Las organizaciones ya no pueden ignorar el rápido avance de la tecnología cuántica, cómo funciona y cómo transformará radicalmente la ciberseguridad. A medida que esta tecnología evoluciona, es esencial prepararse para los desafíos que inevitablemente traerá.

 

Introducción

La tecnología cuántica representa un punto de inflexión histórico: al aprovechar los principios de la mecánica cuántica, permite procesar datos y resolver problemas a velocidades y niveles de complejidad imposibles para los ordenadores tradicionales. Su capacidad de cómputo crecerá rápidamente, poniendo en duda los cimientos de la ciberseguridad moderna, volviendo vulnerables los sistemas criptográficos actuales y obligando a las organizaciones a replantear sus estrategias de protección digital para las próximas décadas.

 

Qué es la computación cuántica

A diferencia de los ordenadores tradicionales que utilizan bits (0 o 1), los ordenadores cuánticos utilizan qubits, que pueden existir en varios estados simultáneamente gracias al principio de superposición cuántica. Mientras que un ordenador clásico debe evaluar cada solución de forma secuencial, un sistema cuántico puede explorar múltiples posibilidades al mismo tiempo, haciéndolo extremadamente eficaz para resolver problemas matemáticos complejos, incluidos aquellos que sostienen la criptografía moderna.

 

La amenaza: vulnerabilidad de los algoritmos criptográficos actuales

El poder computacional de la tecnología cuántica amenaza las bases mismas de la ciberseguridad actual al debilitar los sistemas criptográficos en los que confiamos. Entre los algoritmos vulnerables se encuentran:

RSA

Uno de los algoritmos de criptografía asimétrica más utilizados para proteger comunicaciones, firmas digitales y certificados SSL/TLS. Su seguridad se basa en la dificultad de factorizar números primos extremadamente grandes. Un número de 2048 bits tardaría miles de millones de años en factorizarse en un ordenador clásico, pero un ordenador cuántico con el algoritmo de Shor podría hacerlo en mucho menos tiempo.

ECC (Criptografía de Curva Elíptica)

Utilizada ampliamente en dispositivos móviles, criptomonedas como Bitcoin y Ethereum, y comunicaciones seguras. Su seguridad se basa en el problema del logaritmo discreto de curva elíptica, también vulnerable a algoritmos cuánticos avanzados.

Según Valerio Pastore, CTO de CyberGrant:
“Cuando exista un ordenador cuántico capaz de romper la criptografía actual, la criptografía convencional quedará obsoleta, exponiendo todo lo que hoy utilizamos para la comunicación y la seguridad de los datos.”

Pastore utiliza una analogía clara:
“Es como tener la mejor puerta blindada del mercado. Funciona perfectamente hoy. Pero dentro de diez años habrá una tecnología que permitirá abrirla en segundos. El problema es que los ladrones están copiando tus llaves ahora, esperando a que llegue esa tecnología.”

 

Dos escenarios de amenaza concretos

1. Harvest Now, Decrypt Later (Recolectar ahora, descifrar después)

Los atacantes recopilan y almacenan datos cifrados hoy para descifrarlos cuando dispongan de un ordenador cuántico suficientemente potente. Esto afecta especialmente a datos gubernamentales, información sensible personal y secretos comerciales que deben mantenerse confidenciales durante décadas.

2. Largos periodos de transición

Infraestructuras complejas como PKI podrían tardar años en migrar a criptografía post-cuántica, dejando ventanas de exposición críticas durante el proceso.

 

Cuánto tiempo nos queda

Según el 2024 Quantum Threat Timeline Report del Global Risk Institute, expertos estiman que en 5 a 15 años un CRQC (Cryptographically Relevant Quantum Computer) podría romper la criptografía estándar en menos de 24 horas.
Muchos expertos señalan 2025 como el último punto de partida realista para iniciar la migración.

 

Áreas de impacto crítico

El quantum computing podría comprometer prácticamente todos los aspectos de la seguridad digital moderna:

• Comunicaciones seguras (TLS/SSL)
• Identidades digitales y autenticación
• Transacciones financieras
• Datos sensibles (sanitarios, gubernamentales, empresariales)
• Blockchain y criptomonedas

 

Quién no está preparado (y quién corre más riesgo)

A pesar de la urgencia:

• El 95% de las organizaciones no tiene un plan cuántico
• Solo el 5% considera este tema una prioridad crítica

Pastore añade:
“Los únicos que están reaccionando son bancos, aseguradoras, hospitales, gobiernos y operadores críticos. Las pymes, convencidas de que nadie quiere sus datos, son las más vulnerables.”

 

Conciencia empresarial en Italia/Europa frente a la amenaza cuántica

Fabrizio Fantini, Chief Quantum Officer de QUANTUM AGENCY, señala que la alfabetización cuántica sigue siendo baja y desigual en Europa.

Fantini explica:
“Muchas microempresas del Made in Italy están apenas empezando. Reconocen el problema, pero no han tomado medidas concretas.”

En Europa, casi la mitad de las organizaciones aún no está preparada para enfrentar esta amenaza.

Fantini advierte:
“Sin procesos de aprendizaje colaborativo, llegaremos tarde al ‘Quantum Day’.”

Por ello, QUANTUM AGENCY creó QDAY, programado para el 31 de diciembre de 2025, el primer evento anual dedicado a preparar a la comunidad empresarial frente a la transición cuántica. https://quantum2025.org/iyq-event/qday-italia/.

