SoK: Post-Quantum Cryptography (PQC) Implementation in Software Systems

Este artículo de Sistematización del Conocimiento (SoK) analiza los desafíos de la implementación de la Criptografía Post-Cuántica (PQC) a través del marco de Humano, Organización y Tecnología (HOT), revelando un desequilibrio crítico donde los factores humanos y organizacionales están subexplorados, y propone el modelo PQC-HOT para guiar una transformación socio-tecnológica coordinada para una integración exitosa.

Lo esencial

El panorama general: Se acerca una tormenta cuántica

Imagina que el mundo de la seguridad digital es como una fortaleza que protege tu cuenta bancaria, tus contraseñas y tus mensajes privados. En este momento, las cerraduras de las puertas están hechas de un metal muy resistente (el cifrado actual como RSA).

Sin embargo, los científicos están construyendo un nuevo tipo de "supertaladro" llamado Computadora Cuántica. Una vez que este taladro sea lo suficientemente potente, podrá atravesar esas cerraduras de metal en segundos, dejando tus datos totalmente expuestos.

Para detener esto, los criptógrafos han inventado nuevas cerraduras súper resistentes hechas de un material diferente llamado Criptografía Post-Cuántica (PQC). Estas nuevas cerraduras están diseñadas para que incluso el supertaladro no pueda romperlas.

El Problema: Tenemos los planos de estas nuevas cerraduras, pero no sabemos cómo instalarlas realmente en los millones de edificios existentes (sistemas de software) que usamos todos los días. Este artículo es una investigación masiva sobre por qué instalar estas nuevas cerraduras es tan difícil.

---

La investigación: Observando el "Taburete de tres patas"

Los autores se dieron cuenta de que la gente solo estaba mirando el problema a través de un lente: la Tecnología. Se preguntaban: "¿Es correcta la matemática?" y "¿Es rápido el código?".

Pero los autores argumentan que instalar estas nuevas cerraduras es como intentar equilibrar un taburete de tres patas. Si una pata falta o está tambaleante, todo el conjunto se cae. Ellos llaman a estas tres patas HOT:

1. H - Human (Humano): Las personas (desarrolladores) que tienen que construir e instalar las cerraduras.
2. O - Organisation (Organización): Las empresas y gobiernos que pagan por ello, crean las reglas y gestionan la transición.
3. T - Technology (Tecnología): La matemática real, el código y las herramientas utilizadas para fabricar las cerraduras.

Lo que descubrieron: El "Sesgo Tecnológico"

Los investigadores comenzaron con un montón inicial de más de 10,000 publicaciones sobre el tema. A través de un proceso riguroso y sistemático, filtraron esta inmensa cantidad de información hasta seleccionar solo 29 estudios clave para su análisis final. Esto es lo que descubrieron al examinar esos 29 trabajos:

• La pata "Tecnológica" es enorme: Casi toda la investigación se centra en la Tecnología. La gente está ocupada inventando mejor matemática, escribiendo librerías de código y probando si los algoritmos funcionan. Es como tener un almacén lleno de planos de cerraduras perfectas.
• La pata "Humana" es diminuta: Hay muy poca investigación sobre cómo enseñar a los desarrolladores a usar estas nuevas cerraduras. La mayor parte de la formación es para estudiantes universitarios, no para los ingenieros de software que trabajan en las empresas. Es como tener los planos pero no un manual de instrucciones para el equipo de construcción.
• La pata "Organizacional" está totalmente ausente: El análisis reveló algo alarmante: no se encontró ni un solo estudio que abordara explícitamente la gobernanza, la planificación organizacional o el cumplimiento regulatorio para la PQC. Es como tener las cerraduras y al equipo, pero sin un director de proyecto que les diga cuándo empezar, quién paga o cómo gestionar el cambio.

La Analogía: Imagina que estás intentando reemplazar el motor de un coche mientras todavía circula por la autopista.

