{"id":269,"date":"2026-03-17T10:39:28","date_gmt":"2026-03-17T10:39:28","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/17\/es-hora-de-tomarse-en-serio-la-seguridad-poscuantica-aqui-es-por-donde-empezar\/"},"modified":"2026-03-17T10:39:28","modified_gmt":"2026-03-17T10:39:28","slug":"es-hora-de-tomarse-en-serio-la-seguridad-poscuantica-aqui-es-por-donde-empezar","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/17\/es-hora-de-tomarse-en-serio-la-seguridad-poscuantica-aqui-es-por-donde-empezar\/","title":{"rendered":"Es hora de tomarse en serio la seguridad poscu\u00e1ntica. Aqu\u00ed es por d\u00f3nde empezar."},"content":{"rendered":"
\n

Despu\u00e9s de d\u00e9cadas de desarrollo, la computaci\u00f3n cu\u00e1ntica est\u00e1 cada vez m\u00e1s disponible para uso cient\u00edfico y comercial avanzado. Las maravillas potenciales van desde acelerar el descubrimiento de f\u00e1rmacos y la ciencia de materiales hasta optimizar la log\u00edstica compleja y los modelos financieros.<\/p>\n

Pero hay una paradoja en esta tendencia: la computaci\u00f3n cu\u00e1ntica tambi\u00e9n representa una amenaza creciente para la seguridad de los datos.<\/p>\n

El riesgo es que los algoritmos y protocolos que se utilizan actualmente para proteger dispositivos, aplicaciones y sistemas inform\u00e1ticos puedan eventualmente ser violados por actores maliciosos que utilicen la computaci\u00f3n cu\u00e1ntica, comprometiendo incluso las medidas de seguridad m\u00e1s estrictas. Seg\u00fan algunas estimaciones, los est\u00e1ndares de cifrado ampliamente utilizados, como RSA y ECC, podr\u00edan ser descifrados por computadoras cu\u00e1nticas ya en 2029, un d\u00eda apocal\u00edptico conocido como \u201cQ-Day\u201d, cuando los est\u00e1ndares de seguridad actuales quedar\u00edan ineficaces debido a la destreza de c\u00e1lculo num\u00e9rico de la computaci\u00f3n cu\u00e1ntica.<\/p>\n

La posibilidad de que la computaci\u00f3n cu\u00e1ntica pueda romper los protocolos de protecci\u00f3n de datos actuales est\u00e1 llevando a los directores de seguridad y de tecnolog\u00eda a intensificar las contramedidas. Lo est\u00e1n haciendo con la criptograf\u00eda poscu\u00e1ntica (PQC), un \u00e1rea de nicho de la ciberseguridad cuya prioridad est\u00e1 aumentando en todo el mundo empresarial. La falta de preparaci\u00f3n podr\u00eda resultar costosa, con un informe<\/a> situando el costo econ\u00f3mico potencial de un ataque cu\u00e1ntico en Estados Unidos en m\u00e1s de 3 billones de d\u00f3lares. Incluso antes de esa posible calamidad, el costo promedio actual de una violaci\u00f3n de datos es superior a $10 millones<\/a>y ese n\u00famero s\u00f3lo aumentar\u00e1 proporcionalmente a la escala de una brecha inducida por cu\u00e1ntica.<\/p>\n

Por eso la amenaza cu\u00e1ntica no deber\u00eda ser tratada como una preocupaci\u00f3n exclusiva de los ejecutivos con visi\u00f3n de futuro. Debe convertirse en una cuesti\u00f3n a nivel de las juntas directivas de todas las empresas. Las organizaciones deber\u00edan lanzar una iniciativa integral de PQC que genere conciencia en toda la empresa y actualice los sistemas digitales y los activos de datos para que sean resistentes a los ataques cu\u00e1nticos.<\/p>\n

Esperar hasta el D\u00eda Q ser\u00eda un error porque la gente no sabr\u00e1 cu\u00e1ndo ocurrir\u00e1. Probablemente no llegar\u00e1 con comunicados de prensa ni anuncios de productos. En cambio, esto puede desarrollarse silenciosamente a medida que los atacantes intentan maximizar lo que pueden robar antes de que alguien se d\u00e9 cuenta. La realidad es que los datos confidenciales ya corren el riesgo de ser robados y almacenados para poder decodificarlos (un ataque denominado \u201ccosechar ahora, descifrar despu\u00e9s\u201d) cuando el Q-Day sea una realidad. Los profesionales de la seguridad deben prestar atenci\u00f3n inmediata a esta cuesti\u00f3n, incluso si la amenaza definitiva parece estar dentro de unos a\u00f1os.<\/p>\n

Datos de prueba cu\u00e1ntica a escala<\/h4>\n

Los equipos de seguridad suelen centrarse en las amenazas inmediatas, pero todav\u00eda tienen una ventana de oportunidad para prepararse para el Q-Day, siempre que empiecen ahora. <\/p>\n

Una medida provisional en marcha es la transici\u00f3n a versiones m\u00e1s robustas de los certificados y claves digitales que ya son omnipresentes en los negocios y la vida cotidiana. Estos certificados, que act\u00faan como credenciales de identidad, se utilizan para autenticar miles de millones de usuarios, dispositivos, documentos y otras formas de comunicaciones y puntos finales. Los certificados contienen claves criptogr\u00e1ficas. Los equipos de seguridad est\u00e1n introduciendo gradualmente \u201cclaves de 47 d\u00edas\u201d, que est\u00e1n dise\u00f1adas para caducar y ser reemplazadas en 47 d\u00edas, con mucha m\u00e1s frecuencia que la generaci\u00f3n actual. Es un paso en la direcci\u00f3n correcta, pero no suficiente.<\/p>\n

