Durante años, el debate sobre la criptografía post-cuántica (PQC) ha girado en torno a la elección de algoritmos: cuál resistirá mejor, qué estándar se adoptará y qué librerías lo integrarán primero. Sin embargo, una nueva perspectiva más pragmática empieza a ganar terreno en el sector: el desafío no es solo técnico, sino organizativo. La palabra clave en esta transformación es gobernanza.
Este enfoque es el corazón de un artículo publicado recientemente en HackerNoon por Sarath Chandra Vidya Sagar Machupalli, que destaca un aspecto menos glamuroso pero más realista del salto hacia la era post-cuántica: quién lidera la transición, cómo se mide el progreso y cómo se mantiene el cumplimiento normativo mientras sistemas “clásicos” y post-cuánticos coexisten durante años.
El autor no se basa en alarmismos ni en ciencia-ficción; al contrario, subraya que en entornos empresariales, la amenaza cuántica ya no se percibe simplemente como otra actualización de seguridad. En cambio, plantea que la transición obliga a revisar la manera en que las compañías gestionan sus activos criptográficos. La mayoría de sus políticas, inventarios y controles se diseñaron en un contexto donde “RSA-2048 se consideraba irrompible”. Por ello, migrar en este escenario no es solo un parche de vulnerabilidades, sino una tarea compleja de migración de infraestructuras invisibles que sustentan identidades, sesiones, certificados, cifrado de datos, firmas y cadenas de suministro.
El problema silencioso: la criptografía como “dependencia oculta”
Uno de los desafíos más incómodos es que muchas organizaciones no tienen un mapa claro de dónde y cómo usan criptografía, los algoritmos que emplean, los tamaños de clave y las dependencias asociadas. Esto no se debe necesariamente a malas prácticas, sino a que la criptografía a menudo está “empotrada” en múltiples capas técnicas y en diferentes proveedores: TLS en los servidores, infraestructuras PKI, módulos en ERP, firmware en dispositivos industriales, pasarelas móviles o servicios en la nube gestionados.
Este vacío de información tiene consecuencias importantes. Si una compañía no puede responder con precisión a qué algoritmos protegen qué datos, tampoco podrá priorizar las acciones necesarias para la migración. La priorización, a su vez, es fundamental porque la transición post-cuántica no se realiza en un solo trimestre; se planifica en olas, teniendo en cuenta sistemas críticos, restricciones regulatorias, dependencias con socios y la existencia de tecnología heredada que no se puede eliminar de un día para otro.
Por ello, el artículo propone que, para gestionar efectivamente el riesgo cuántico, es imprescindible tratar la criptografía como un activo gestionable: mantener un inventario actualizado, evaluar su criticidad, asignar propietarios, definir métricas, asegurar trazabilidad y gestionar su ciclo de vida.
De la “PQC” a la “seguridad cuántica”: un cambio de paradigma
Otra contribución clave del texto es la diferenciación entre PQC (resistencia de algoritmos) y seguridad cuántica (el marco integral de gobernanza, cumplimiento y estrategia). Aunque parezca un matiz sutil, tiene implicaciones prácticas importantes:
- PQC responde al “qué algoritmo implemento”.
- Gobernanza de seguridad cuántica abarca preguntas más complejas: ¿quién es responsable? ¿qué sistemas migran primero? ¿qué significa estar “preparado”? ¿cómo se audita? ¿qué pasa con el legado durante la transición?
En este sentido, muchas empresas hoy enfrentan un cuello de botella: mantienen políticas tradicionales, inventarios incompletos y estructuras de decisión que no están preparadas para una migración criptográfica que puede durar varios años y afectar múltiples ámbitos.
Cumplimiento normativo: objetivos en movimiento y auditorías delicadas
El artículo recalca una inquietud clave para los responsables de cumplir con normativas y proteger sus sistemas: las regulaciones y estándares evolucionan, pero los sistemas no migran al mismo ritmo. Esto genera situaciones híbridas en las que conviven enfoques tradicionales y post-cuánticos, con sistemas todavía dependientes de algoritmos convencionales, lo que plantea preguntas como:
- ¿Un TLS híbrido (que combina mecanismos clásicos y post-cuánticos) se considera “resistente a cuántico” en auditorías?