Otro aspecto en el que Fantini insiste es en la necesidad de una formación continua y de una gobernanza eficaz. Señala que es “fundamental preparar a los equipos de seguridad, a los CIO, CTO y a los directorios empresariales sobre los riesgos reales y las decisiones tecnológicas, integrando el tema en el risk register y en los planes ESG y de continuidad del negocio”.
Además, añade: “La transición hacia la criptografía post-cuántica no solo tiene que ver con la resiliencia de cada empresa individual, sino con la resiliencia de ecosistemas completos.”

 

La solución: criptografía post-cuántica

En 2024, NIST publicó los primeros algoritmos estandarizados resistentes a ataques cuánticos:

1. FIPS 203 (ML-KEM) – Estándar principal para cifrado
2. FIPS 204 (ML-DSA) – Estándar para firmas digitales
3. FIPS 205 (SLH-DSA) – Estándar alternativo de firmas

Un concepto clave para las organizaciones es la crypto-agility: la capacidad de adaptar rápidamente sistemas y algoritmos ante nuevas amenazas o vulnerabilidades.

 

El enfoque híbrido: protección doble

La solución más práctica es el enfoque híbrido, que combina criptografía tradicional con criptografía post-cuántica. Como explica Pastore:
“En nuestro sector de la compartición segura de archivos, este modelo ofrece una doble protección: la actual, que funciona perfectamente hoy, y la nueva, resistente a los ordenadores cuánticos. Es como tener dos candados en la misma puerta: si uno falla, el otro permanece firme.

Por ejemplo, cuando un empleado envía un documento confidencial a través de nuestra plataforma FileGrant, ese archivo queda ‘cerrado’ con dos candados: uno RSA (que es totalmente seguro hoy) y otro nuevo llamado CRYSTALS-Kyber (que resistirá a los ordenadores cuánticos). Para abrir el archivo, habría que romper ambos candados. Incluso si dentro de diez años un ordenador cuántico logra abrir el primero, el segundo seguirá protegiéndolo.”

 

Cómo prepararse: 5 estrategias esenciales

“Antes que nada” - afirma Pastore - “toda empresa debe entender qué está protegiendo y cómo. Es como revisar una casa antes de renovarla: ¿dónde están los datos sensibles? ¿Cómo están protegidos? ¿Y durante cuánto tiempo deben permanecer en secreto?”

Las organizaciones deberían seguir este enfoque metodológico:

1. Inventario criptográfico – Identificar todos los sistemas que utilizan criptografía y mapear qué algoritmos están en uso (RSA, ECC, AES, etc.). Documentar dónde y cómo se utilizan las claves criptográficas.

2. Evaluación de riesgos – Determinar qué datos tienen valor a largo plazo y podrían ser objetivo de ataques “Harvest Now, Decrypt Later”. Identificar qué sistemas son más críticos para las operaciones empresariales.

3. Enfoque híbrido – Implementar soluciones que combinen criptografía tradicional (RSA, ECC) con criptografía post-cuántica (PQC). Utilizar Hybrid TLS para las comunicaciones web y probar los algoritmos NIST en entornos controlados.

4. Participación de los stakeholders – Verificar que socios y proveedores cuenten con una hoja de ruta propia de preparación cuántica. Colaborar con los proveedores tecnológicos y capacitar al personal de TI sobre las nuevas tecnologías criptográficas.

5. Implementación de los estándares NIST – Adoptar progresivamente los tres algoritmos estandarizados, siguiendo las directrices de NIST para una implementación correcta.

Como concluye Pastore: “No es necesario hacerlo todo mañana por la mañana, pero empezar hoy evita encontrarse contra el tiempo cuando ya sea demasiado tarde.”

 

El costo de no actuar

La transición hacia la seguridad post-cuántica requiere inversiones significativas. La Office of Management and Budget de Estados Unidos ha estimado aproximadamente 7.1 mil millones de dólares para la transición gubernamental entre 2025 y 2035.

Sin embargo, el costo de no actuar podría ser catastrófico, ya que los largos periodos de migración crearían vulnerabilidades importantes durante toda la transición.

La Comisión Europea ha publicado una hoja de ruta y un calendario específicos para comenzar a adoptar la criptografía post-cuántica (Post-Quantum Cryptography, PQC), una forma más compleja y robusta de ciberseguridad diseñada para resistir ataques cuánticos.

Esta hoja de ruta establece que todos los Estados miembros de la UE deben haber definido y lanzado sus estrategias nacionales post-cuánticas antes de finales de 2025. La iniciativa reconoce que la transición a la PQC es esencial para proteger infraestructuras críticas, servicios digitales y los datos sensibles de los ciudadanos europeos.

 

Conclusión

La preparación cuántica no es solo un desafío tecnológico, sino estratégico.
La tecnología post-cuántica ya existe. Los estándares NIST ya están publicados. Las hojas de ruta también.

Lo que falta es urgencia.

El futuro cuántico no es una cuestión de si, sino de cuándo.
Quienes no actúen hoy pueden encontrarse expuestos en el peor momento posible.

El Quantum Day parece lejano, pero en términos de ciberseguridad está muy cerca.

La combinación de la computación cuántica y las amenazas impulsadas por la inteligencia artificial podría desbordar por completo a los sistemas que aún no estén preparados, especialmente en las infraestructuras críticas.
La pregunta real para cualquier CISO ya no es “¿Debemos prepararnos?”, sino
“¿Qué tan rápido podemos empezar?”