28. junio 2026 | Imprimir artículo | |

Post-Quantum se convertirá en obligatorio en la certificación en la nube

6 min. de lectura

El nuevo catálogo de criterios del BSI C5:2026 cuenta con 168 criterios, 47 más que la versión anterior. Una novedad destaca por encima del resto: por primera vez, el BSI exige un manejo verificable de la amenaza cuántica. Inicialmente, se requiere una hoja de ruta demostrable, no una reconversión completa e inmediata. Quien cuente con una certificación C5 o aspire a obtenerla, ya tiene una fecha sobre la mesa.

Lo más importante en resumen

  • C5 crece hasta los 168 criterios: El catálogo de 2020 contaba con 121. Se han añadido la criptografía poscuántica, Confidential Computing y la seguridad de contenedores.
  • La fecha límite es concreta: Las auditorías de tipo 2 que comiencen el 1 de junio de 2027 o después se regirán por el C5:2026. Puede parecer lejano, pero no lo es para una reconversión criptográfica.
  • La poscuántica ya tiene efectos hoy: Los datos cifrados que se filtren hoy podrán descifrarse más tarde con un ordenador cuántico. El riesgo surge mucho antes de que exista el primer ordenador cuántico viable para uso práctico.

Relacionado:Confidential Computing: por qué los datos cifrados también deben protegerse durante el procesamiento  /  Falsas configuraciones en la nube: la causa más frecuente de brechas que nadie soluciona

Qué cambia el C5:2026 en el catálogo de auditoría

El C5 no es un mero extra en el mundo de la nube en la región DACH. Muchas licitaciones exigen una certificación. Quien ofrezca servicios en la nube en el sector público o en el entorno financiero no puede eludirlo. La versión publicada en abril de 2026 supone la primera gran actualización desde 2020. Pasa de 121 a 168 criterios y los reorganiza en 17 áreas temáticas.

El aumento no responde a una burocracia innecesaria. Refleja los cambios en el panorama de amenazas y en la tecnología. Los contenedores se ejecutan hoy en casi cualquier stack, Confidential Computing ha salido de su nicho, y la cuestión cuántica ha dado el salto de la investigación al cumplimiento normativo. Por primera vez, el catálogo se publica también como un archivo YAML legible por máquinas, lo que facilita notablemente el análisis de brechas frente al propio sistema de control.

¿Qué es el BSI C5?

El Cloud Computing Compliance Criteria Catalogue, abreviado C5, es un catálogo de auditoría del BSI para la seguridad de los servicios en la nube. Un auditor de cuentas certifica, basándose en el catálogo, si un proveedor cumple los controles definidos. En la región DACH, este certificado es una prueba consolidada para la adquisición de servicios en la nube.

Por qué Post-Quantum ahora pertenece a la hoja de ruta

El malentendido más frecuente sobre Post-Quantum es el horizonte temporal. Todavía no existe un ordenador cuántico suficientemente grande que pueda romper los métodos actuales. Sin embargo, el riesgo ya es real. La culpa la tiene un patrón de ataque con un nombre poco vistoso: harvest now, decrypt later. Un atacante recoge hoy tráfico de datos cifrados y espera hasta que la potencia de cálculo adecuada esté disponible.

Concretamente, Post-Quantum consiste en complementar métodos clásicos como RSA y los basados en curvas elípticas con algoritmos resistentes a la computación cuántica. El NIST finalizó en 2024 los primeros estándares, entre ellos ML-KEM para el intercambio de claves y ML-DSA para firmas. Los algoritmos están disponibles. El esfuerzo reside en la integración en sistemas existentes, no en la disponibilidad de los algoritmos.

Para datos con larga vida de protección, esto es un problema real. Historias clínicas, contratos o datos de construcción deben seguir siendo confidenciales dentro de diez años. Quien hoy los protege solo con criptografía de clave pública clásica confía en que el desarrollo cuántico sea lo suficientemente lento. El C5:2026 convierte esta suposición tácita en un requisito verificable. Hasta dónde debe llegar la protección depende del modelo de procesamiento que describe el artículo sobre Confidential Computing.

