La criptografía es uno de los pilares fundamentales de la confianza digital: es la tecnología que permite proteger las comunicaciones, las transacciones, los procesos y, en definitiva, la identidad digital. Sin embargo, la criptografía tal como la conocemos hasta ahora está a punto de cambiar.
Los algoritmos actuales que la sustentan, como RSA o ECC, podrían tener fecha de caducidad si en un futuro no muy lejano un ordenador cuántico logra romperlos criptográficamente. Un riesgo lo suficientemente relevante como para que el sector tecnológico lleve tiempo trabajando en una alternativa efectiva para resistir esta amenaza: la criptografía post-cuántica.
En este artículo repasamos conceptos esenciales relacionados con esta tecnología, su impacto en el entorno empresarial y algunas claves a tener en cuenta para preparar la transición hacia el post-quantum.
¿Qué es la criptografía post-cuántica y cuál es su objetivo?
La criptografía post-cuántica (Post-Quantum Cryptography o PQC) comprende el conjunto de algoritmos diseñados para resistir ataques tanto de los ordenadores convencionales como de los futuros ordenadores cuánticos.
En la actualidad, la gran mayoría de comunicaciones y datos sensibles a nivel global se protege mediante algoritmos basados en criptografía asimétrica, como RSA o ECC. Estos se utilizan, por ejemplo, en los certificados digitales empleados a diario por las compañías para firmar documentos, cifrar información o autenticar la identidad de los usuarios.
Sin embargo, los avances en la computación cuántica podrían llegar a romper estos algoritmos tradicionales en los próximos años. Un hito que daría lugar al denominado «Día Q»: el momento en que un ordenador cuántico criptográficamente relevante (CRQC) sería capaz de resolver los problemas matemáticos en los que se fundamentan, como la factorización de números grandes o el cálculo de logaritmos discretos.
Por su parte, la PQC se considera una solución eficaz para proteger los sistemas, infraestructuras e información frente al impacto de la computación cuántica. Esto se debe a que sus algoritmos se sustentan en problemas matemáticos diferentes (basados en retículas, códigos de corrección de errores, funciones hash o ecuaciones multivariantes) que, hasta la fecha, se consideran difíciles de resolver incluso para ordenadores cuánticos avanzados.
El NIST juega un papel fundamental en la estandarización de la criptografía post-cuántica. En 2024 aprobó los primeros algoritmos diseñados para resistir ataques cuánticos: FIPS 203 (ML-KEM), FIPS 204 (ML-DSA) y FIPS 205 (SLH-DSA).
El impacto de la computación cuántica en la ciberseguridad empresarial
La principal incertidumbre en torno a la amenaza de la computación cuántica reside en que se desconoce cuándo llegará el «Día Q», aunque muchos ya han empezado a lanzar sus previsiones. Según el Global Risk Institute, existe una probabilidad media del 27% de que, antes de 2035, se desarrolle un ordenador cuántico capaz de comprometer los sistemas criptográficos actuales y, por ejemplo, descifrar datos confidenciales o falsificar firmas digitales basadas en ellos. Y recientemente, Google ha establecido un cronograma en el que fija 2029 como fecha límite para completar la migración.
Independientemente de los pronósticos, el verdadero reto estratégico para las empresas consiste en adoptar la criptografía post-cuántica antes de que este escenario se materialice. Una situación que, de producirse, impactaría directamente no solo en la seguridad corporativa, sino también en la continuidad operativa y la confianza de clientes, proveedores y socios.
La amenaza harvest now, decrypt later
La transición hacia algoritmos resistentes a los ataques clásicos y cuánticos ya forma parte de muchas hojas de ruta corporativas. No solo con vistas a protegerse en el futuro, sino también en el presente, donde estrategias como harvest now, decrypt later (cosechar ahora y descifrar después) ya se contemplan como una amenaza real.
Esta táctica se basa en un ataque por anticipación, con el fin de interceptar y almacenar comunicaciones que hoy están cifradas para descifrarlas dentro de unos años, cuando los ordenadores cuánticos dispongan de la capacidad suficiente. Además, su combinación con modelos de inteligencia artificial podría facilitar la explotación de vulnerabilidades para acceder a esta información, aumentando el nivel de alerta.
Industrias más sensibles al riesgo cuántico
Si bien todas las organizaciones están expuestas a los riesgos de la computación cuántica, son las de sectores críticos —gobierno, defensa, sanidad, banca, propiedad industrial o proveedores de servicios en la nube, principalmente— las que deberían priorizar su transición para evitar quedar paralizadas.
