
Evidencia digital en ciberseguridad: cómo garantizar su integridad y validez legal
9 de julio de 2026Cuando “cifrado seguro” deja de significar “seguro para siempre”
Durante décadas, la ciberseguridad ha dado por buena una premisa: si un dato está cifrado con un algoritmo robusto, permanece protegido indefinidamente. Esa premisa se está agrietando. La computación cuántica no es todavía una amenaza operativa masiva, pero ya está cambiando la forma en que hay que razonar sobre la confidencialidad a largo plazo.
Este artículo distingue dos cosas que conviene no mezclar: por un lado, lo que instituciones como el CCN, ENISA, NIST o la Comisión Europea han dicho, de forma verificable, sobre criptografía post-cuántica. Por otro, la lectura que hacemos en Cosmikal de lo que ese marco implica para las plataformas de acceso privilegiado, una conclusión propia, no una cita de esas instituciones.
Harvest Now, Decrypt Later: la amenaza que ya está ocurriendo
El concepto que sostiene esta urgencia se conoce como Harvest Now, Decrypt Later (HNDL). Un adversario no necesita disponer hoy de un ordenador cuántico capaz de romper RSA o ECC para representar un riesgo real: le basta con interceptar y almacenar tráfico cifrado ahora mismo, y esperar a que la capacidad de cómputo cuántico madure lo suficiente como para descifrarlo más adelante.
La consecuencia práctica es: cualquier dato cuya confidencialidad deba sobrevivir cinco, diez o quince años es candidato a ser “cosechado” hoy. Credenciales privilegiadas, secretos industriales, comunicaciones de administraciones públicas o propiedad intelectual entran en esa categoría. Este es el marco de riesgo, respaldado por NIST y ENISA como razón de fondo para no esperar a que exista un ordenador cuántico capaz de romper el cifrado actual.
Qué dicen realmente las fuentes institucionales
Antes de aplicar este marco a ningún producto o categoría de tecnología, conviene ser precisos sobre el alcance real de cada fuente:
- ENISA recomienda, de forma genérica, construir inventarios criptográficos, identificar dónde se usa cifrado vulnerable y planificar con tiempo la migración post-cuántica. No señala ninguna categoría de producto en particular.
- NIST avanza en la estandarización de los algoritmos post-cuánticos que sustituirán progresivamente a RSA y ECC. Es un trabajo de base aplicable a cualquier sistema cifrado, no una guía sectorial.
- El Cyber Resilience Act europeo, cuya aplicación plena entra en vigor el 11 de diciembre de 2027, exige que los mecanismos de seguridad de los productos digitales puedan responder a amenazas emergentes durante todo su ciclo de vida, aunque no menciona explícitamente la criptografía post-cuántica ni ninguna categoría de producto concreta.
- El CCN intervino el 8 de julio en un desayuno del Club Diálogos para la Democracia junto a INCIBE y el Mando Conjunto del Ciberespacio, según recogió Infobae. Ahí, el subdirector general Javier Candau pidió una inversión continuada a tres o cinco años enfocada principalmente a desarrollar capacidades de inteligencia artificial ofensiva apoyada en tecnología cuántica. Es importante ser exactos: esto es una petición de inversión en capacidad ofensiva estatal, no una alerta del CCN sobre la vulnerabilidad del cifrado que usan hoy empresas o administraciones. Lo incluimos aquí solo como dato de contexto, confirma que la variable cuántica a está en la agenda institucional española, no como respaldo directo a lo que exponemos a continuación.
En resumen: existe un consenso institucional real y verificable sobre la necesidad de empezar a planificar la migración post-cuántica. Ese consenso es general. Ninguna de estas fuentes menciona, prioriza o distingue específicamente a las plataformas de acceso privilegiado, escritorio virtual o gestión de identidades frente a otras categorías de tecnología.
Nuestra lectura: por qué PAM, VDI e IAM son una aplicación lógica de este marco
Lo que sigue es análisis de Cosmikal, no una cita de CCN, ENISA o NIST. Lo señalamos así porque nos parece la forma correcta de argumentar: el razonamiento debe sostenerse por sí mismo, no por la autoridad de quien lo dice.
Las plataformas de gestión de accesos privilegiados (PAM), escritorio virtual (VDI) y gestión de identidades (IAM) son, por diseño, custodias de credenciales, claves de sesión y canales cifrados hacia sistemas críticos. Si se acepta el marco HNDL, que un adversario puede capturar hoy tráfico cifrado para descifrarlo cuando la computación cuántica lo permita, entonces cualquier sistema cuya función sea proteger credenciales de larga vida útil encaja directamente en la definición de objetivo prioritario para ese tipo de captura. Esa es la cadena de razonamiento completa; no hay un eslabón adicional respaldado por una fuente externa que la sustituya.
Trasladado a una plataforma de accesos privilegiados, la preparación post-cuántica se concreta en cuatro frentes:
- Inventario criptográfico. Saber con exactitud qué algoritmos protegen cada sesión, cada vault de credenciales y cada canal de comunicación, en lugar de asumir que “está cifrado” equivale a “está resuelto”.
- Agilidad criptográfica en el cifrado de sesión. Diseñar los canales entre el usuario y el entorno de trabajo pensando en que los algoritmos deberán poder sustituirse sin rediseñar la arquitectura completa.
- Rotación y ciclo de vida corto de credenciales. Cuanto menor es el tiempo de vida útil de una credencial o de una clave de sesión, menor es la ventana que un atacante puede explotar aunque haya “cosechado” tráfico cifrado hoy.
