El presidente Trump firmó una orden ejecutiva el 22 de junio que establece plazos estrictos para que las agencias federales trasladen activos de alto valor y sistemas de alto impacto a la criptografía poscuántica.
El establecimiento clave debe mudarse antes del 31 de diciembre de 2030; firmas digitales antes del 31 de diciembre de 2031. La EO 14409 deja a los sistemas de seguridad nacionales en un camino separado.
Los plazos son importantes debido a una amenaza que hoy en día no necesita una computadora cuántica que funcione. Los adversarios pueden recopilar datos estadounidenses cifrados ahora y descifrarlos más tarde; una vez que exista una máquina cuántica a gran escala, el riesgo se conoce como “cosechar ahora, descifrar después”.
La orden describe ese riesgo directamente y adelanta el cronograma de PQC del gobierno de cuatro a cinco años. El objetivo anterior para todo el gobierno, establecido en el Memorando de Seguridad Nacional 10 de 2022, se extendía hasta 2035.
Los dos plazos se alinean con los estándares que el NIST finalizó en agosto de 2024. El establecimiento de claves utiliza FIPS 203, el algoritmo ML-KEM anteriormente llamado CRYSTALS-Kyber.
Las firmas digitales utilizan FIPS 204 y 205, ML-DSA y SLH-DSA. Las normas están listas desde hace casi dos años. El orden es lo que los convierte en un cronograma con consecuencias.
Qué tienen que hacer las agencias y cuándo
El reloj a corto plazo empieza a acelerarse. En un plazo de 30 días, cada jefe de agencia nombra un líder de migración de PQC que reporta al CIO de la agencia y es propietario del inventario criptográfico y del plan de migración.
En un plazo de 90 días, la OMB emite una guía que exige a las agencias que revisen sus inventarios de activos de alto valor y sistemas de alto impacto, planifiquen la migración y presenten ese plan.
El NIST ejecuta una migración piloto en un subconjunto de sus propios sistemas, que finalizará el 31 de diciembre de 2027.
La orden llega más allá de las redes federales. El Consejo Regulador de Adquisiciones Federales tiene 180 días para proponer una regla que otorgue a los “contratistas cubiertos” hasta el 31 de diciembre de 2030 para cumplir con los FIPS del NIST, incluidos los algoritmos PQC.
Una segunda regla propuesta, prevista para dentro de 270 días, incluiría las fallas criptográficas en los programas de divulgación de vulnerabilidades de los contratistas, incluidas pruebas de cifrado faltante y de algoritmos que no son FIPS. A las agencias de gestión de riesgos del sector y a CISA se les pide que ayuden a los operadores de infraestructura crítica a elaborar sus propios planes de migración, aunque esa parte es asistencia, no un mandato.
Luego está el ángulo del inventario. En un plazo de 270 días, CISA y NIST publicarán los elementos mínimos para una lista de materiales criptográficos, una lista legible por máquina de los activos criptográficos en una pieza de hardware o software.
Ésa es la base de la criptoagilidad: no se pueden intercambiar algoritmos débiles en una fecha límite si no se sabe dónde están.
La lectura practica
Para los equipos federales y los proveedores que les venden, el trabajo es el inventario y comienza ahora. Encuentre todos los lugares donde se produce el intercambio de claves y las firmas, marque lo que no es NIST PQC y secuencia el intercambio con las fechas 2030 y 2031.
Los contratistas deben esperar la cláusula FAR y una línea de cumplimiento para 2030 una vez que entre en vigencia la regla. Los estándares existen. Los plazos ya existen. La tarea de control para casi todos es saber qué criptografía se está ejecutando y dónde.
Un pedido complementario firmado el mismo día, “Marcando el comienzo de la próxima frontera de la innovación cuántica”, empuja el otro lado de la ecuación: construir las computadoras cuánticas que hacen que la migración sea urgente en primer lugar.
Los dientes todavía se están escribiendo. La guía de 90 días de la OMB y las reglas FAR decidirán si 2030 y 2031 se convierten en una verdadera presión de adquisiciones o simplemente en otro objetivo federal de migración que se desvanece una vez que comienza el trabajo duro.