En marzo pasado, el National Cyber Security Centre (NCSC) del Reino Unido publicó un roadmap integral para la migración hacia criptografía post-cuántica (PQC). No se trató de una guía genérica ni de recomendaciones abiertas a interpretación. Fue un calendario estructurado, dividido en tres fases con plazos definidos y una progresión clara hasta 2035.
Este roadmap de migración PQC establece una hoja de ruta que obliga a las organizaciones a actuar con anticipación si desean mantener resiliencia frente al avance de la computación cuántica.
Fase 1 del roadmap de migración PQC: diagnóstico antes de 2028
La primera fase, con fecha límite en 2028, exige completar una fase de descubrimiento exhaustiva. Esto implica identificar todos los servicios criptográficos que requieren actualización, evaluar dependencias técnicas y construir un plan de migración detallado. No se trata únicamente de saber qué algoritmos están en uso, sino de entender cómo están integrados en sistemas, procesos y cadenas de suministro.
El mensaje implícito es claro: antes de migrar, hay que saber exactamente qué debe cambiarse. Y este proceso, en organizaciones complejas, puede requerir entre 12 y 18 meses solo para completar el inventario criptográfico, a lo que se suma el tiempo necesario para planificar la transición.
Fase 2: migración prioritaria antes de 2031
La segunda etapa, con horizonte en 2031, se centra en completar las actividades de migración de alta prioridad. Esto incluye actualizar sistemas críticos, adaptar planes conforme evolucionan los estándares de PQC y gestionar activamente los riesgos asociados a la transición.
El roadmap reconoce que los estándares post-cuánticos seguirán evolucionando. Por ello, no basta con ejecutar un plan estático; es necesario mantener una gestión continua del riesgo durante todo el proceso de adopción.
Fase 3: cumplimiento total en 2035
La fase final fija el objetivo de completar la migración en todos los sistemas, servicios y productos antes de 2035. Esto implica cumplir plenamente con los estándares post-cuánticos y operar en un entorno completamente resiliente frente a la computación cuántica.
El CTO del NCSC, Ollie Whitehouse, fue explícito al señalar que la migración a PQC no es opcional, sino esencial para proteger la infraestructura digital del Reino Unido. La computación cuántica promete revolucionar la tecnología, pero también introduce riesgos significativos para la seguridad.
Un calendario que parece amplio, pero no lo es
A primera vista, el horizonte temporal puede parecer generoso: 2028 para completar el diagnóstico, 2031 para migrar lo crítico y 2035 para finalizar el proceso. Sin embargo, cuando se analizan los tiempos reales de ejecución, la percepción cambia.
El inventario criptográfico puede extenderse entre 12 y 18 meses. La planificación de la migración requiere otros 6 a 12 meses adicionales. Las fases de testing y validación son continuas. La coordinación con proveedores puede llevar años. Y los sistemas legacy, en muchos casos, requieren reemplazo completo.
Si una organización inicia el proceso en 2026, puede llegar preparada a cada hito: inventario y planificación listos antes de 2028, migración prioritaria completada antes de 2031 y transición total finalizada antes de 2035. En cambio, retrasar el inicio hasta 2028 implica inventarios apresurados, planificación comprimida y una implementación bajo presión, con mayor riesgo de errores operativos y fallos de seguridad.
El roadmap de migración PQC del NCSC no es una advertencia teórica. Es una hoja de ruta diseñada para garantizar la supervivencia digital en un entorno donde la criptografía actual tiene fecha de caducidad técnica.
En Byt4 ayudamos a las organizaciones a anticipar esta transición, evaluando su exposición real, estructurando inventarios criptográficos completos y diseñando planes de migración alineados con estándares internacionales y marcos regulatorios emergentes.