El uso continuado del cifrado tradicional en estas industrias aumenta la probabilidad de que la información crítica que manejan, como registros financieros, contratos confidenciales o datos sensibles de clientes, sea expuesta en el futuro. Se trata de un tipo de información que debe permanecer confidencial a largo plazo, y cuyo descifrado o acceso no autorizado en los próximos años podría traer consigo consecuencias económicas, legales y reputacionales de gran alcance.
Partiendo de esta base, las empresas empiezan a asumir que el futuro de la ciberseguridad pasa por desarrollar ecosistemas Post-Quantum-Safe (seguros frente a la computación cuántica). Esto implica que sistemas, productos y aplicaciones acaben incorporando estos algoritmos, incluidos los certificados digitales.
La Comisión Europea publicó una hoja de ruta para la transición a la criptografía post-cuántica, que fija la puesta en marcha de estrategias nacionales antes de finales de 2026 y la culminación progresiva de la migración antes de finales de 2035.
Criptoagilidad y enfoque híbrido: claves para una transición gradual
Como mencionábamos en el apartado anterior, las empresas no pueden permitirse esperar a que el primer ordenador cuántico avanzado esté operativo para actuar. Por suerte, el sector no parte de cero y ya se están definiendo procesos y estrategias para abordar esta migración de manera gradual y minimizando los riesgos.
Como paso intermedio, muchos líderes tecnológicos recomiendan la adopción de un enfoque híbrido, que combine la criptografía asimétrica tradicional con algoritmos post-cuánticos aprobados por el NIST. La implantación de este modelo ayuda a que dicha transición sea progresiva y segura, permitiendo a las entidades prepararse para la amenaza cuántica mientras cumplen con las necesidades actuales de autenticación, firma y compatibilidad con los sistemas existentes.
Otro pilar esencial en esta transición es la criptoagilidad. De acuerdo con el NIST, esta es la capacidad de una organización para reemplazar y adaptar nuevos algoritmos (como los post-quantum) en infraestructura, protocolos, software o dispositivos, preservando la seguridad y la continuidad operativa. Para conocer el grado de agilidad de una empresa en este proceso de adaptación, es fundamental obtener visibilidad sobre todos los activos criptográficos que posee y evaluar su estado.
Y como cabe esperar, para que dicha transición avance de manera de exitosa, la alineación y consenso entre otros actores protagonistas del ecosistema (como autoridades de certificación, reguladores, fabricantes, desarrolladores de aplicaciones o proveedores tecnológicos) también resulta crucial.
Entre los primeros pasos que deben seguir las compañías de cara a planificar la transición se encuentra el inventariado criptográfico, consistente en identificar qué activos criptográficos se están utilizando, dónde y cómo están implementados, así como qué sistemas dependen de ellos.
Cómo Keyfactor y Redtrust acompañan a las empresas en la transición post-cuántica
Keyfactor, como uno de los proveedores de referencia en la gestión de identidades, PKI y visibilidad criptográfica, lleva años desempeñando un papel relevante en esta transición. Contar con las herramientas adecuadas facilita el camino y, en este sentido, Keyfactor ofrece muchas de ellas: desde la posibilidad de emitir certificados post-cuánticos mediante EJBCA, hasta el descubrimiento e inventariado de activos criptográficos con Keyfactor AgileSec, así como el desarrollo de aplicaciones resistentes a la computación cuántica gracias a Bouncy Castle, su conocida librería criptográfica.
En Redtrust, como parte del grupo Keyfactor, también aprovechamos esta tecnología para acompañar a las empresas en su planificación post-quantum. Además, a medida que aumente la complejidad en torno a los certificados, también lo hará la necesidad de garantizar su seguridad. Al igual que sucede con los certificados basados en criptografía tradicional (RSA y ECC), los futuros certificados Post-Quantum-Safe también requerirán de protección, gestión, control y, en definitiva, centralización. Gobernar la identidad digital corporativa seguirá siendo un imperativo en la era post-cuántica. Y ante este escenario, contar con aliados especializados es esencial para una transición fluida y sin riesgos.
Obtén más información y planifica una transición segura hacia el futuro post-cuántico.
Consulta nuestras publicaciones sobre criptografía post-cuántica en los medios
La revolución cuántica amenaza el cifrado actual, pero la industria tecnológica ya está preparada
Redtrust: “La criptoagilidad debe ser invisible para el usuario, pero esencial para la empresa”
