La seguridad de la información digital depende de sistemas criptográficos que protegen la confidencialidad, la integridad y la autenticidad de los datos. Durante décadas, algoritmos como RSA y la criptografía de curva elíptica han proporcionado esa protección. Sin embargo, estos esquemas son vulnerables a un tipo de computación que aún no existe de forma operativa pero que avanza con rapidez: la computación cuántica con capacidad de romper criptografía.
La pregunta ya no es si esa capacidad llegará, sino cuándo lo hará y si las organizaciones estarán preparadas. La respuesta, basada en el análisis de múltiples fuentes técnicas, gubernamentales y académicas, es que la transición a la criptografía poscuántica no puede posponerse más. Tres factores confluyen para convertir la demora en una decisión de alto riesgo: la recolección activa de datos cifrados, una línea de tiempo acortada para la computación cuántica y la magnitud de una migración que tomará años. A ellos se suma un entorno regulatorio que comienza a establecer plazos concretos.
El primer factor es la amenaza conocida como “cosechar ahora, descifrar después”
No se necesita un ordenador cuántico para que una comunicación cifrada hoy quede comprometida en el futuro. Basta con que un adversario intercepte y almacene el tráfico. Este método no es teórico. Agencias de inteligencia y actores con capacidad técnica avanzada pueden registrar comunicaciones gubernamentales, transacciones financieras, propiedad intelectual de empresas, datos médicos y cualquier otro tipo de información que viaje protegida por RSA o curva elíptica.
Una vez que un ordenador cuántico con los recursos suficientes esté disponible, esos datos almacenados podrán ser descifrados. La antigüedad del material no será un obstáculo: un secreto que debía permanecer protegido durante veinte o treinta años quedaría expuesto de forma retroactiva.
El daño no se limita a la confidencialidad. Un atacante también podría falsificar firmas digitales sobre documentos históricos o sobre actualizaciones de software distribuidas años atrás, lo que se conoce como “cosechar ahora, falsificar después”.
Esto afecta la cadena de suministro de software, los registros notariales, los contratos inteligentes en plataformas de cadena de bloques y cualquier sistema que confíe en la integridad de firmas generadas con algoritmos actuales. La existencia de esta modalidad de ataque hace que el momento de migrar no esté determinado por la fecha de llegada del ordenador cuántico, sino por el tiempo que un dato debe permanecer seguro.
Si un documento requiere confidencialidad durante diez años y el ordenador cuántico aparece en siete, el daño se habrá consumado aunque la migración estuviera prevista para dentro de ocho. Ignorar este desfase temporal implica aceptar la pérdida de protección de datos sensibles.
El segundo factor es que el calendario para la aparición de un ordenador cuántico criptográficamente relevante se ha comprimido de forma significativa. Los pronósticos que situaban ese hito en la segunda mitad de siglo han sido reemplazados por estimaciones que lo colocan dentro de los próximos diez años.
Un referente en este campo es el doctor Michele Mosca, del Institute for Quantum Computing, quien en 2015 formuló una pregunta sencilla: ¿es mayor el tiempo que los datos deben permanecer seguros que el tiempo necesario para desplegar criptografía resistente más el tiempo hasta que llegue la computación cuántica? Si la respuesta es afirmativa, la migración ya debería estar en marcha.
Mosca estimó una probabilidad de uno entre siete de que un ordenador cuántico relevante aparezca en 2026 y del 50 % para 2031. Aunque estas cifras no suponen certeza, representan un nivel de riesgo que ninguna entidad que maneje secretos de larga duración puede ignorar. Otros estudios, recogidos en análisis sobre estrategias empresariales de migración, sitúan la ventana más probable entre 2028 y 2033 para la llegada de ordenadores cuánticos tolerantes a fallos.
Google, por su parte, ha establecido un plazo interno para completar su migración en 2029. La compañía justificó esa fecha en avances de hardware cuántico más rápidos de lo previsto y en la necesidad de proteger sus propios sistemas antes de que la capacidad de ruptura esté disponible. Una investigación reciente indicó que un sistema de un millón de cúbits podría romper RSA-2048 en aproximadamente una semana, lo que multiplica por veinte la velocidad de ruptura estimada en trabajos anteriores.
Los resultados sugieren que las barreras de ingeniería se están superando con más celeridad de la anticipada. Mientras tanto, el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) ha publicado su hoja de ruta de transición, que prevé la retirada progresiva de RSA y curva elíptica para 2030 y su prohibición total en 2035. Diversos especialistas consideran que incluso ese calendario oficial podría resultar tardío si el hardware cuántico se materializa antes del final de la década.
