta de actos vinculantes del Derecho de la Unión.
Los Estados miembros deben cooperar con la Comisión para evaluar los efectos de la presente Recomendación como máximo tres años después de su publicación, con vistas a determinar la forma adecuada de seguir avanzando. Esta evaluación debe tener en cuenta los resultados del trabajo del subgrupo de expertos nacionales sobre criptografía postcuántica.