- Vigilancia activa del roadmap de estandarización. Seguir de cerca los algoritmos que NIST y otros organismos consolidan como estándar, para no migrar dos veces ni adoptar de forma prematura una implementación que quede obsoleta.
Seguridad clásica frente a preparación post-cuántica: el contraste
El punto de partida de un PAM tradicional y el de una arquitectura preparada para la transición post-cuántica son distintos en un aspecto clave. Un enfoque clásico da por buena la criptografía vigente y trata su renovación como un evento puntual y lejano. Un enfoque preparado para la era post-cuántica trata la criptografía como un componente vivo del sistema, sujeto a inventario, rotación y sustitución igual que cualquier otro elemento de la superficie de exposición.
Esa diferencia no es cosmética. Un PAM que no sabe qué algoritmos protegen cada sesión no puede planificar su propia migración: queda expuesto a tener que rediseñarse por completo cuando el estándar post-cuántico esté cerrado, en lugar de incorporarlo de forma incremental.
Un ejemplo concreto: qué significa HNDL para una sesión privilegiada de hoy
Imaginemos una sesión remota habitual: un administrador accede hoy a un sistema crítico a través de un canal cifrado para realizar tareas de mantenimiento. Bajo el paradigma clásico, esa sesión se considera segura mientras el cifrado empleado se considere robusto en el momento de la conexión.
Bajo el paradigma HNDL, un adversario con capacidad de interceptar tráfico no necesita romper ese cifrado hoy: le basta con almacenarlo. Si esa sesión contenía credenciales, configuraciones o información que debe seguir siendo confidencial dentro de cinco o diez años, la seguridad “de hoy” no es la que importa. Lo que importa es si la organización sabe qué algoritmo protegió esa sesión, y si existe un plan para sustituirlo antes de que deje de ser fiable.
La transición post-cuántica no es una carrera, es una hoja de ruta
Ningún fabricante serio debería prometer hoy una certificación post-cuántica cerrada y universal: ese estándar todavía se está terminando de consolidar. Lo que sí es una responsabilidad razonable para cualquier proveedor es la preparación arquitectónica: construir sobre una base de agilidad criptográfica, mantener el inventario de dónde y cómo se cifra cada sesión, y seguir de cerca la evolución de los estándares para poder incorporarlos en cuanto estén maduros, sin tener que rediseñar el producto desde cero.
Cómo aborda Cosmikal esta transición en Endurance
Hoy no existe, en ningún organismo de certificación, un estándar cerrado de “certificación post-cuántica” para plataformas de acceso privilegiado: NIST ha finalizado los primeros algoritmos post-cuánticos, pero los esquemas de certificación de producto que los incorporen todavía se están construyendo. Ningún fabricante puede ofrecer hoy, de forma seria, ese tipo de certificación.
Endurance protege hoy las conexiones con cifrado extremo a extremo, y el vault de credenciales que gestiona está igualmente cifrado. La evolución hacia la criptografía post-cuántica forma parte de la hoja de ruta del producto, en línea con el proceso de estandarización que distintos organismos todavía están cerrando.
Ese nivel de exigencia conecta directamente con el ámbito de defensa: en junio de 2026, Endurance fue incorporado al NATO Information Assurance Product Catalogue (NIAPC), el catálogo de referencia de la OTAN para productos de seguridad de la información destinados a entornos de defensa, activos e infraestructuras críticas y contextos de alta sensibilidad, convirtiéndose en la única solución española incluida en el NIAPC en la categoría de Control de Accesos y en la segunda de procedencia europea en esa categoría.
Preguntas frecuentes
¿Qué es la criptografía post-cuántica?
Es el conjunto de algoritmos criptográficos diseñados para resistir ataques realizados con ordenadores cuánticos, llamados a sustituir progresivamente a esquemas como RSA o ECC, vulnerables a ese tipo de computación.
¿Qué significa Harvest Now, Decrypt Later (HNDL)?
Es la práctica de interceptar y almacenar hoy tráfico cifrado para descifrarlo en el futuro, cuando la computación cuántica sea capaz de romper el cifrado actual. No requiere que el ordenador cuántico exista ya: basta con que el dato capturado hoy siga siendo sensible dentro de varios años.
¿Han señalado el CCN, ENISA o NIST específicamente una categoría prioritaria frente a la amenaza cuántica?
No de forma explícita. Estas instituciones establecen un marco general de riesgo y recomiendan inventario y migración criptográfica para cualquier sistema cifrado. Que las plataformas de acceso privilegiado sean una aplicación especialmente relevante de ese marco es una lectura razonada a partir de lo que gestionan, credenciales y sesiones de larga vida útil, no una afirmación textual de esas fuentes.
¿Existe ya una certificación post-cuántica oficial para productos de ciberseguridad?
No. NIST ha finalizado los primeros algoritmos post-cuánticos, pero los esquemas de certificación de producto que los incorporen todavía están en desarrollo. Ningún fabricante puede ofrecer hoy, de forma seria, una certificación post-cuántica cerrada.
Fuentes citadas en este artículo:
- Infobae: “El Mando del Ciberespacio advierte de que faltan medios para garantizar la ciberseguridad” (8 julio 2026)
- Comunicado oficial de Cosmikal: incorporación de Endurance al NIAPC (junio 2026)
- ENISA: “Post-Quantum Cryptography: Current state and quantum mitigation”
- NIST: “NIST Releases First 3 Finalized Post-Quantum Encryption Standards” (FIPS 203/204/205)
- EUR-Lex: Reglamento (UE) 2024/2847, Cyber Resilience Act (texto oficial)




