Sin fondos ni personal, pero con hackers cuánticos: el NIST intenta salvar Internet en EE. UU. (con poco éxito)
Un tercio de los especialistas de un laboratorio clave de TI en EE. UU. renunció tras un cambio de rumbo político.
El regulador estadounidense, que durante décadas fue considerado un pilar de la seguridad digital en Estados Unidos, empezó 2026 en un estado debilitado. El Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) ha perdido cientos de empleados, ha recortado presupuestos y ahora intenta al mismo tiempo mantener áreas clave en ciberseguridad, inteligencia artificial y la protección de datos frente a futuros ataques cuánticos.
Desde la llegada al poder de Donald Trump la agencia se ha reducido en más de 700 personas. Solo en el Laboratorio de Tecnología de la Información (ITL), que se ocupa de normas, pruebas y certificación de sistemas informáticos, renunciaron o salieron mediante programas de reducción voluntaria 89 especialistas de 289. El jefe de la unidad, Kevin Stine, reconoció que ahora es necesario redistribuir los recursos y concentrarse solo en las tareas más prioritarias, relacionadas con la nueva estrategia del NIST y la política de la administración.
Las limitaciones presupuestarias también ejercen presión adicional. El Congreso está preparando una reducción del financiamiento de los programas de laboratorio del NIST por otros 13 millones de dólares. Según Stine, frente a otras propuestas este es un «escenario relativamente moderado», pero aun así obliga a la agencia a restringir drásticamente la cartera de proyectos.
Las pérdidas de personal han afectado de forma especialmente dolorosa a una de las áreas clave del NIST: la verificación y validación de la criptografía para agencias federales. En el marco de este trabajo, el instituto, junto con el Centro Canadiense de Seguridad Cibernética, prueba el equipo y el software comercial que adquieren las instituciones estatales. El objetivo del proceso es asegurarse de que el cifrado en estos productos cumple realmente con las normas y se pueda confiar en él al trabajar con datos sensibles.
Antes, gran parte de la confianza en el sistema se basaba en verificaciones manuales. El personal analizaba cientos de páginas de documentación técnica, certificados e informes complejos en formato no estructurado. Esto requería un gran número de personas y tiempo. En promedio, una validación criptográfica ocupaba 348 días. No obstante, NIST logró reducir la lista de espera de casi 2 años en 2020 a aproximadamente 6 meses ahora.
La meta de la agencia es reducir el proceso a unos pocos días mediante la automatización y la optimización, pero el actual déficit de personal complica la tarea. El responsable del programa, David House, dice claramente que el progreso se ha logrado a pesar de las pérdidas de personal, y que sin ellas la lista de espera podría ser notablemente más corta.
La transición de Estados Unidos hacia la criptografía postcuántica añade urgencia adicional a la situación. Las agencias federales están abandonando gradualmente los algoritmos clásicos de cifrado a favor de los resistentes a la computación cuántica, que deben proteger los sistemas frente a ataques de futuros ordenadores cuánticos. Se planea retirar oficialmente del uso los algoritmos antiguos, como RSA, para 2030.
NIST ya ha probado el primer módulo criptográfico postcuántico y se prepara para apoyar la transición a gran escala de las entidades gubernamentales a las nuevas normas. Pero, según House, la tarea clave ahora es aliviar más rápidamente la lista de espera de validación, para que las nuevas soluciones pasen la comprobación y entren en uso cuanto antes. Esto será, precisamente, la base para la protección de los sistemas federales en los próximos años.