• Tecnología es el nuevo motor.
• Humano es el mecánico que intenta cambiarlo.
• Organización es el control de tráfico y el presupuesto para comprar el nuevo motor.
• El hallazgo del artículo: Tenemos un gran motor nuevo (Tecnología), pero no hemos entrenado a los mecánicos (Humano) y, lo que es más grave, no existe ningún plan de tráfico ni presupuesto (Organización). Si simplemente montamos el motor sin las otras dos partes, el coche chocará.

El peligro "Transversal"

El artículo explica que estos problemas no se mantienen en sus propios carriles. Se mezclan y empeoran las cosas. Esto se llama Acoplamiento Socio-Tecnológico.

• Ejemplo: Si las herramientas de Tecnología son confusas (mal diseño), el desarrollador Humano se estresa y comete un error.
• Resultado: Debido a que la Organización no tenía un plan de formación o de revisión del trabajo (porque, como vimos, no hay estudios sobre esto), ese error pasa desapercibido hasta que el sistema falla.

Los autores llaman a esto un "círculo vicioso". Una herramienta débil provoca un error humano, y la falta total de apoyo organizacional permite que ese error se convierta en un desastre.

La Solución: El Modelo PQC-HOT

Para solucionar esto, los autores proponen una nueva forma de pensar llamada el Modelo PQC-HOT.

Piensa en este modelo como un apretón de manos de tres vías. Para que la seguridad Post-Cuántica funcione, no puedes limitarte a actualizar la matemática. Debes actualizar las tres al mismo tiempo:

1. Construir mejores herramientas que sean fáciles de usar para los humanos (Tecnología).
2. Entrenar a los humanos para que entiendan cómo usarlas de forma segura (Humano).
3. Crear planes empresariales que den tiempo, dinero y reglas para el cambio (Organización).

La Conclusión Principal

El artículo concluye que la transición a la seguridad Post-Cuántica no es solo un problema matemático. Es un problema de personas y gestión disfrazado de problema matemático.

Si solo nos enfocamos en la "cerradura" (el código) e ignoramos al "cerrajero" (el desarrollador) y al "dueño del edificio" (la organización), la nueva seguridad fallará. Para tener éxito, debemos tratar la transición como una revisión completa del sistema donde el código, las personas y los planes de negocio trabajen juntos en armonía.

Resumen técnico

Resumen Técnico: SoK sobre la Implementación de la Criptografía Post-Cuántica (PQC) en Sistemas de Software

1. Planteamiento del Problema

La transición a la Criptografía Post-Cuántica (PQC) es crítica para proteger los sistemas de software contra futuras amenazas habilitadas por computación cuántica, tales como las planteadas por los algoritmos de Shor y Grover. Si bien existen algoritmos PQC estandarizados, su integración segura en sistemas de software del mundo real sigue siendo un desafío significativo. La investigación actual se centra predominantemente en el diseño algorítmico, las pruebas de seguridad y la evaluación del rendimiento. Sin embargo, este enfoque proporciona una visión limitada sobre los factores sociotecnológicos más amplios necesarios para una implementación exitosa.

El problema central identificado es que la implementación de PQC se trata a menudo como una migración puramente tecnológica. En realidad, implica interacciones complejas entre mecanismos criptográficos, la experiencia de los desarrolladores y la gobernanza organizacional. La literatura existente carece de una síntesis integrada de cómo estas dimensiones —Humana, Organizacional y Tecnológica (HOT, por sus siglas en inglés)— influyen colectivamente en los resultados de la implementación. En consecuencia, las prácticas actuales se caracterizan por enfoques fragmentados, integraciones experimentales y una falta de orientación unificada, lo que aumenta el riesgo de configuraciones erróneas y despliegues inseguros.

2. Metodología

Este estudio emplea un enfoque de Sistematización del Conocimiento (SoK), siguiendo el protocolo de dos etapas de Kitchenham y Charters (planificación y ejecución) para asegurar una revisión estructurada y reproducible.

