Un decreto ejecutivo de Trump establece plazos para la transición del Gobierno federal al cifrado resistente a la computación cuántica

Las agencias se enfrentan a los plazos de 2030 y 2031 para los sistemas federales sensibles

El presidente Donald Trump ordenó a las agencias federales que migraran los activos de alto valor y los sistemas de gran impacto a la criptografía poscuántica, fijando como plazos el 31 de diciembre de 2030 para el establecimiento de claves y el 31 de diciembre de 2031 para las firmas digitales. La orden ejecutiva del 22 de junio se aplica a los sistemas federales sensibles, a las normas de contratación pública y a la planificación en todos los sectores de infraestructuras críticas.

La orden se centra en los riesgos que plantea la computación cuántica. Advierte de que los adversarios podrían recopilar datos estadounidenses cifrados hoy y descifrarlos más adelante, una vez que avance la tecnología cuántica. La criptografía poscuántica se refiere a algoritmos o métodos criptográficos diseñados para resistir ataques tanto de ordenadores cuánticos como clásicos. La orden ejecutiva establece:

«Estados Unidos debe tomar medidas para reforzar las protecciones criptográficas de los datos sensibles de la nación, las infraestructuras críticas y la economía digital».

Los responsables de las agencias deben nombrar a un responsable de la migración a la criptografía poscuántica en un plazo de 30 días. Estos funcionarios rendirán cuentas ante los directores de información de sus respectivas agencias y se encargarán de gestionar los inventarios criptográficos, elaborar planes de migración y coordinar la implementación entre los distintos departamentos.

En un plazo de 90 días, la Oficina de Gestión y Presupuesto deberá publicar unas directrices en coordinación con la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) y el Director Nacional de Ciberseguridad. Las agencias deberán revisar sus activos de alto valor y sus sistemas de gran impacto —excluidos los sistemas de seguridad nacional— y presentar planes detallados para la transición a las nuevas normas.

El NIST, la CISA y los contratistas asumen funciones de implementación definidas

Varias agencias federales tienen responsabilidades específicas en virtud de la orden. El Instituto Nacional de Estándares y Tecnología (NIST) debe iniciar un proyecto piloto de migración en un plazo de 180 días en determinados sistemas que controla, cuya finalización está prevista para el 31 de diciembre de 2027. Este proyecto piloto servirá de guía para una adopción más amplia antes de los plazos de 2030 y 2031. La orden también destaca los riesgos a largo plazo relacionados con los datos. Establece lo siguiente:

«La actividad cibernética en curso contra nuestra nación también presenta el riesgo de que los adversarios recopilen información de Estados Unidos ahora y la descifren más adelante, una vez que los ordenadores cuánticos a gran escala estén operativos».

Los cambios en la contratación pública se llevarán a cabo mediante la elaboración de normativa. El Consejo Regulador Federal de Adquisiciones dispone de 180 días para publicar una propuesta de norma que exija a los contratistas afectados cumplir las normas del NIST, incluidos los algoritmos poscuánticos, antes del 31 de diciembre de 2030. También se incluyen las infraestructuras críticas, y se ordena a las agencias de gestión de riesgos sectoriales que colaboren con la CISA para ayudar a los operadores a preparar planes de migración, mientras que la CISA y el NIST disponen de 270 días para publicar directrices sobre los elementos mínimos que debe incluir una lista de materiales criptográficos.

La orden va más allá de los sistemas nacionales, ya que ordena al secretario de Estado que coordine con las agencias federales y los responsables de inteligencia para promover la adopción de las normas poscuánticas del NIST en el extranjero. Los sistemas de seguridad nacional seguirán una vía independiente, y el director de la NSA deberá informar al presidente sobre los avances en un plazo de 180 días y, a partir de entonces, con periodicidad anual.