Durante los últimos meses, el debate sobre la criptografía post-cuántica (PQC) ha dejado de ser una conversación técnica para convertirse en una cuestión estratégica de primer nivel. Si hace unos años aún era posible argumentar que los estándares no estaban definidos o que la tecnología no estaba madura, en marzo de 2026 esas excusas han desaparecido.
Hoy ya no es razonable afirmar que “los estándares aún no están listos”. El National Institute of Standards and Technology (NIST) publicó los estándares FIPS 203, 204 y 205 hace aproximadamente dieciocho meses. Estos documentos establecen algoritmos post-cuánticos oficiales y proporcionan una base clara para iniciar la transición. Tampoco es defendible argumentar que “es demasiado pronto”. Hace apenas semanas, el FBI, CISA y NIST lanzaron oficialmente el Year of Quantum Security 2026, dejando claro que la orientación ya no es teórica, sino operacional.
El contexto global confirma esta tendencia. Apple, Google, Microsoft e IBM están implementando capacidades relacionadas con criptografía post-cuántica en distintos niveles de sus plataformas. IBM ha reiterado que espera demostrar quantum advantage antes de finalizar este año. IonQ ya demostró hace meses una ventaja cuántica práctica en una aplicación médica real. Stanford logró comunicación cuántica estable a temperatura ambiente, eliminando una de las barreras históricas de comercialización. Y el mercado de criptografía post-cuántica, actualmente valorado en torno a 1.680 millones de dólares, podría superar los 30.000 millones en 2034.
Este conjunto de hechos no es anecdótico. Representa una convergencia estructural que obliga a replantear prioridades estratégicas.
Lo que ha ocurrido en los últimos meses
En enero de 2026 se lanzó oficialmente el Year of Quantum Security por parte de FBI, CISA y NIST, consolidando un mensaje claro: la transición hacia criptografía resistente a la computación cuántica debe comenzar ahora. Ese mismo día, el G7 publicó un roadmap coordinado dirigido al sector financiero, reforzando la dimensión internacional del movimiento.
Un año antes, en marzo de 2025, el UK National Cyber Security Centre (NCSC) había publicado su roadmap con plazos concretos para 2028, 2031 y 2035. En paralelo, IonQ demostraba la primera ventaja cuántica práctica en un entorno comercial real. En noviembre de 2025, IBM presentó su procesador Nighthawk y anunció su objetivo de alcanzar quantum advantage en 2026. En diciembre de 2025, Stanford logró comunicación cuántica a temperatura ambiente.
Estos eventos no son aislados. Son piezas de un mismo tablero.
Estándares definidos, regulación activa y mercado en expansión
El panorama actual puede resumirse en seis elementos clave.
Primero, los estándares están finalizados. Ya existen algoritmos post-cuánticos reconocidos y aprobados. Segundo, la regulación ha pasado de la recomendación a la obligación progresiva. Los roadmaps incluyen plazos concretos y expectativas claras de cumplimiento. Tercero, la tecnología está acelerándose a un ritmo superior al previsto hace solo cinco años. Cuarto, la industria ya está implementando soluciones, no esperando a que el riesgo sea evidente. Quinto, el mercado está creciendo rápidamente, con proyecciones de decenas de miles de millones de dólares en la próxima década. Y sexto, el tiempo disponible se reduce. El horizonte 2035 no está a décadas vista, sino a menos de diez años.
Para organizaciones con infraestructuras complejas, nueve años no es un margen amplio. La migración criptográfica no es un proyecto puntual. Implica inventario exhaustivo, planificación detallada, pruebas continuas, coordinación con proveedores y, en muchos casos, sustitución de sistemas legacy.
La pregunta estratégica para el Consejo de Administración
Ante este contexto, la primera pregunta que debería plantearse cualquier consejo de administración es directa: ¿hemos comenzado nuestro inventario criptográfico?
Un inventario criptográfico completo es la base de cualquier estrategia de transición a PQC. Sin conocer con precisión dónde se utilizan RSA, ECC u otros algoritmos vulnerables, es imposible priorizar adecuadamente. Este proceso puede requerir entre doce y dieciocho meses en organizaciones de tamaño medio o grande.
