Por Javier Bustillo, Director General de CAMERFIRMA.
«A diferencia de una computadora clásica, que es como un libro que lee cada página una por una, para computadora cuántica es como si todas las páginas se leyeran al mismo tiempo». Anónimo (Metáfora de la superposición).
Durante años, la computación cuántica ha ocupado un espacio ambiguo entre la promesa científica y la especulación tecnológica, aún para muchos, sigue siendo una conversación reservada a divulgadores científicos, universidades o grandes compañías tecnológicas. Sin embargo, desde la perspectiva de la ciberseguridad, creo que ha llegado el momento de abandonar esta visión.
La pregunta ya no es cuándo existirán ordenadores cuánticos capaces de comprometer los sistemas criptográficos actuales, la verdadera pregunta es si nuestras organizaciones están preparándose hoy para un escenario que transformará los fundamentos de la confianza digital a no mucho tardar.
Y, en términos generales, la respuesta es no.
La economía y seguridad digital se sostienen sobre un elemento que rara vez ocupa titulares: la criptografía. Cada vez que firmamos electrónicamente un documento, realizamos una transacción bancaria, accedemos a una plataforma corporativa o intercambiamos información sensible, estamos depositando nuestra confianza en algoritmos matemáticos que garantizan autenticidad, integridad y confidencialidad.
Durante décadas, esos mecanismos han demostrado ser extraordinariamente robustos, sin embargo, la computación cuántica amenaza con alterar ese equilibrio.
Los algoritmos criptográficos de clave pública que sustentan buena parte de Internet y de los servicios digitales actuales podrían quedar expuestos ante futuras capacidades cuánticas. Aunque ese momento aún no ha llegado, sería un error estratégico esperar a que la amenaza se materialice para actuar.
De hecho, el riesgo ya existe.
Los expertos denominan «harvest now, decrypt later» (cosechar ahora, descifrar después) a la práctica de interceptar y almacenar información cifrada hoy para descifrarla en el futuro, cuando la tecnología cuántica permita romper las protecciones actuales. Esto significa que información sensible que debe mantenerse protegida durante diez, quince o veinte años podría estar siendo comprometida en este mismo instante sin que las organizaciones sean plenamente conscientes de ello.
Por eso, probablemente la criptografía post-cuántica debe abordarse bajo la óptica de la gestión del riesgo empresarial y no únicamente como un desafío tecnológico.
Cuando hablamos de Post-Quantum Cryptography (PQC), hablamos de algoritmos diseñados para resistir tanto ataques convencionales como cuánticos. Y hablamos también de certificados digitales capaces de sostener la confianza digital en un nuevo escenario tecnológico.
Sin embargo, centrar el debate exclusivamente en la tecnología sería simplificar excesivamente el problema.
En mi opinión, el mayor desafío que afrontan las organizaciones no es la futura llegada de los ordenadores cuánticos, el verdadero reto es que muchas compañías desconocen dónde reside hoy su dependencia criptográfica.
Pocas organizaciones disponen de un inventario completo de certificados, algoritmos, claves y sistemas de autenticación desplegados en sus infraestructuras. En muchos casos, la criptografía se encuentra integrada en aplicaciones, dispositivos industriales, plataformas cloud o ecosistemas IoT que han evolucionado durante años sin una visión centralizada.
La transición hacia la era post-cuántica obligará a revisar todo ese ecosistema.
Por ello, las empresas que comiencen ahora a identificar activos críticos, evaluar dependencias criptográficas y diseñar hojas de ruta de migración partirán con una ventaja significativa frente a aquellas que decidan esperar.
La experiencia nos demuestra que las grandes transformaciones tecnológicas nunca suceden de forma repentina. Ocurrió con la digitalización, con el cloud, con la identidad electrónica o con la adopción de arquitecturas Zero Trust. Está sucediendo ahora mismo con la adopción de la IA en todas sus formas y colores. Y en el caso de la transición criptográfica será otro proceso gradual, pero precisamente por eso, requiere comenzar cuanto antes.
También observamos una creciente movilización institucional.
La Agencia de la Unión Europea para la Ciberseguridad (ENISA) lleva tiempo alertando sobre la necesidad de preparar esta transición, y así, sus recomendaciones insisten en la importancia de desarrollar inventarios criptográficos, identificar riesgos y planificar estrategias de migración. Paralelamente, organismos internacionales como el NIST están definiendo los estándares que marcarán la próxima generación de algoritmos resistentes a la computación cuántica.
Pero más allá de las recomendaciones, Europa está comenzando a trasladar esta preocupación al ámbito regulatorio. Un ejemplo significativo es la Ley de Ciber-resiliencia Europea (Cyber Resilience Act, CRA), que será plenamente aplicable a partir de 2027 y que establece requisitos de ciberseguridad para productos con elementos digitales durante todo su ciclo de vida. Aunque la norma no menciona explícitamente la criptografía post-cuántica, sí exige que los mecanismos de seguridad sean capaces de responder a amenazas emergentes y evolucionar conforme al estado del arte tecnológico. En la práctica, esto supone que fabricantes y organizaciones deberán comenzar a incorporar criterios de criptoagilidad y preparar sus infraestructuras para un escenario en el que la computación cuántica deje de ser una hipótesis para convertirse en una realidad.
La dirección es inequívoca: el ecosistema digital mundial ya está preparándose para el cambio.
Desde Europa tenemos además una responsabilidad adicional: la confianza digital se ha convertido en un activo estratégico para la competitividad, la resiliencia económica y la soberanía tecnológica, por ello, la conversación sobre criptografía post-cuántica no debe limitarse a especialistas en seguridad o departamentos de TI, debe formar parte de las agendas de dirección, de los consejos de administración y de las estrategias de transformación digital.
La historia de la ciberseguridad está llena de organizaciones que reaccionaron cuando la amenaza ya era visible. La computación cuántica nos ofrece una oportunidad poco habitual: conocemos el riesgo antes de que se materialice plenamente, la cuestión es si tendremos la visión necesaria para actuar a tiempo.
Esperar a que la normativa obligue a actuar sería un error estratégico. Cuando marcos como la CRA comiencen a exigir una mayor resiliencia frente a amenazas emergentes, las organizaciones más preparadas serán aquellas que hayan iniciado la transición con antelación, y en materia de criptografía post-cuántica, como en tantas otras áreas de la ciberseguridad, la anticipación sigue siendo la mejor defensa.
Descubre más desde Revista Ciberseguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.