Qué debe estar en la lista antes de la fecha límite

Una renovación criptográfica no es un parche que se instala el día de la fecha límite. Necesita tiempo de preparación. Este comienza con un inventario poco vistoso. Cuatro pasos determinan si la certificación en 2027 transcurre sin contratiempos.

  1. Crear un inventario criptográfico. Quien no sabe dónde se utilizan qué métodos, no puede migrar nada. Bibliotecas, certificados, protocolos y módulos hardware deben figurar en una lista. Este trabajo es tedioso y el paso más importante.
  2. Lograr agilidad criptográfica. Los sistemas en los que el método de cifrado está cableado de forma fija solo pueden migrarse con esfuerzo. Donde el algoritmo es intercambiable, la migración pasa a ser una cuestión de configuración, no un proyecto.
  3. Priorizar los datos según su vida útil de protección. No todo debe volverse cuántico-resistente primero. Los datos con larga confidencialidad van antes que los datos de sesión efímeros. Esta priorización ahorra presupuesto de migración.
  4. Exigir hojas de ruta a los proveedores. Quien contrata servicios en la nube debería preguntar ahora por el plan Post-Quantum del proveedor. Un certificado solo es tan bueno como la base que lo sustenta.
1 de junio de 2027
A partir de este día, las certificaciones Tipo 2 que comiencen nuevas se realizarán según C5:2026. Para una renovación criptográfica, este es un plazo ajustado.
Fuente: BSI, C5:2026

La mirada honesta al esfuerzo

Nadie cambia su criptografía en un fin de semana. En entornos grandes, un inventario se alarga durante meses porque el cifrado está en lugares donde nadie ha mirado en años. Precisamente por eso merece la pena empezar pronto. Quien comience en 2027 certificará bajo presión y, en caso de duda, pasará por alto el sistema heredado que acabará saltando en la auditoría. El C5:2026 fija una fecha para ello. Por experiencia, este es el punto en el que estas renovaciones realmente se ponen en marcha.

Preguntas frecuentes

¿Qué hay de nuevo en el BSI C5:2026 respecto a la versión anterior?

El catálogo crece de 121 a 168 criterios e introduce por primera vez requisitos de criptografía post-cuántica, Confidential Computing y seguridad en contenedores. Además, se publica en formato legible por máquina como YAML.

¿A partir de cuándo es vinculante el C5:2026?

Las certificaciones Tipo 2 que comiencen el 1 de junio de 2027 o después deberán realizarse según el nuevo catálogo. Los certificados en curso no se ven afectados inicialmente por ello.

¿Por qué es relevante la criptografía postcuántica ya ahora, si aún no existen ordenadores cuánticos?

Debido al patrón «recopilar ahora, descifrar después». Los atacantes almacenan hoy datos cifrados y los descifran más tarde. Los datos con un largo periodo de protección están así ya amenazados en la actualidad.

¿Cuál es el primer paso práctico para prepararse?

Un inventario criptográfico completo. Sin una visión general de los algoritmos, certificados y bibliotecas utilizados, no se puede planificar ninguna migración ni estimar ningún esfuerzo.

¿Afecta C5:2026 solo a proveedores de nube o también a los clientes?

A ambos. Los proveedores deben cumplir los criterios; los clientes deberían exigir la hoja de ruta postcuántica de sus proveedores y ajustar su propia priorización de datos en consecuencia.

Sugerencias de lectura de la redacción

Más de la red MBF Media

cloudmagazin

Qué proveedores ofrecen cifrado de datos

mybusinessfuture

Cuando la propia actualización se convierte en puerta de entrada

digital-chiefs

Servicios de seguridad gestionados: el CISO no es el único responsable

Fuente de la imagen: generada por IA (junio de 2026)

Imprimir artículo
Alec Chizhik

Sobre el autor: Alec Chizhik

Más artículos de

También disponible en

EnglishDeutsch
Una revista de Evernine Media GmbH