Sin exagerar, estamos ante un cambio de paradigma que redefinirá por completo la forma en que protegemos nuestra información. Esto es así porque la llegada del cómputo cuántico es inminente. Se trata de la amenaza más significativa para la seguridad digital.
Mtro. José Enrique Rangel Ramírez.
Enero 2025
En el estudio “2024 PKI and Post-Quantum Trends Study”, realizado por Entrust y el Ponemon Institute, https://www.entrust.com/cybersecurity-institute/reports se reveló que la mayoría de los CISOs (Chief Information Security Officers) y expertos en seguridad de la información encuestados consideran la llegada de una computadora cuántica criptográficamente relevante (CRQC, por sus siglas en inglés) como una de las amenazas más significativas para la seguridad digital.
Para comprender la magnitud del desafío, debemos examinar dos algoritmos cuánticos fundamentales. El algoritmo de Shor, desarrollado por Peter Shor en 1994, tiene la capacidad de factorizar números enteros grandes de manera exponencialmente más rápida que cualquier computadora clásica, lo que significa que puede romper los algoritmos de encriptación asimétrica como RSA (Rivest, Shamir, Adleman) y ECC (Elliptic Curve Cryptography) que protegen nuestras comunicaciones actuales. Por su parte, el algoritmo de Grover reduce significativamente la seguridad efectiva de los algoritmos de encriptación simétrica, aunque estos pueden mitigarse duplicando el tamaño de las claves.
Las repercusiones de esta vulnerabilidad son gravísimas: transacciones bancarias, correos electrónicos, telecomunicaciones, secretos de Estado y bases de datos empresariales quedarían expuestos. Esto implica un trabajo de reingeniería de sistemas y telecomunicaciones desde cero, implementando nuevos algoritmos de encriptación post-cuánticos (PQC) y adoptando un concepto fundamental para el futuro: la criptoagilidad, que es la capacidad de una organización para migrar rápidamente entre diferentes esquemas criptográficos según las amenazas evolucionen.
Los estándares ya están aquí
En agosto de 2024, el National Institute of Standards and Technology (NIST) publicó los primeros tres estándares de criptografía post-cuántica: FIPS (Federal Information Processing Standard) 203 (ML-KEM, basado en CRYSTALS-Kyber), FIPS 204 (ML-DSA, derivado de CRYSTALS-Dilithium) y FIPS 205 (SLH-DSA, basado en SPHINCS+). Estos algoritmos, diseñados para resistir ataques tanto de computadoras clásicas como cuánticas, representan el primer paso concreto hacia una infraestructura digital segura en la era cuántica.
La carrera global por la migración
Muchos consideran que hablar de cómputo cuántico es hablar de ciencia ficción, pero las inversiones multimillonarias de las empresas tecnológicas más importantes del mundo —IBM, Google, Microsoft— y los programas gubernamentales de las naciones más desarrolladas demuestran lo contrario. No es cuestión de décadas, sino de años.
Estados Unidos, a través de la National Security Agency y su programa CNSA 2.0, exige que los sistemas de seguridad nacional migren a PQC antes de 2030. El Reino Unido, mediante su National Cyber Security Centre, ha establecido un plan en tres fases: completar planes de migración para 2028, ejecutar actualizaciones prioritarias para 2031 y finalizar la migración completa para 2035. Alemania, Francia, Países Bajos y España tienen iniciativas similares, mientras que Corea del Sur ha desarrollado sus propios algoritmos (NTRU+ y SMAUG-T) con una meta de transición para 2035.
El denominador común es el horizonte 2030-2035, y no es casualidad. Las predicciones actuales de expertos, incluyendo el roadmap de IBM publicado en 2025, sugieren que una computadora cuántica capaz de romper RSA-2048 podría existir alrededor de 2030 (con un margen de ±2 años). Este evento, conocido como Y2Q o Q-Day, evocando la crisis del Y2K, representa el momento en que nuestra encriptación actual quedará obsoleta.
El riesgo silencioso: “Harvest Now, Decrypt Later”
Existe una amenaza que ya está en marcha: adversarios sofisticados están recopilando datos encriptados hoy, almacenándolos para descifrarlos cuando la tecnología cuántica lo permita. Esta estrategia de “cosechar ahora, descifrar después” significa que la información sensible con valor a largo plazo —secretos comerciales, datos gubernamentales, registros médicos, comunicaciones diplomáticas y propiedad intelectual— ya está en riesgo. El tiempo que tardemos en migrar a PQC es tiempo que nuestros adversarios aprovechan para acumular información que eventualmente podrán leer.
México ante el desafío cuántico
Para México y América Latina, este tema requiere atención urgente. Mientras los países desarrollados avanzan en sus planes de migración, nuestra región apenas comienza a discutir el tema. La brecha tecnológica podría ampliarse dramáticamente si no actuamos con visión estratégica. Es imperativo que los gobiernos, las instituciones financieras y las empresas del sector privado inicien inventarios criptográficos, desarrollen hojas de ruta de migración y capaciten a profesionales en estas nuevas tecnologías. Afortunadamente, algunas entidades gubernamentales en México ya están tomando acciones pioneras en este sentido, como es el Gobierno del Estado de Sinaloa, que en mayo del 2025 publicó su “Política de Desarrollo Seguro” donde se solicita que se implementen algoritmos PQC para la seguridad de los nuevos sistemas de información.
La transición a la criptografía post-cuántica será, posiblemente, la mayor transformación en la historia de la infraestructura digital. Los expertos como Zygmunt Lozinski, Quantum Ambassador de IBM, estiman que una migración ordenada puede tomar entre cinco y diez años para organizaciones complejas. El momento de actuar es ahora: quienes esperen al Q-Day para comenzar a prepararse descubrirán que ya es demasiado tarde. La pregunta no es si debemos migrar, sino cuándo comenzaremos a hacerlo.
*Mtro. José Enrique Rangel Ramírez es director general de Bitia Ciberseguridad Integral.