El tercer factor es la complejidad intrínseca del cambio. Sustituir los algoritmos criptográficos en una organización no se limita a instalar un parche. Exige identificar cada punto en el que se utiliza criptografía, inventariar los algoritmos y las claves, desarrollar o adquirir implementaciones de los nuevos estándares poscuánticos, probarlas en entornos controlados, desplegarlas en producción y verificar la interoperabilidad con todos los sistemas, tanto internos como externos.
En una entidad pequeña, este proceso requiere localizar el uso de criptografía en aplicaciones, servidores, dispositivos de red, sistemas industriales y servicios en la nube.
En una grande, la tarea se multiplica por el número de aplicaciones heredadas, la dispersión geográfica, la dependencia de proveedores y la necesidad de mantener las operaciones durante la transición. Investigaciones sobre cronogramas de migración empresarial indican que los plazos realistas oscilan entre cinco y siete años para organizaciones pequeñas, entre ocho y doce años para las medianas y entre doce y quince años —o más— para las grandes corporaciones e infraestructuras críticas. Si un ordenador cuántico relevante aparece hacia 2031, una gran empresa que comience su migración en 2027 llegará tarde.
Pero si todavía no ha comenzado, el retraso será inevitable. Incluso las organizaciones que sí han empezado deben afrontar obstáculos adicionales, como la necesidad de mantener compatibilidad con sistemas antiguos, la escasez de personal especializado en criptografía poscuántica y la incertidumbre sobre el rendimiento de los nuevos algoritmos en dispositivos con recursos limitados, como sensores, tarjetas inteligentes o entornos industriales.
El concepto de criptoagilidad, que consiste en diseñar sistemas capaces de intercambiar algoritmos con rapidez, se menciona con frecuencia como una solución. Sin embargo, alcanzar esa agilidad requiere inversiones de arquitectura, gobernanza y formación que también llevan tiempo. No se trata de un recurso que pueda implementarse en semanas.
A estos tres factores se suma la presión de los marcos regulatorios, que están abandonando el terreno de las recomendaciones para fijar exigencias concretas. En Estados Unidos, la directiva presidencial NSM-10 y el memorando OMB M-23-02 obligan a las agencias federales a migrar sus sistemas a criptografía poscuántica.
El NIST publicó en 2024 los primeros estándares finales de algoritmos resistentes, entre ellos CRYSTALS-Kyber para intercambio de claves y CRYSTALS-Dilithium para firmas digitales, y estableció el calendario de retirada de los algoritmos vulnerables.
La Unión Europea, a través del Grupo de Cooperación en materia de Seguridad de las Redes y Sistemas de Información y de la Comisión Europea, ha publicado una hoja de ruta coordinada para los Estados miembros, que insta a completar la migración en los casos de uso de alto riesgo antes de que finalice 2030.
Australia, por medio de su Centro Australiano de Seguridad Cibernética, ha urgido a las organizaciones a completar la transición antes del cierre de 2030. Estos plazos no son simbólicos. Las entidades que presten servicios a gobiernos o que formen parte de cadenas de suministro reguladas deberán cumplirlos para mantener sus autorizaciones. Quienes los ignoren no solo asumirán un riesgo técnico, sino también jurídico y comercial.
La confluencia de estos elementos impide considerar la migración poscuántica como un proyecto que pueda postergarse hasta que el ordenador cuántico sea una realidad palpable. El ataque de cosecha actual compromete desde hoy los datos de largo valor. El calendario de la computación cuántica se ha adelantado y los márgenes se han estrechado.
La envergadura de la transición exige años, no meses. Y los marcos normativos imponen fechas que ya están definidas. Ante este escenario, la inacción no es una opción prudente sino una decisión que asume, de manera consciente, un riesgo calculable y evitable.
Las organizaciones pueden dar pasos inmediatos sin esperar a disponer de todos los recursos definitivos. El primer paso consiste en realizar un inventario criptográfico exhaustivo: identificar qué sistemas emplean criptografía, con qué algoritmos, qué longitud de claves y qué nivel de criticidad para el negocio.
No se puede proteger lo que no se sabe que existe. El segundo paso es iniciar la colaboración con proveedores tecnológicos para confirmar la disponibilidad de bibliotecas que implementen los estándares del NIST y para comenzar pruebas en entornos no críticos. El tercero es diseñar o adoptar una arquitectura que facilite la criptoagilidad, de modo que la sustitución de algoritmos en el futuro no reproduzca las mismas dificultades.
Esta transición no será la última; las amenazas evolucionarán y la capacidad de respuesta rápida determinará la resiliencia. Comenzar ahora reduce el riesgo de una migración precipitada y limita la ventana de exposición a ataques de cosecha. Las evidencias disponibles no justifican ninguna espera adicional.
