6 min. de lectura<\/p>\n
El nuevo cat\u00e1logo de criterios del BSI C5:2026 cuenta con 168 criterios, 47 m\u00e1s que la versi\u00f3n anterior. Una novedad destaca por encima del resto: por primera vez, el BSI exige un manejo verificable de la amenaza cu\u00e1ntica. Inicialmente, se requiere una hoja de ruta demostrable, no una reconversi\u00f3n completa e inmediata. Quien cuente con una certificaci\u00f3n C5 o aspire a obtenerla, ya tiene una fecha sobre la mesa.<\/strong><\/p>\n Lo m\u00e1s importante en resumen<\/p>\n Relacionado:<\/span>Confidential Computing: por qu\u00e9 los datos cifrados tambi\u00e9n deben protegerse durante el procesamiento<\/a> \/<\/span> Falsas configuraciones en la nube: la causa m\u00e1s frecuente de brechas que nadie soluciona<\/a><\/p>\n El C5 no es un mero extra en el mundo de la nube en la regi\u00f3n DACH. Muchas licitaciones exigen una certificaci\u00f3n. Quien ofrezca servicios en la nube en el sector p\u00fablico o en el entorno financiero no puede eludirlo. La versi\u00f3n publicada en abril de 2026 supone la primera gran actualizaci\u00f3n desde 2020. Pasa de 121 a 168 criterios y los reorganiza en 17 \u00e1reas tem\u00e1ticas.<\/p>\n El aumento no responde a una burocracia innecesaria. Refleja los cambios en el panorama de amenazas y en la tecnolog\u00eda. Los contenedores se ejecutan hoy en casi cualquier stack, Confidential Computing ha salido de su nicho, y la cuesti\u00f3n cu\u00e1ntica ha dado el salto de la investigaci\u00f3n al cumplimiento normativo. Por primera vez, el cat\u00e1logo se publica tambi\u00e9n como un archivo YAML legible por m\u00e1quinas, lo que facilita notablemente el an\u00e1lisis de brechas frente al propio sistema de control.<\/p>\n El Cloud Computing Compliance Criteria Catalogue, abreviado C5, es un cat\u00e1logo de auditor\u00eda del BSI para la seguridad de los servicios en la nube. Un auditor de cuentas certifica, bas\u00e1ndose en el cat\u00e1logo, si un proveedor cumple los controles definidos. En la regi\u00f3n DACH, este certificado es una prueba consolidada para la adquisici\u00f3n de servicios en la nube.<\/p>\n<\/div>\n El malentendido m\u00e1s frecuente sobre Post-Quantum es el horizonte temporal. Todav\u00eda no existe un ordenador cu\u00e1ntico suficientemente grande que pueda romper los m\u00e9todos actuales. Sin embargo, el riesgo ya es real. La culpa la tiene un patr\u00f3n de ataque con un nombre poco vistoso: harvest now, decrypt later. Un atacante recoge hoy tr\u00e1fico de datos cifrados y espera hasta que la potencia de c\u00e1lculo adecuada est\u00e9 disponible.<\/p>\n Concretamente, Post-Quantum consiste en complementar m\u00e9todos cl\u00e1sicos como RSA y los basados en curvas el\u00edpticas con algoritmos resistentes a la computaci\u00f3n cu\u00e1ntica. El NIST finaliz\u00f3 en 2024 los primeros est\u00e1ndares, entre ellos ML-KEM para el intercambio de claves y ML-DSA para firmas. Los algoritmos est\u00e1n disponibles. El esfuerzo reside en la integraci\u00f3n en sistemas existentes, no en la disponibilidad de los algoritmos.