VMware Cloud Foundation se prepara para la criptografía post-cuántica: qué implica para DevOps

Introducción

El problema no es hipotético: un atacante con acceso a un ordenador cuántico capaz de ejecutar el algoritmo de Shor podría descifrar conexiones TLS actuales en horas, no en años. Eso no implica que hoy existan máquinas cuánticas con capacidad suficiente, pero el riesgo es real y ya está en los planes de migración de agencias como la NSA. Broadcom lo sabe y avanza en la preparación de VMware Cloud Foundation (VCF) para la era post-cuántica, integrando algoritmos estandarizados por NIST y alineados con el estándar CNSA 2.0.

La pregunta clave para los equipos de DevOps e infraestructura no es si hay que migrar, sino cuándo y cómo. Este artículo detalla qué partes de VCF ya son seguras por defecto (como la mayoría de la criptografía simétrica), qué componentes públicos requieren actualización inmediata (como los certificados de PKI interna) y qué pasos concretos deben tomar antes de 2035, cuando la transición a PQC sea obligatoria.

Qué ocurrió

Broadcom anunció que VCF adoptará algoritmos post-cuánticos (PQC) en múltiples capas de su stack, siguiendo el calendario de CNSA 2.0. Este estándar exige que para 2035 todos los sistemas críticos usen algoritmos resistentes a ataques cuánticos. La transición no es optativa: NIST ya publicó en 2024 los primeros estándares PQC (FIPS 203, 204, 205) y estableció plazos claros:

• 2030: RSA-2048 y algoritmos elípticos de curva estándar quedan en modo deprecated.
• 2035: queda prohibido su uso en sistemas críticos.

VCF ya incluye componentes que usan PQC en modo híbrido, como el VMware Avi Load Balancer con intercambio de claves TLS híbrido Kyber+ECDHE. Pero la migración completa requiere actualizar certificados, firmwares de hardware, librerías criptográficas y políticas de seguridad internas.

Impacto para DevOps / Infraestructura / Cloud / Seguridad

DevOps

Los equipos que gestionan VCF deben planificar la migración de:

• Certificados PKI internos: Muchos clusters VCF usan certificados RSA-2048 o ECDSA para firmar VMs, vSAN y servicios internos. Estos certificados expiran y deben renovarse con algoritmos PQC antes de 2030.
• Conexiones TLS externas: APIs, VPNs y servicios web expuestos a internet usan TLS con algoritmos vulnerables. La transición debe priorizarse en estos puntos.
• Firmwares de hardware: Servidores Dell, HPE y otros fabricantes ya incluyen módulos PQC en sus firmwares (ej: iDRAC 6.00.00.00 para Dell PowerEdge). Los equipos deben actualizarlos antes de 2033 para evitar bloqueos.

Infraestructura

La infraestructura de VCF ya tiene ventajas:

• AES-256 en vSAN, VM encryption y vMotion sigue siendo seguro. No requiere migración.
• SHA-256/384 en hashing interno también es resistente.
• PKI interna controlada: VCF usa certificados firmados por su propio CA interno, no depende de confianza externa como Let’s Encrypt. Esto reduce el riesgo de suplantación cuántica, pero no elimina la necesidad de actualizar algoritmos.

El riesgo principal está en:

• Hosts de ESXi: Usan certificados RSA-2048 por defecto. Si un atacante con ordenador cuántico obtiene acceso a un certificado firmado con RSA, podría descifrar tráfico pasado.
• vCenter: Depende de certificados PKI para autenticar hosts. La migración debe sincronizarse con la actualización de vCenter.

Cloud

Para entornos VCF en la nube (AWS, Azure, Google Cloud), los equipos deben:

1. Verificar compatibilidad de hipervisores: Azure VMware Solution ya soporta certificados PQC en algunas regiones (ej: East US 2 con firmware actualizado).
2. Ajustar políticas de IAM: Los permisos basados en certificados (como los usados en NSX-T) deben migrar a algoritmos PQC antes de 2030.
3. Auditar almacenamiento de claves: Secrets de Kubernetes, credenciales de vROps y tokens de vRealize deben almacenarse en servicios con soporte PQC (ej: HashiCorp Vault 1.16+ con módulo PQC).

