INCIBE publicó en septiembre de 2025 un informe técnico sobre supercomputación y computación cuántica en ciberseguridad. El documento detalla cómo un ordenador cuántico con suficiente capacidad puede romper algoritmos como RSA, ECC y otros sistemas de clave pública mediante el algoritmo de Shor.
Y acuña un término que se va a escuchar mucho: "Q-Day", el día en que un ordenador cuántico sea capaz de romper la criptografía actual a escala práctica. No sabemos cuándo será. Pero NIST no está esperando para averiguarlo.
NIST ya publicó los tres estándares
En agosto de 2024, NIST (National Institute of Standards and Technology) publicó los tres primeros estándares de criptografía post-cuántica (PQC). Después de años de evaluación, concurso público y revisiones, ya hay algoritmos listos para producir:
- FIPS 203: ML-KEM (basado en CRYSTALS-Kyber), para cifrado de clave pública.
- FIPS 204: ML-DSA (basado en CRYSTALS-Dilithium), para firmas digitales.
- FIPS 205: SLH-DSA (basado en SPHINCS+), para firmas digitales alternativas.
Estos algoritmos están diseñados para resistir ataques de ordenadores cuánticos. Son estándares federales de EE.UU., pero su impacto es global: si NIST dice que hay que migrar, el mundo se mueve.
El ataque que ya está en marcha
Los atacantes ya están recolectando datos cifrados hoy para descifrarlos cuando la computación cuántica lo permita. Se conoce como Harvest Now, Decrypt Later (HNDL): capturar ahora, descifrar después.
Si tu empresa tiene datos que deben ser confidenciales durante 5, 10 o 20 años (datos médicos, contratos, información patrimonial), ya estás en la ventana de riesgo. Los datos que cifras hoy con RSA o ECC pueden ser ilegibles ahora, pero están siendo almacenados por alguien que espera el Q-Day.
Explicamos este ataque en detalle en nuestro análisis de la era cuántica para el sector financiero.
Qué hay que cambiar y cuándo
Los plazos son más cortos de lo que parece.
En EE.UU., la NSPM-28 (National Security Memorandum) exige que las agencias federales tengan un inventario de sistemas criptográficos para 2025 y un plan de migración para 2027. La Unión Europea está trabajando en una recomendación similar a través de ENISA.
Las empresas que trabajen con clientes americanos o europeos van a recibir requisitos de migración a PQC en sus contratos. No es una cuestión de si, sino de cuándo te toca.
No es como renovar un certificado SSL
La migración a criptografía post-cuántica requiere inventariar todos los sistemas criptográficos de la organización, evaluar la compatibilidad de cada uno con los nuevos estándares, planificar la migración por fases y probar antes de desplegar. Es un proceso de 2 a 5 años para una empresa mediana.
Cómo afecta a tu empresa (no solo a bancos)
Cuando se habla de criptografía cuántica, el instinto es pensar en bancos y FinTech. Pero no son los únicos afectados. Cualquier empresa que use:
- Certificados TLS/SSL (todos los sitios web)
- Firmas digitales en contratos
- Cifrado de datos en reposo (bases de datos, backups)
- VPNs y comunicaciones cifradas
- Autenticación basada en claves públicas
tendrá que migrar. Las pymes no están exentas. Si procesas datos personales, tienes infraestructura web o usas firmas electrónicas, esto te afecta.
La diferencia con un banco es de escala, no de principio. Un hospital que cifra historiales médicos, una aseguradora que firma pólizas digitalmente, una empresa industrial con VPNs entre plantas: todos dependen de la misma criptografía que un ordenador cuántico puede romper.
Auditoría de ciberseguridad + ISO 27001
El primer paso es saber dónde estás
Antes de migrar a criptografía post-cuántica, necesitas saber qué sistemas criptográficos tienes, dónde están y cuál es su nivel de exposición. Una auditoría de ciberseguridad con enfoque ISO 27001 te da ese inventario y una hoja de ruta clara.
Solicitar auditoría →Cómo empezar un plan de migración
No hace falta hacerlo todo a la vez. Pero sí hace falta empezar. Estos son los tres pasos que recomendamos a nuestros clientes:
Inventario de sistemas criptográficos
Saber qué usas, dónde y para qué. TLS en tus servidores web, cifrado en bases de datos, firmas en documentos electrónicos, VPNs, certificados de autenticación. Todo cuenta. Sin inventario no hay plan.
Evaluación de compatibilidad
¿Tus proveedores (cloud, CA, VPN) ya soportan PQC? Muchos ya están en ello. Amazon, Google Cloud y Azure han empezado a integrar algoritmos post-cuánticos en sus servicios. Pregunta a tus proveedores cuál es su hoja de ruta.
Plan piloto
Empieza por los sistemas que protegen datos con mayor periodo de confidencialidad: datos médicos, contratos a largo plazo, información patrimonial. Estos son los que un atacante HNDL está recolectando hoy.
La clave es la priorización. No todos los sistemas tienen el mismo nivel de urgencia. Pero ninguno puede quedarse fuera del plan.
Si quieres una analogía: es como el efecto 2000, pero a escala global y sin fecha fija. La diferencia es que esta vez los estándares ya existen. Solo falta empezar a usarlos.
Tu equipo necesita formacion en IA segura
El EU AI Act exige alfabetizacion IA para toda la plantilla desde agosto 2026. Nuestros cursos cubren compliance, agentes IA y gobernanza. FUNDAE puede subvencionar el 100% del coste.
