El G7 ha puesto fecha al fin de la criptografía tal y como hoy la conocemos en el sector financiero. Según un nuevo documento publicado a mediados de enero, las entidades financieras y los organismos públicos deberían haber completado su transición a sistemas criptográficos resistentes a la computación cuántica —conocidos como post-quantum cryptography (PQC)— a más tardar en 2034.
El documento ha sido elaborado por el G7 Cyber Expert Group (CEG), el grupo de expertos que asesora a los ministros de Finanzas y a los gobernadores de los bancos centrales del G7 en materia de ciberseguridad. Su objetivo es anticipar el impacto que tendrán los futuros ordenadores cuánticos capaces de romper los algoritmos criptográficos actuales, un escenario que, aunque todavía no se ha materializado, ya está influyendo en la estrategia defensiva de gobiernos y grandes organizaciones.
Lejos de plantear un enfoque regulatorio inmediato, el G7 propone un roadmap orientativo y no prescriptivo, diseñado para ayudar a los equipos directivos y de seguridad a planificar una transición que será compleja, prolongada y con fuertes dependencias tecnológicas.
Seis fases para una transición que llevará una década
El roadmap del G7 estructura la migración a criptografía postcuántica en seis grandes fases, muchas de las cuales se solapan en el tiempo y pueden ejecutarse en paralelo.
La primera etapa, centrada en la concienciación y preparación, arranca ya y se extiende hasta 2027. En ella, las organizaciones deben elevar el nivel de conocimiento sobre el riesgo cuántico en los comités de dirección, identificar sistemas críticos y comenzar a evaluar qué datos necesitan protección a largo plazo.
Entre 2025 y 2028, el foco pasa a la identificación e inventario de activos criptográficos, protocolos de comunicación y dependencias de terceros, un paso clave en un sector altamente interconectado y dependiente de proveedores tecnológicos y servicios cloud.
A partir de 2026, el G7 recomienda abordar una evaluación de riesgos y planificación más detallada, definiendo planes de migración tanto para sistemas críticos como no críticos. La ejecución de la migración, el núcleo del proceso, se extenderá previsiblemente entre 2027 y 2034, priorizando las funciones más sensibles desde el punto de vista sistémico.
Las dos últimas fases —pruebas y validación continua— se solapan con la parte final de la migración y se prolongan hasta 2035, con el objetivo de asegurar que los nuevos sistemas funcionan correctamente y pueden adaptarse a la evolución de estándares y amenazas.
“Harvest now, decrypt later”: el riesgo ya es actual
Uno de los mensajes más relevantes del documento es que la amenaza cuántica no es un problema futuro, sino un riesgo presente. El G7 advierte del auge de las estrategias de “harvest now, decrypt later”, mediante las cuales los atacantes interceptan y almacenan hoy información cifrada con la expectativa de poder descifrarla cuando la tecnología cuántica lo permita.
Este escenario afecta especialmente a datos que deben mantenerse confidenciales durante décadas, como contratos financieros a largo plazo, información personal sensible o secretos comerciales, lo que convierte la migración a PQC en una cuestión de resiliencia a largo plazo, no solo de cumplimiento técnico.
Criptoagilidad y cooperación, claves del enfoque del G7
Más allá de los plazos, el G7 subraya dos principios clave. El primero es la criptoagilidad, es decir, la capacidad de las organizaciones para sustituir algoritmos criptográficos de forma ágil y con el menor impacto posible sobre los sistemas. Este enfoque busca evitar transiciones traumáticas y facilitar la adaptación continua a nuevos estándares.
El segundo es la cooperación. El documento insiste en la necesidad de coordinar esfuerzos entre jurisdicciones, entidades financieras, proveedores tecnológicos y organismos de estandarización para evitar enfoques fragmentados que puedan poner en riesgo la interoperabilidad y la estabilidad del sistema financiero global.
En este sentido, el roadmap del G7 se alinea con las iniciativas de organismos como NIST, ISO o el BIS y refuerza la idea de que la transición a la criptografía postcuántica será uno de los grandes retos estructurales de la ciberseguridad en la próxima década.