• Definición del Alcance: La revisión utiliza el marco PICOC (Población, Intervención, Comparación, Resultado, Contexto) para definir el alcance, centrándose en metodologías, marcos de trabajo, directrices, herramientas e intervenciones educativas para PQC en el desarrollo de software.
• Fuentes de Datos: La literatura fue recuperada de las principales bibliotecas digitales (ACM, IEEE Xplore, Springer, etc.) y de los principales eventos de ciberseguridad (USENIX, CCS, etc.).
• Criterios de Selección: La revisión incluyó publicaciones revisadas por pares en inglés publicadas entre enero de 2020 y febrero de 2026, con criterios de inclusión específicos para estudios que aborden la implementación de PQC en software. Se incluyeron dos estudios excepcionales de 2017 y 2019 mediante el método de bola de nieve (snowballing) debido a su relevancia.
• Proceso de Selección: Siguiendo el marco PRISMA 2020, el proceso consistió en tres fases: búsqueda en bibliotecas digitales, búsqueda dirigida en conferencias/revistas y bola de nieve hacia atrás y hacia adelante. De un conjunto inicial de más de 10,000 publicaciones, 29 estudios fueron seleccionados para el análisis final.
• Análisis: Se aplicó un análisis temático de seis fases (Braun y Clarke) para extraer y sintetizar los datos. Los hallazgos se mapearon sistemáticamente en el marco Humano-Organización-Tecnología (HOT) para analizar los enfoques y desafíos de implementación a través de estas tres dimensiones.

3. Contribuciones Clave

El artículo realiza cuatro contribuciones primarias al campo de la implementación de PQC:

1. Síntesis Sociotecnológica: Los autores mapean los enfoques de implementación de PQC existentes (directrices, marcos de trabajo, herramientas e intervenciones educativas) en la perspectiva HOT, revelando un desequilibrio estructural donde las soluciones tecnológicas predominan mientras que las consideraciones humanas y organizacionales están subexploradas.
2. El Modelo PQC-HOT: Se introduce un marco conceptual para explicar las interdependencias entre los factores humanos, organizacionales y tecnológicos. Este modelo conceptualiza la implementación de PQC no como actividades aisladas, sino como un sistema sociotecnológico donde los mecanismos criptográficos, las capacidades de los desarrolladores y los procesos organizacionales determinan conjuntamente los resultados de seguridad.
3. Clasificación por Capas de los Desafíos: El estudio construye una clasificación por capas de los desafíos de implementación, revelando su distribución a través de las dimensiones HOT. Esto extiende las categorizaciones fragmentadas previas al resaltar las restricciones transversales e interdependientes.
4. Agenda de Investigación Consolidada: Basándose en las brechas identificadas, el artículo esboza direcciones de investigación accionables para avanzar en una implementación de PQC efectiva y orientada a la práctica, enfatizando la necesidad de estrategias integradas y conscientes del ciclo de vida.

4. Resultados Clave

4.1. RQ1: Enfoques de Implementación

La revisión identificó cuatro categorías de intervenciones, las cuales están fuertemente sesgadas hacia la dimensión Tecnológica:

• Directrices (G1): Se centran principalmente en los fundamentos matemáticos y las pruebas de seguridad formal (Tecnológica).
• Marcos de Trabajo (F1–F3): Incluyen marcos de integración, extensiones de autoridades de certificación y marcos de prueba/evaluación, todos operando principalmente dentro de la dimensión Tecnológica.
• Herramientas y Librerías (T1–T4): La categoría más relevante operativamente, que incluye librerías de implementación, complementos de protocolos, herramientas de prueba y herramientas de migración. Estas son casi exclusivamente Tecnológicas.
• Intervenciones Educativas (E1–E2): Cubren estrategias pedagógicas tradicionales y activas. Aunque abordan la dimensión Humana, se dirigen principalmente a audiencias académicas y a la comprensión teórica, más que a la práctica profesional del desarrollador.
• Dimensión Organizacional: Notablemente, cero estudios abordaron explícitamente las estructuras de gobernanza, la planificación organizacional o el cumplimiento regulatorio para la implementación de PQC.