<\/p>\n Para datos con larga vida de protecci\u00f3n, esto es un problema real. Historias cl\u00ednicas, contratos o datos de construcci\u00f3n deben seguir siendo confidenciales dentro de diez a\u00f1os. Quien hoy los protege solo con criptograf\u00eda de clave p\u00fablica cl\u00e1sica conf\u00eda en que el desarrollo cu\u00e1ntico sea lo suficientemente lento. El C5:2026 convierte esta suposici\u00f3n t\u00e1cita en un requisito verificable. Hasta d\u00f3nde debe llegar la protecci\u00f3n depende del modelo de procesamiento que describe el art\u00edculo sobre Confidential Computing<\/a>.<\/p>\n Una renovaci\u00f3n criptogr\u00e1fica no es un parche que se instala el d\u00eda de la fecha l\u00edmite. Necesita tiempo de preparaci\u00f3n. Este comienza con un inventario poco vistoso. Cuatro pasos determinan si la certificaci\u00f3n en 2027 transcurre sin contratiempos.<\/p>\n Nadie cambia su criptograf\u00eda en un fin de semana. En entornos grandes, un inventario se alarga durante meses porque el cifrado est\u00e1 en lugares donde nadie ha mirado en a\u00f1os. Precisamente por eso merece la pena empezar pronto. Quien comience en 2027 certificar\u00e1 bajo presi\u00f3n y, en caso de duda, pasar\u00e1 por alto el sistema heredado que acabar\u00e1 saltando en la auditor\u00eda. El C5:2026 fija una fecha para ello. Por experiencia, este es el punto en el que estas renovaciones realmente se ponen en marcha.<\/p>\n El cat\u00e1logo crece de 121 a 168 criterios e introduce por primera vez requisitos de criptograf\u00eda post-cu\u00e1ntica, Confidential Computing y seguridad en contenedores. Adem\u00e1s, se publica en formato legible por m\u00e1quina como YAML.<\/p>\n Las certificaciones Tipo 2 que comiencen el 1 de junio de 2027 o despu\u00e9s deber\u00e1n realizarse seg\u00fan el nuevo cat\u00e1logo. Los certificados en curso no se ven afectados inicialmente por ello.<\/p>\n Debido al patr\u00f3n \u00abrecopilar ahora, descifrar despu\u00e9s\u00bb. Los atacantes almacenan hoy datos cifrados y los descifran m\u00e1s tarde. Los datos con un largo periodo de protecci\u00f3n est\u00e1n as\u00ed ya amenazados en la actualidad.<\/p>\n Un inventario criptogr\u00e1fico completo. Sin una visi\u00f3n general de los algoritmos, certificados y bibliotecas utilizados, no se puede planificar ninguna migraci\u00f3n ni estimar ning\u00fan esfuerzo.<\/p>\n A ambos. Los proveedores deben cumplir los criterios; los clientes deber\u00edan exigir la hoja de ruta postcu\u00e1ntica de sus proveedores y ajustar su propia priorizaci\u00f3n de datos en consecuencia.<\/p>\n\n
Qu\u00e9 cambia el C5:2026 en el cat\u00e1logo de auditor\u00eda<\/h2>\n
Por qu\u00e9 Post-Quantum ahora pertenece a la hoja de ruta<\/h2>\n
Qu\u00e9 debe estar en la lista antes de la fecha l\u00edmite<\/h2>\n
\n
La mirada honesta al esfuerzo<\/h2>\n
Preguntas frecuentes<\/h2>\n
\u00bfQu\u00e9 hay de nuevo en el BSI C5:2026 respecto a la versi\u00f3n anterior?<\/h3>\n
\u00bfA partir de cu\u00e1ndo es vinculante el C5:2026?<\/h3>\n
\u00bfPor qu\u00e9 es relevante la criptograf\u00eda postcu\u00e1ntica ya ahora, si a\u00fan no existen ordenadores cu\u00e1nticos?<\/h3>\n
\u00bfCu\u00e1l es el primer paso pr\u00e1ctico para prepararse?<\/h3>\n
\u00bfAfecta C5:2026 solo a proveedores de nube o tambi\u00e9n a los clientes?<\/h3>\n
Sugerencias de lectura de la redacci\u00f3n<\/h3>\n