Los ordenadores cuánticos amenazan los cimientos de la seguridad informática moderna. Las organizaciones que deseen proteger sus datos confidenciales a largo plazo deben actuar ahora, explica Sebastian Hausmann, director sénior de Ingeniería de Soluciones de NetApp.
Los ordenadores cuánticos se consideran ampliamente la próxima gran disrupción tecnológica tras la IA. Lo que antes parecía una perspectiva lejana se está acercando rápidamente: los estudios prevén que los ordenadores cuánticos relevantes desde el punto de vista criptográfico podrían estar disponibles ya en la década de 2030, capaces de descifrar algoritmos criptográficos clásicos como RSA o ECC en cuestión de días. Este punto de inflexión se conoce como «Q-Day», pero la verdadera amenaza ya está aquí y se denomina «recoger ahora, descifrar más tarde». La estrategia: los ciberdelincuentes y los actores patrocinados por Estados ya están sustrayendo datos cifrados hoy mismo, con la intención de descifrarlos más adelante con ordenadores cuánticos. Las organizaciones que creen que aún tienen tiempo están subestimando fundamentalmente el riesgo.
Una ventana de oportunidad limitada para la migración a PQC
El dilema se deriva de dos realidades que convergen. En primer lugar, los ciclos de vida de los datos son largos: gran parte de los datos sensibles deben permanecer confidenciales durante décadas —los historiales médicos en Alemania hasta 30 años, los contratos hasta diez años—. En segundo lugar, la migración a PQC lleva tiempo: dependiendo del tamaño de la organización, desde varios años hasta, según un estudio sobre migración, entre 12 y 15 años para las grandes empresas. Las cuentas están claras: el «Día Q» menos el plazo de migración es igual a urgencia, y el reloj ya está en marcha.
Los requisitos normativos, entre ellos la NIS2 y el RGPD, añaden aún más presión. Ambos exigen medidas de protección acordes con el estado actual de la técnica. La Ley de Implementación de la NIS2 de Alemania está en vigor desde diciembre de 2025, y en febrero de 2026 la Comisión Europea propuso incorporar explícitamente la PQC a los requisitos de la NIS2. El Instituto Nacional de Estándares y Tecnología (NIST) finalizó tres estándares de PQC en 2024: FIPS 203, FIPS 204 y FIPS 205. La Oficina Federal de Seguridad de la Información de Alemania (BSI) recomienda estos enfoques en su directriz TR-02102-1 y, junto con 21 organismos europeos asociados, aboga por la adopción de la PQC para 2030. Las organizaciones que no incorporen hoy los riesgos cuánticos en su análisis de riesgos se verán rápidamente a la defensiva durante las auditorías.
Almacenamiento: la última línea de defensa
El almacenamiento ha desempeñado tradicionalmente un papel infravalorado en la arquitectura de seguridad. Sin embargo, el cifrado de datos en reposo es la última línea de defensa: incluso si los atacantes eluden las medidas de protección previas, los datos permanecen seguros, siempre que estén cifrados con algoritmos resistentes a la computación cuántica. Un primer paso práctico: las unidades de autoencriptación (SED), que cifran automáticamente los datos a nivel de hardware sin merma del rendimiento.
La gestión de claves cripto-ágil sustituye automáticamente las claves heredadas por algoritmos compatibles con PQC, sin interrupciones operativas. La «agilidad criptográfica» —la capacidad de intercambiar algoritmos de forma controlada— no es un evento puntual, sino una capacidad organizativa continua. El Centro Nacional de Excelencia en Ciberseguridad (NCCoE) del NIST ha publicado una guía de migración concreta sobre este tema. Los sistemas de almacenamiento que ya admiten algoritmos PQC compatibles con el NIST ofrecen un punto de entrada rápido y sin esfuerzo al proceso de migración.
Una estrategia estructurada para la migración
Elaborar un inventario de cifrado: la transparencia es el primer paso. Cree una lista exhaustiva de todos los activos que deben cifrarse con métodos compatibles con PQC. Esto incluye protocolos de comunicación como TLS, SSH, VPN y S/MIME; bases de datos cifradas; copias de seguridad; módulos de seguridad de hardware (HSM); y servicios en la nube, así como proveedores externos y la cadena de suministro. En el caso de las grandes organizaciones, este proceso de inventario por sí solo puede llevar años.
Priorizar los riesgos: utilice un modelo de evaluación de riesgos de PQC —como los desarrollados por el sector financiero— para evaluar los sistemas en función del periodo de retención de datos, la criticidad y la complejidad de la migración. Los historiales de pacientes, los datos propios de I+D y los expedientes del personal deben recibir la máxima prioridad, ya que a menudo requieren protección durante décadas.
Poner en marcha un proyecto piloto de almacenamiento: un sistema de copias de seguridad o un archivo de datos es un punto de partida ideal. Los enfoques híbridos que ejecutan métodos de cifrado heredados y nuevos en paralelo también protegen contra los ataques convencionales. Las lecciones aprendidas del proyecto piloto deben incorporarse directamente al despliegue en toda la empresa.
Evitar errores comunes
Muchas organizaciones están esperando mejores estándares, aunque los estándares del NIST están finalizados desde 2024. Otras tratan la PQC como una iniciativa impulsada exclusivamente por las TI, pasando por alto la necesidad de involucrar a los departamentos de protección de datos, cumplimiento normativo, compras y las unidades de negocio. Confiar en los proveedores de la nube para resolver el problema ignora el hecho de que la responsabilidad de la protección de datos recae en la organización. Y la PQC no es simplemente un cambio de algoritmo: también deben actualizarse todos los procesos asociados, los programas de formación y los planes de respuesta ante emergencias.
Conclusión: quien espera, pierde
Casi la mitad (el 46 %) de las empresas alemanas aún no ha implementado ninguna medida resistente a la computación cuántica, según un estudio reciente de PwC, a pesar de que los atacantes ya están recopilando activamente datos cifrados para su futuro descifrado. Reforzar el almacenamiento como última línea de defensa, crear un inventario de claves criptográficas y priorizar sistemáticamente los riesgos: estas son las tres acciones más importantes en este momento. Las organizaciones que dotan hoy a su infraestructura de almacenamiento de una gestión de claves criptográficamente ágil y de un cifrado compatible con PQC eliminan el valor de los ataques del tipo «recoger ahora, descifrar más tarde» y se ganan el tiempo que inevitablemente requerirá la migración a nivel de toda la empresa.
El Dr. Jakob Jung es redactor jefe de Security Storage y Channel Germany. Lleva más de 20 años trabajando en el periodismo especializado en TI. A lo largo de su carrera ha colaborado con Computer Reseller News, Heise Resale, Informationweek, Techtarget (almacenamiento y centros de datos) y ChannelBiz. Además, colabora como freelance con numerosas publicaciones del sector de las TI, entre las que se incluyen Computerwoche, Channelpartner, IT-Business, Storage-Insider y ZDnet. Sus temas principales son el canal, el almacenamiento, la seguridad, los centros de datos, los sistemas ERP y CRM.
Contacto – Contacto por correo electrónico: jakob.jung@security-storage-und-channel-germany.de