- Si una normativa exige “resistencia cuántica”, ¿es suficiente una solución completamente post-cuántica o se aceptan puentes temporales?
- ¿Cómo documentar con rigor una hoja de ruta ante auditores que quizás no tengan un conocimiento técnico profundo?
El autor aconseja que esperar una “claridad absoluta” sea peligroso; en su lugar, recomienda adoptar marcos de gobernanza flexibles, capaces de ajustarse a la evolución de los estándares y de demostrar diligencia en el presente.
Riesgos operativos en la transición: más allá de los algoritmos
Además de los desafíos técnicos, la transición presenta riesgos operativos que pueden ser tanto o más peligrosos:
- Gestión de claves más compleja, ante cambios en tamaño, rendimiento, almacenamiento o supuestos de diseño.
- Trade-offs de rendimiento, ya que no todos los sistemas responden igual en latencia, CPU o memoria.
- Interoperabilidad, ya que los socios y proveedores migrarán en diferentes ritmos, obligando a coexistencias y configuraciones duales.
- Cadena de suministro, que incluye dispositivos, SaaS, integradores y fabricantes en los que también reside la criptografía.
El mensaje es claro: la transición hacia la seguridad cuántica no es solo un proyecto técnico, sino una transformación profunda en la arquitectura, operación y gobernanza de la organización.
Un enfoque práctico, no un póster conceptual
El artículo culmina con una lista de pasos prácticos —más que recetas fijas— que sirven como esqueleto organizacional para las empresas que desean avanzar sin quedarse en la teoría:
- Patrocinio ejecutivo real: visibilidad en el comité directivo, no solo en TI.
- Equipo de transición: con autoridad, presupuesto y responsabilidad cruzada.
- Inventario criptográfico: automatizado, sin depender solo de documentación histórica.
- Hoja de ruta basada en riesgos: considerando sensibilidad, confidencialidad y exposición.
- Soluciones híbridas: como puente para compatibilidad sin frenar avances.
- Monitorización continua: métricas de adopción, rendimiento y cuellos de botella.
- Formación: para equipos técnicos, responsables de riesgo y decisores.
La clave no reside tanto en seguir una lista rígida, sino en convertir la transición en un programa gobernado, con criterios claros, indicadores y mecanismos de rendición de cuentas.
Preguntas frecuentes
¿Qué implica la “gobernanza de seguridad cuántica” en una empresa?
Se refiere al conjunto de procesos, responsables, políticas y métricas para gestionar el riesgo criptográfico ante la llegada de la computación cuántica: inventario de usos, prioridades de migración, control de cambios y cumplimiento normativo.
¿Por qué no basta con “cambiar a algoritmos post-cuánticos”?
Porque la criptografía está repartida en múltiples sistemas, proveedores y dispositivos. Sin inventario, priorización y coordinación, el cambio puede generar puntos ciegos, incompatibilidades y riesgos operativos.
¿Qué significa un enfoque “híbrido” en criptografía post-cuántica?
Es una estrategia que combina mecanismos clásicos y post-cuánticos para mantener compatibilidad y aumentar la resistencia frente a amenazas futuras durante la proceso de migración.
¿Qué sectores avanzan antes en la preparación post-cuántica?
Sectores con datos de larga vida útil o alta criticidad, como infraestructura crítica, finanzas, salud, administración pública y grandes plataformas digitales, debido a que el riesgo aumenta cuanto más tiempo hay que proteger la confidencialidad.
En conclusión, adoptar una visión centrada en la gobernanza y no solo en la tecnología será clave para afrontar con éxito la era post-cuántica, garantizando que las organizaciones puedan navegar el cambio de manera efectiva y segura.