Por qué la seguridad cuántica es una cuestión que los líderes no pueden ignorar en este momento

La computación cuántica suele presentarse como una preocupación futura. Para los líderes de seguridad, ese encuadre ya está desactualizado. El riesgo de la computación cuántica no se define únicamente por cuándo podría estar disponible una computadora cuántica lo suficientemente potente, sino por lo que los adversarios pueden recopilar hoy y por el tiempo durante el cual los datos sensibles deben permanecer protegidos.

En su núcleo, la computación cuántica desafía los fundamentos criptográficos que sostienen la confianza digital global. Esta criptografía sustenta la protección de datos, desde tus mensajes privados hasta las transacciones en línea y los servicios gubernamentales.

Estos mecanismos siguen siendo seguros hoy porque las computadoras clásicas no pueden resolver eficientemente los problemas matemáticos subyacentes a gran escala. Una computadora cuántica con capacidades suficientes cambiaría este supuesto.

Algoritmos como el de Shor permitirían resolver estos problemas de manera eficiente, socavando los supuestos de seguridad detrás de esquemas ampliamente desplegados como RSA y la criptografía de curvas elípticas. Esto significaría que gran parte de la criptografía de clave pública ampliamente utilizada hoy se volvería vulnerable.

Una estrategia sólida de migración poscuántica no es simplemente una actualización criptográfica, sino una transición profunda de sistemas. Afecta al hardware, al software, a los protocolos y a las cadenas de suministro. Si se ejecuta apresuradamente o sin una preparación arquitectónica adecuada, puede introducir nuevas vulnerabilidades, fallas de interoperabilidad y riesgos operativos a largo plazo.

El factor más inmediato que impulsa a abordar hoy la seguridad cuántica es el modelo de amenaza de “cosechar ahora, descifrar después”. Los adversarios pueden capturar datos cifrados hoy y almacenarlos hasta que una computadora cuántica con capacidad suficiente permita descifrarlos en el futuro. Como resultado, las organizaciones pueden ya estar expuestas cuando la información sensible tiene valor a largo plazo, incluyendo propiedad intelectual, registros financieros, comunicaciones gubernamentales y datos de salud, incluso en ausencia de cualquier brecha visible.

Siempre que los datos deban permanecer confidenciales durante décadas, el riesgo de la computación cuántica ya es relevante. La combinación de cronogramas inciertos y datos de larga vida útil crea una obligación de seguridad en el presente, donde lo seguro frente a lo cuántico se convierte en lo único seguro.

El informe Quantum Threat Timeline del Global Risk Institute subraya que las organizaciones deben considerar tres plazos simultáneamente: cuánto tiempo deben permanecer seguros los datos, cuánto tiempo llevará la migración y cuándo podrían llegar las capacidades cuánticas. Cuando los plazos de migración y la vida útil de los datos superan el horizonte esperado de la amenaza, la exposición puede ya existir incluso antes de que se construya una computadora cuántica criptográficamente relevante.

A pesar de esto, la preparación sigue siendo limitada. Múltiples evaluaciones de la industria indican que la mayoría de las organizaciones no están preparadas para las amenazas de seguridad cuántica y aún no han comenzado una respuesta estructurada a la transición hacia la criptografía poscuántica. Esta brecha persiste incluso cuando los gobiernos y los organismos de estandarización aceleran la orientación formal.

En 2024, NIST finalizó su primer conjunto de estándares de criptografía poscuántica (PQC), señalando que la transición criptográfica ya no es teórica. Los gobiernos están aconsejando a las organizaciones que comiencen evaluaciones y planificación de migraciones por fases, y que no esperen un “momento de avance” cuántico.

La seguridad cuántica no es una actualización rutinaria de software, sino una transformación estructural. Las organizaciones deben inventariar sus dependencias criptográficas, evaluar la preparación de los proveedores, probar los compromisos de rendimiento y coordinar actualizaciones en sistemas globales. Muchos entornos —sistemas de control industrial, plataformas de salud e infraestructura crítica— tienen ciclos de vida que se miden en décadas.

Las organizaciones deben prepararse para la agilidad criptográfica, permitiendo que los algoritmos puedan reemplazarse sin rediseñar los sistemas.

Las organizaciones líderes ya están tratando la migración poscuántica como un programa por fases y de varios años que comienza con el descubrimiento criptográfico, la priorización y la preparación arquitectónica, en lugar de un reemplazo total inmediato. Los primeros esfuerzos de transición suelen centrarse en proteger los datos en tránsito y en establecer raíces criptográficas de confianza de larga duración que deben permanecer seguras durante décadas.

Si las capacidades cuánticas emergen antes de lo previsto, las organizaciones corren el riesgo de verse obligadas a una migración reactiva y con plazos limitados, en lugar de ejecutar una transición planificada y gestionada según el riesgo. Empezar ahora permite a los líderes priorizar sistemas en función de la sensibilidad y la longevidad de los datos, en lugar de tener que improvisar bajo presión más adelante.

La seguridad cuántica es cada vez más una cuestión de gobernanza. Reguladores, clientes y socios esperan estrategias creíbles de protección de datos a largo plazo. Los líderes que pueden articular una respuesta clara al riesgo potencial futuro de una computadora cuántica demuestran madurez en la gestión de riesgos empresariales. Quienes no puedan hacerlo pueden enfrentar un escrutinio creciente por parte de juntas, reguladores y partes interesadas.

La computación cuántica es una tecnología emergente con beneficios potenciales significativos, muchos de los cuales probablemente se concretarán antes de que las computadoras cuánticas a gran escala sean capaces de romper la criptografía de clave pública ampliamente utilizada. Sin embargo, una vez que existan tales capacidades, su impacto en la criptografía será rápido y difícil de revertir. Dado que los datos cifrados pueden recopilarse hoy y descifrarse en el futuro, la primera fase del desafío de la seguridad cuántica ya está en curso.

Para los líderes de seguridad, la pregunta ya no es si la seguridad cuántica importa, sino si su organización está tomando medidas para gestionar la transición en sus propios términos. La previsión estratégica, en lugar de la urgencia reactiva, determinará qué organizaciones navegan con éxito este cambio.