INCIBE va publicar el setembre de 2025 un informe tecnic sobre supercomputacio i computacio quantica en ciberseguretat. El document detalla com un ordinador quantic amb suficient capacitat pot trencar algoritmes com RSA, ECC i altres sistemes de clau publica mitjancant l'algoritme de Shor.
I encunya un terme que se sentira molt: "Q-Day", el dia en qu猫 un ordinador quantic sigui capa莽 de trencar la criptografia actual a escala practica. No sabem quan sera. Pero NIST no esta esperant per esbrinar-ho.
NIST ja ha publicat els tres estandards
L'agost de 2024, NIST (National Institute of Standards and Technology) va publicar els tres primers estandards de criptografia post-quantica (PQC). Apres anys d'avaluacio, concurs public i revisions, ja hi ha algoritmes a punt per produir:
- FIPS 203: ML-KEM (basat en CRYSTALS-Kyber), per a xifratge de clau publica.
- FIPS 204: ML-DSA (basat en CRYSTALS-Dilithium), per a signatures digitals.
- FIPS 205: SLH-DSA (basat en SPHINCS+), per a signatures digitals alternatives.
Aquests algoritmes estan dissenyats per resistir atacs d'ordinadors quantics. Son estandards federals dels EUA, pero el seu impacte es global: si NIST diu que cal migrar, el mon es mou.
L'atac que ja esta en marxa
Els atacants ja estan recopilant dades xifrades avui per desxifrar-les quan la computacio quantica ho permeti. Es coneix com a Harvest Now, Decrypt Later (HNDL): capturar ara, desxifrar despres.
Si la teva empresa te dades que han de ser confidencials durant 5, 10 o 20 anys (dades mediques, contractes, informacio patrimonial), ja estas a la finestra de risc. Les dades que xifres avui amb RSA o ECC poden ser illegibles ara, pero les esta emmagatzemant algu que espera el Q-Day.
Expliquem aquest atac en detall a la nostra analisi de l'era quantica per al sector financer.
Que cal canviar i quan
Els terminis son mes curts del que sembla.
Als EUA, la NSPM-28 (National Security Memorandum) exigeix que les agencies federals tinguin un inventari de sistemes criptografics per al 2025 i un pla de migracio per al 2027. La Unio Europea esta treballant en una recomanacio similar a traves d'ENISA.
Les empreses que treballin amb clients americans o europeus recibran requisits de migracio a PQC als seus contractes. No es una q眉estio de si, sino de quan et toca.
No es com renovar un certificat SSL
La migracio a criptografia post-quantica requereix inventariar tots els sistemes criptografics de l'organitzacio, avaluar la compatibilitat de cadascun amb els nous estandards, planificar la migracio per fases i provar abans de desplegar. Es un proces de 2 a 5 anys per a una empresa mitjana.
Com afecta la teva empresa (no nomes als bancs)
Quan es parla de criptografia quantica, l'instint es pensar en bancs i FinTech. Pero no son els unics afectats. Qualsevol empresa que usi:
- Certificats TLS/SSL (tots els llocs web)
- Signatures digitals en contractes
- Xifratge de dades en rep贸s (bases de dades, backups)
- VPNs i comunicacions xifrades
- Autenticacio basada en claus publiques
haura de migrar. Les pimes no estan exemptes. Si processes dades personals, tens infraestructura web o uses signatures electroniques, aixo t'afecta.
La diferencia amb un banc es d'escala, no de principi. Un hospital que xifra historials medics, una asseguradora que signa polisses digitalment, una empresa industrial amb VPNs entre plantes: tots depenen de la mateixa criptografia que un ordinador quantic pot trencar.
Auditoria de ciberseguretat + ISO 27001
El primer pas es saber on ets
Abans de migrar a criptografia post-quantica, necessites saber quins sistemes criptografics tens, on son i quin es el seu nivell d'exposicio. Una auditoria de ciberseguretat amb enfocament ISO 27001 et dona aquest inventari i una full de ruta clara.
Sol路licitar auditoria →Com comencar un pla de migracio
No cal fer-ho tot a la vegada. Pero si cal comencar. Aquests son els tres passos que recomanem als nostres clients:
Inventari de sistemes criptografics
Saber qu猫 uses, on i per a que. TLS als teus servidors web, xifratge a bases de dades, signatures en documents electronics, VPNs, certificats d'autenticacio. Tot compta. Sense inventari no hi ha pla.
Avaluacio de compatibilitat
Els teus proveidors (cloud, CA, VPN) ja suporten PQC? Molts ja hi estan. Amazon, Google Cloud i Azure han comencat a integrar algoritmes post-quantics als seus serveis. Pregunta als teus proveidors quina es la seva full de ruta.
Pla pilot
Comen莽a pels sistemes que protegeixen dades amb major periode de confidencialitat: dades mediques, contractes a llarg termini, informacio patrimonial. Aquests son els que un atacant HNDL esta recopilant avui.
La clau es la prioritzacio. No tots els sistemes tenen el mateix nivell d'urgencia. Pero cap pot quedar fora del pla.
Si vols una analogia: es com l'efecte 2000, pero a escala global i sense data fixa. La diferencia es que aquest cop els estandards ja existeixen. Nomes cal comencar a usar-los.
El teu equip necessita formacio en IA segura
L'EU AI Act exigeix alfabetitzacio IA per a tota la plantilla des d'agost 2026. Els nostres cursos cobreixen compliance, agents IA i governanca. FUNDAE pot subvencionar el 100% del cost.