4.2. RQ2: Desafíos de Implementación

El análisis revela que los desafíos no son aislados, sino que emergen de desalineaciones estructurales a través de las dimensiones HOT. Están organizados en cinco capas principales, con una dinámica adicional de interdependencia:

1. Vulnerabilidades a Nivel de Criptografía e Implementación: Los riesgos surgen de debilidades algorítmicas, implementaciones inmaduras y ataques de canal lateral. Incluso los algoritmos matemáticamente seguros pueden fallar debido a errores de codificación, optimizaciones inseguras o falta de ejecución de tiempo constante.
2. Restricciones de Sistema y de Ciclo de Vida: La PQC introduce una sobrecarga significativa (tamaños de clave, memoria, computación) que entra en conflicto con las arquitecturas heredadas (legacy). La falta de agilidad criptográfica en los sistemas existentes dificulta la migración incremental, requiriendo a menudo una refactorización extensa.
3. Riesgos de Herramientas y Ecosistema: El ecosistema está fragmentado, con interoperabilidad limitada entre herramientas y librerías. El diseño deficiente de las API, los valores predeterminados inseguros y la falta de mecanismos de validación estandarizados aumentan la probabilidad de error del desarrollador.
4. Barreras Organizacionales y de Gobernanza: Las organizaciones enfrentan incertidumbre respecto a la estandarización, los cronogramas de migración y el cumplimiento regulatorio. Existe una falta de modelos de madurez o marcos de gobernanza estructurados para guiar las transiciones a gran escala.
5. Vulnerabilidades Centradas en el Humano: Existe una desconexión entre el conocimiento teórico y las habilidades de implementación práctica. Los desarrolladores a menudo carecen de la experiencia específica requerida para la codificación segura de PQC (por ejemplo, seguridad de memoria, selección de parámetros), y las iniciativas educativas rara vez abordan las necesidades profesionales orientadas a la práctica.

Además de estas cinco capas, el estudio destaca que los riesgos no permanecen contenidos dentro de una sola capa; se propagan a través de las dimensiones mediante desafíos transversales. Por ejemplo, un mal diseño de herramientas (Tecnológico) aumenta la carga cognitiva y las tasas de error para los desarrolladores (Humano), mientras que una gobernanza débil (Organizacional) no logra mitigar estos problemas. Estas interdependencias crean restricciones que cruzan las cinco capas y las dimensiones HOT, amplificando los riesgos en cascada.

5. Significado y Reivindicaciones

El artículo sostiene que la implementación de PQC es fundamentalmente una transformación sociotecnológica más que una simple actualización criptográfica. El significado de este trabajo radica en:

• Reencuadrar el Problema: Cambia la perspectiva de un desafío puramente algorítmico a un problema de ingeniería sistémica que involucra la arquitectura de software, el comportamiento del desarrollador y la estrategia organizacional.
• Exponer Desequilibrios: Al aplicar el marco HOT, el estudio demuestra que el cuerpo de conocimiento actual está fuertemente sesgado hacia las soluciones tecnológicas, dejando brechas críticas en la preparación organizacional y el desarrollo de capacidades humanas.
• Introducir el Modelo PQC-HOT: Este modelo proporciona una lente estructurada para analizar cómo las desalineaciones entre dimensiones crean riesgos en cascada. Argumenta que la implementación segura requiere avances coordinados en las tres dimensiones; las mejoras tecnológicas aisladas son insuficientes.
• Guiar el Trabajo Futuro: El artículo afirma que la investigación futura debe ir más allá de los enfoques centrados en la tecnología para desarrollar marcos integrados y conscientes del ciclo de vida que aborden la usabilidad, la gobernanza y la experiencia del desarrollador. Hace un llamado al desarrollo de modelos de madurez organizacional, herramientas educativas orientadas a la práctica y abstracciones de diseño seguro para permitir un despliegue de PQC sostenible.

Los autores concluyen que sin abordar las interdependencias entre los factores humanos, organizacionales y tecnológicos, incluso las soluciones PQC teóricamente seguras pueden fallar en lograr un despliegue confiable, escalable y seguro en los sistemas de software del mundo real.