Establecer una defensa PQC reforzada requiere mucho m\u00e1s que un parche de software est\u00e1ndar o una actualizaci\u00f3n de la infraestructura de clave p\u00fablica (PKI) utilizada en la mayor\u00eda de los lugares para administrar certificados digitales y cifrar datos. Se debe adoptar e implementar a escala una estrategia de PQC para toda la empresa.<\/p>\n

Consideremos el r\u00e1pido aumento de la IA agente, donde las organizaciones pueden necesitar asignar identidades digitales a miles o incluso millones de agentes de IA. Eso requerir\u00e1 un nivel de autenticaci\u00f3n que vaya mucho m\u00e1s all\u00e1 de la infraestructura existente.<\/p>\n

Estos proyectos ser\u00e1n dirigidos por el CISO, pero la planificaci\u00f3n y ejecuci\u00f3n deben incluir a otros l\u00edderes empresariales porque la seguridad poscu\u00e1ntica debe llegar a todas las partes del entorno digital de la organizaci\u00f3n. Las juntas directivas tambi\u00e9n deben participar, dados los riesgos de gobernanza y la importante inversi\u00f3n de capital requerida. <\/p>\n

Desarrollar una estrategia plurianual y multifac\u00e9tica<\/h4>\n

Las organizaciones de industrias reguladas (banca, atenci\u00f3n m\u00e9dica y gobierno, por ejemplo) generalmente est\u00e1n un paso adelante en la preparaci\u00f3n para la amenaza poscu\u00e1ntica. Sin embargo, independientemente de la industria, pocos est\u00e1n completamente preparados porque la preparaci\u00f3n requiere una imagen detallada del panorama de seguridad y datos de extremo a extremo de una organizaci\u00f3n.<\/p>\n

En mi experiencia, esa visi\u00f3n hol\u00edstica es una rareza. Para los CISO y sus colegas de l\u00ednea de negocio, un buen punto de partida es crear un inventario completo de sistemas y datos en toda la empresa y luego priorizar lo que se debe proteger.<\/p>\n

Otro paso importante es comenzar a probar y adoptar los \u00faltimos algoritmos y protocolos resistentes a los cu\u00e1nticos que han sido estandarizados por el NIST. Una gama cada vez mayor de productos y plataformas PKI admiten esas especificaciones. Esto es esencial porque la \u00fanica forma en que las empresas podr\u00e1n orquestar, monitorear y gestionar el alcance de la implementaci\u00f3n es a trav\u00e9s de la automatizaci\u00f3n.<\/p>\n

Estas actualizaciones son vitales, pero no se trata simplemente de reemplazar las especificaciones precu\u00e1nticas por otras m\u00e1s nuevas. Debido a que PQC ser\u00e1 una tarea de varios a\u00f1os, las organizaciones deben cerrar la brecha entre lo antiguo y lo nuevo. La mejor estrategia para algunos ser\u00e1 un enfoque h\u00edbrido que combine la criptograf\u00eda cl\u00e1sica y los algoritmos de pr\u00f3xima generaci\u00f3n, aunque la estandarizaci\u00f3n sigue siendo un trabajo en progreso. Otras organizaciones est\u00e1n avanzando hacia un modelo poscu\u00e1ntico \u201cpuro\u201d o no combinado.<\/p>\n

En cuanto a esos ataques de recolecci\u00f3n, la mejor defensa es sencilla: cifrar sus datos m\u00e1s confidenciales y de larga duraci\u00f3n con algoritmos resistentes a los cu\u00e1nticos lo antes posible.<\/p>\n

PQC es una responsabilidad compartida<\/h4>\n

Desafortunadamente, no hay una l\u00ednea de meta en la carrera hacia la seguridad de la era cu\u00e1ntica. E incluso si una organizaci\u00f3n bloquea sus sistemas contra amenazas emergentes, no hay garant\u00eda de que los clientes y socios comerciales hagan lo mismo.<\/p>\n

A\u00fan persistir\u00e1n muchas vulnerabilidades, raz\u00f3n por la cual el argumento comercial para PQC incluye proteger los datos de los clientes y salvaguardar la reputaci\u00f3n y la confianza en la marca a medida que las amenazas digitales evolucionan r\u00e1pidamente. Incluso hoy en d\u00eda, una infracci\u00f3n importante puede costar millones y causar da\u00f1os duraderos a una marca corporativa.<\/p>\n

La computaci\u00f3n cu\u00e1ntica promete aportar muchas capacidades nuevas a las empresas y la sociedad, desde transformar la optimizaci\u00f3n de la cadena de suministro y el an\u00e1lisis de riesgos hasta permitir descubrimientos revolucionarios en medicina y ciencia clim\u00e1tica. Pero los riesgos potenciales son igualmente sustanciales. Despu\u00e9s de a\u00f1os de observar y esperar la tecnolog\u00eda cu\u00e1ntica, los l\u00edderes empresariales no tienen m\u00e1s remedio que tomar medidas.<\/p>\n

Chris Hickman es el director de seguridad de Keyfactor, un proveedor l\u00edder de soluciones de seguridad cu\u00e1nticas. <\/em><\/p>\n