La conversación sobre criptografía poscuántica ya no pertenece al terreno de lo hipotético. La aceleración tecnológica, los plazos marcados por NIST y la presión regulatoria del CCN han colocado a las organizaciones ante un reto que, en palabras de muchos expertos, «ya está aquí». En este contexto, Ciberseguridad TIC conversa con Thales —compañía históricamente vinculada a la protección del dato y a los procesos de estandarización criptográfica— para entender cómo ven la preparación real de las empresas y qué implica transitar hacia un mundo donde convivirán, durante años, algoritmos clásicos y poscuánticos.
En este escenario, la cripto-agilidad emerge como un principio rector
Eutimio Fernández, Regional Sales Manager de Thales Cyber Security Products, aterriza la conversación con una advertencia clara: “El horizonte que se está moviendo es de tres a cinco años para la implantación”. Su frase resume el tono de fondo: la transición poscuántica ya no es un debate académico, sino un proceso estratégico que exige método, visibilidad y una gobernanza madura del ciclo criptográfico.
La madurez no avanza por igual. Mientras que los sectores de banca, defensa o, sanidad ya están evaluando escenarios y ejecutando pruebas, otros sectores se mantienen en un punto difuso, casi de “concienciación inicial». Eutimio Fernández lo describe con naturalidad: «Hay sectores mucho más concienciados y ya están preparándose… mientras que otros aún lo ven como algo en lo que hay que meterse, pero todavía no están en ello”
La urgencia está condicionada por el valor temporal de los datos. Proyectos de I+D, historiales clínicos, propiedad intelectual o información sensible con vida útil de décadas son el objetivo natural de la estrategia Harvest Now, Decrypt Later. El mensaje de Thales es directo: lo que se roba hoy puede descifrarse dentro de muy poco. “Ese largo plazo cada vez es más corto”, apunta el directivo, recordando que incluso las predicciones más conservadoras del NIST y del CCN sitúan la ventana en apenas unos años.
La complejidad real
Migrar no consiste simplemente en “cambiar el algoritmo”. La dificultad aparece al mirar el ecosistema completo. Eutimio Fernández lo explica con un ejemplo muy cotidiano: cifrar algo en poscuántico puede hacer que un navegador, un mainframe o una aplicación heredada deje de entender ese dato. “Implica desarrollo, rendimiento, procesadores, aplicaciones de negocio que ahora no se pueden modificar…”, resume.
De ahí que Thales insista en la metodología: inventario, análisis criptográfico, clasificación de datos, decisión de prioridades, implantación híbrida y, finalmente, gobernanza. Sin este orden, el riesgo no es sólo quedarse atrás, sino romper procesos críticos.
El lanzamiento del Luna HSM 7.9 es, para Thales, una pieza clave del puente entre el presente y el futuro. Permite operar con algoritmos clásicos y poscuánticos en un mismo entorno, evitando infraestructuras paralelas y habilitando ese periodo híbrido que todas las organizaciones deberán atravesar. “Para nosotros es un salto cuántico”, explica el directivo, añadiendo que facilita experimentar y operar sin duplicar sistemas ni friccionar con el negocio.
La convivencia no es un escenario teórico. Ya existe hardware que deja elegir entre RSA o Falcon, un algoritmo en el que Thales ha colaborado activamente con NIST. Ese punto intermedio es necesario mientras la tecnología madura, los sistemas se adaptan y las empresas se acostumbran a gobernar dos mundos criptográficos de forma simultánea.
Practicar antes de migrar
El segundo eje de la estrategia de Thales es el PQC Starter Kit, desarrollado junto a Quantinuum. Su objetivo: desdramatizar la transición y evitar errores que podrían ser irreversibles. “El cifrar de golpe con algoritmos distintos, si no se hace bien, te puede llevar un gran problema”, advierte Fernández. El kit ofrece un entorno seguro para probar, validar estrategias y comprobar comportamientos antes de dar un paso que, si sale mal, podría inutilizar datos críticos.
Más allá de la tecnología, Thales insiste en la gobernanza. Descubrimiento, control de claves, rotación, políticas consistentes y supervisión continua forman una base imprescindible para evitar improvisaciones.
En este escenario, la cripto-agilidad emerge como un principio rector: la capacidad de cambiar algoritmos, actualizar claves y adaptar procesos sin “romper” la operativa. Un enfoque que no sólo prepara para la irrupción cuántica, sino que refuerza la resiliencia general de la organización.
El ritmo tecnológico añade presión al calendario. China anuncia chips poscuánticos mil veces más rápidos que los anteriores; Estados Unidos avanza en máquinas de miles de cúbits; y la sensación, como admite Fernández, es que nadie sabe realmente qué capacidades están desarrollando ciertos gobiernos.
La frase de cierre de Eutimio Fernández es, de hecho, todo un titular editorial: “La resistencia cuántica es la forma de prepararse ahora para los problemas que nos van a venir en los próximos tres o cuatro años”.