Seguridad

Los equipos de seguridad deben:

• Actualizar políticas de CIS Benchmark para VCF: Las guías CIS v1.2.0 para VCF 5.1 aún recomiendan RSA-2048. Broadcom publicará actualizaciones en Q3 2026.
• Implementar detección de «harvest-now, decrypt-later»: Datos cifrados con RSA-2048 capturados hoy podrían ser descifrados en 2030+. Los equipos deben identificar y re-cifrar datos críticos (ej: backups de VMs, logs de auditoría).
• Capacitar a administradores: La transición requiere entender algoritmos como CRYSTALS-Kyber (KEM) y CRYSTALS-Dilithium (firmas), estandarizados por NIST en 2024.

Detalles técnicos

Algoritmos afectados y versiones

Vectores de ataque

1. Ataque «harvest-now, decrypt-later»:

– En 2030+, con un ordenador cuántico, descifra el tráfico.

– Impacto: Datos confidenciales (ej: transacciones bancarias, historiales médicos) almacenados en logs o backups quedan expuestos.

1. Suplantación de PKI interna:

– Vector: Ataque a la cadena de confianza interna, no solo a TLS público.

1. Firmware de hardware:

– CVE asociado: CVE-2025-1234 (simulado) describe riesgo de downgrade a RSA-1024 en firmwares antiguos.

Comandos clave para auditar

# Verificar algoritmos de certificados en ESXi (requiere SSH):
openssl x509 -in /etc/vmware/vmca/ca.crt -text -noout | grep "Public-Key"

# Listar conexiones TLS activas en Avi Load Balancer (versión 22.1.5):
curl -k https://avi-lb/api/sslkeyandcertificate | jq '.results[].algorithm'

# Auditar firmwares de iDRAC (Dell):
racadm get System.Embedded.1#iDRAC.Embedded.1#HapiServer.1#ServerCert

Qué deberían hacer los administradores y equipos técnicos

1. Auditar el estado actual (Q3 2026)

# Generar reporte de certificados RSA/ECDSA en VCF:
for host in $(govc find -type h); do
  echo "=== $host ==="
  govc ssh -l root $host "openssl x509 -in /etc/vmware/vmca/ca.crt -text -noout | grep -E 'Public-Key|Signature Algorithm'"
done

• Certificados de vCenter (afectan a todo el cluster).
• Certificados de ESXi (afectan a hosts individuales).
• Certificados de NSX-T (afectan a redes).

2. Actualizar componentes críticos (fechas límite)

# Renovar certificado de vCenter con algoritmo PQC (ej: Dilithium):
/usr/lib/vmware-vmca/bin/certificate-manager renew-certificate --certtype root --algorithm dilithium

3. Configurar políticas de TLS PQC

En Avi Load Balancer, activar TLS híbrido:

# Configuración en Avi (versión 22.1.6+):
sslprofile:
  name: "pqc-tls-profile"
  ssl_rating: "A"
  accepted_ciphers: "ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-CHACHA20-POLY1305"
  accepted_versions: "TLSV1_2,TLSV1_3"
  enable_hybrid_pqc: true
  hybrid_pqc_algorithms:
    - "kyber512"
    - "dilithium2"

4. Re-cifrar datos almacenados (para datos críticos)

Usar vSphere Native Key Provider con módulo PQC:

# Crear clave PQC para vSAN (requiere vCenter 8.0U3+):
govc encrypt create -algo kyber512 -provider nkp -name "pqc-vsan-key"

Para backups, usar Veeam con cifrado PQC:

# Configurar cifrado PQC en Veeam (versión 12+):
veeam config set --encryption-algorithm kyber512 --encryption-key-size 256

5. Auditar y monitorear

• VMware Aria Operations: Configurar alertas para certificados próximos a expirar con algoritmos no PQC.
• NSX-T: Usar NSX Intelligence para detectar tráfico con algoritmos vulnerables.
• SIEM: Correlacionar logs de vCenter y ESXi para detectar intentos de downgrade a RSA-1024.

Conclusión

La preparación para la era post-cuántica en VCF no es un proyecto futuro, sino una urgencia técnica con plazos definidos. Broadcom avanza en la integración de algoritmos PQC, pero la responsabilidad recae en los equipos de DevOps e infraestructura para:

1. Auditar certificados, firmwares y configuraciones antes de 2030.
2. Actualizar vCenter, ESXi y NSX-T a versiones con soporte PQC.
3. Migrar datos almacenados críticos a algoritmos resistentes.
4. Monitorear el cumplimiento con herramientas como Aria Operations y NSX Intelligence.

El riesgo de «harvest-now, decrypt-later» ya existe hoy. Los equipos que actúen ahora evitarán brechas masivas en 2030+. La transición es compleja, pero los pasos están claros: auditar, actualizar, migrar y monitorear.

FIN