La llegada de la computación cuántica promete transformar muchas de las bases sobre las que hoy se construye la seguridad digital. En paralelo, el debate sobre la urgencia de migrar hacia esquemas de criptografía poscuántica toma fuerza en Europa, impulsado por las recomendaciones del NIST, el calendario regulatorio europeo y la creciente preocupación por el modelo “robar ahora para descifrar después”. En este contexto, Ciberseguridad TIC reúne a Capucine Bardet, responsable de ventas en España, y Pierre Cáceres, ingeniero preventa, ambos de PRIMX, compañía francesa especializada en cifrado y criptoagilidad. Su visión conjunta dibuja un panorama donde la anticipación, la interoperabilidad y la cooperación público-privada resultan claves para no quedarse atrás.
La computación cuántica aún no ha irrumpido, pero la obsolescencia de los modelos actuales sí tiene fecha
Reconoce Capucine Bardet que el interés por el tema crece, pero no de forma equilibrada. Según explica, las grandes organizaciones ya están en fases de auditoría y análisis, mientras que las más pequeñas “lo ven como un riesgo más lejano”, empujadas por urgencias más inmediatas. Pierre Cáceres aporta la perspectiva europea: la hoja de ruta publicada por la Comisión Europea establece que los estados miembros deben haber iniciado la transición antes del próximo año al tiempo que avisa: “A partir de 2030, las soluciones deberán llevar criptografía poscuántica, o si no, no se podrán comercializar”. Un recordatorio de que los plazos son menos amplios de lo que parecen.
Aunque se habla mucho del almacenamiento de datos cifrados para descifrarlos cuando la computación cuántica lo permita, Capucine Bardet considera que esta preocupación “todavía no está en la reflexión estratégica de la mayoría”. No porque el riesgo no exista, sino porque muchas organizaciones tienen dificultades para valorar la sensibilidad futura de sus datos. En sectores como defensa o infraestructuras críticas, en cambio, la alerta es mayor: allí sí se manejan planes, diseños y estrategias con vigencia de varias décadas, lo que amplifica la amenaza del descifrado diferido.
Inventariado y criptoagilidad
“La criptografía está en todas las soluciones, incluso en algunas que no identificamos como de ciberseguridad”, asegura Capucine Bardet, recordando que la transición poscuántica no consiste únicamente en reemplazar algoritmos: requiere comprender dónde está la criptografía y qué impacto tiene modificarla. Esto convierte el inventario en un ejercicio complejo, costoso y, en muchos casos, paralizante.
Añade Pierre Cáceres que tras ese inventario es imprescindible verificar si los fabricantes ya incorporan planes de actualización. Y explica cómo se realizará la migración real: “Vamos a descifrar y volver a cifrar los datos con algoritmos híbridos”, un proceso que exige coordinación y que PRIMX busca simplificar con actualizaciones transparentes que alineen sus soluciones con las directrices del NIST.
La conversación evoluciona hacia la necesidad de responder con rapidez a vulnerabilidades o cambios en los estándares. Para Cáceres, la criptoagilidad es esencial: “Transitar al postcuántico no es sólo cambiar un componente criptográfico, es un trabajo profundo de migración”. Y ese trabajo debe garantizar continuidad operativa, compatibilidad y capacidad de reacción ante fallos inesperados.
El proyecto Hyperform, en el que participa PRIMX, busca precisamente facilitar esa transición a gran escala, gestionando de forma automática claves y algoritmos para evitar que el cambio afecte al negocio.
Estándares y brechas
Capucine Bardet recuerda que, en criptografía, no hay espacio para la improvisación. “No se trata de ser original y hacer su propio algoritmo en su cocina”, afirma. La confianza exige validación internacional, análisis profundo y supervisión de organismos competentes. Por ello, la estrategia de PRIMX se alinea estrictamente con las recomendaciones del NIST, CCN y la Unión Europea, incorporando sus algoritmos en cuanto se estandarizan.
Sobre cómo evolucionará la protección de datos en los próximos años, ambos coinciden en que será necesaria una monitorización constante de componentes criptográficos, muy similar a los actuales sistemas de gestión de vulnerabilidades. Si emerge una debilidad, los sistemas deberán detectar los datos afectados y “transcifrar los datos” con nuevas primitivas. Este enfoque dinámico, sostienen, será imprescindible para mantener la continuidad del negocio en un entorno donde los algoritmos podrán quedar obsoletos con rapidez.
Capucine Bardet reconoce que la transición poscuántica puede abrir una brecha adicional entre empresas grandes y pequeñas. “Cuando llegue el quantum day, las soluciones que no sean resistentes se volverán obsoletas”, afirma. Por eso insiste en que los fabricantes deben asumir un rol activo proporcionando soluciones que simplifiquen la adopción y reduzcan las fricciones operativas, especialmente para quienes no disponen de equipos especializados.
El mensaje final que PRIMX traslada a los CISOs es pragmático: la transición poscuántica no es un cambio puntual, sino un proceso. Requiere inventario, colaboración con proveedores, alineamiento con estándares y una estrategia que priorice según la criticidad de los datos. Como recuerda Cáceres, las normativas europeas ya marcan plazos diferenciados: los datos más críticos deben migrar antes de 2030.
La computación cuántica aún no ha irrumpido, pero la obsolescencia de los modelos actuales sí tiene fecha. Prepararse ahora es la diferencia entre adaptarse a tiempo o afrontar un salto tecnológico sin red.