Si la respuesta es negativa, la organización ya se encuentra por detrás del ritmo recomendado por los reguladores y las mejores prácticas internacionales.
La responsabilidad del CISO
Para el CISO, la cuestión clave es si existe un roadmap de migración PQC con hitos fechados y responsabilidades asignadas. No basta con reconocer el riesgo en abstracto. Es necesario traducirlo en un plan estructurado que incluya pruebas piloto, implementación progresiva de criptografía híbrida y despliegue de capacidades de crypto-agility.
Los reguladores no evaluarán intenciones, sino evidencias de gestión activa del riesgo. En un entorno donde gobiernos y organismos internacionales han publicado hojas de ruta claras, justificar la inacción se vuelve cada vez más complejo.
La perspectiva financiera: distribuir inversión o asumir costes de urgencia
Desde el punto de vista financiero, la decisión también es binaria. Las organizaciones pueden distribuir la inversión en transición post-cuántica a lo largo de nueve años, integrándola en sus ciclos normales de renovación tecnológica, o pueden retrasar la acción y enfrentarse a un escenario de implementación acelerada bajo presión regulatoria.
La historia tecnológica demuestra que las migraciones forzadas bajo urgencia tienden a ser significativamente más costosas. Además del impacto presupuestario, aumentan el riesgo de errores operativos y fallos de seguridad.
No existe una tercera opción realista basada en “esperar y ver”. Esa postura podía tener sentido hace dos o tres años. En marzo de 2026, con estándares definidos, regulación activa y avances tecnológicos acelerados, la ventana de espera se ha cerrado.
El riesgo de los datos capturados hoy
Un elemento adicional que intensifica la urgencia es la estrategia conocida como “Harvest Now, Decrypt Later”. Actores avanzados pueden estar recopilando hoy datos cifrados con la intención de descifrarlos cuando la capacidad cuántica lo permita. Esto significa que la protección no debe centrarse únicamente en sistemas futuros, sino en información actual con larga vida útil.
Las organizaciones que gestionan datos sanitarios, financieros o industriales deben considerar horizontes temporales superiores a diez años. Si la información sigue siendo sensible dentro de una década, su cifrado actual podría resultar insuficiente.
Crypto-agility como requisito estructural
Adoptar algoritmos post-cuánticos es un paso necesario, pero no suficiente. Las arquitecturas deben diseñarse con crypto-agility, es decir, con la capacidad de intercambiar algoritmos sin reescribir aplicaciones completas. Esta agilidad reduce el riesgo de dependencia de un único estándar y facilita la adaptación a futuras evoluciones técnicas.
Implementar capas intermedias, proveedores criptográficos modulares o proxies especializados permite desacoplar la lógica de negocio del mecanismo de cifrado. Esta decisión arquitectónica puede marcar la diferencia entre una transición gestionable y un proyecto disruptivo.
El momento adecuado
Existe una frase recurrente en estrategia tecnológica: el mejor momento para actuar fue hace dos años; el segundo mejor momento es ahora. La migración hacia criptografía post-cuántica se encuentra en ese punto.
Las organizaciones que comiencen esta semana a estructurar su inventario criptográfico y su roadmap de transición tendrán margen para distribuir esfuerzos, gestionar riesgos y optimizar inversiones. Las que retrasen la decisión reducirán progresivamente sus opciones.
La computación cuántica no es una amenaza hipotética lejana. Es una evolución tecnológica con respaldo institucional, industrial y financiero. La pregunta ya no es si llegará, sino si la infraestructura actual estará preparada cuando lo haga.
En Byt4 trabajamos con organizaciones que desean anticipar este escenario, evaluando su exposición real, diseñando arquitecturas crypto-agile y estructurando planes de migración alineados con estándares internacionales y marcos regulatorios emergentes. La transición a PQC no es un proyecto aislado, sino una transformación estratégica que requiere liderazgo, planificación y ejecución disciplinada.