En la columna anterior analizamos por qué la computación cuántica puede transformar la ciberseguridad de las empresas. Sin embargo, entender la amenaza es apenas el primer paso.
La pregunta verdaderamente incómoda es otra:
¿Sabe su organización exactamente qué sistemas, proveedores, aplicaciones y procesos dependen de una criptografía que deberá ser reemplazada?
En muchas empresas, la respuesta honesta es no.
Se utilizan certificados digitales, conexiones cifradas, firmas electrónicas, redes privadas, sistemas de pago, plataformas en la nube, aplicaciones móviles, dispositivos conectados y servicios de terceros. Todos dependen, en algún punto, de algoritmos criptográficos. Sin embargo, pocas organizaciones poseen un inventario completo de esas dependencias.
Ese desconocimiento está creando una nueva forma de pasivo tecnológico: la deuda criptográfica.
Así como la deuda técnica aparece cuando una organización construye sistemas difíciles de mantener o actualizar, la deuda criptográfica surge cuando utiliza mecanismos de protección que no puede localizar, evaluar o sustituir con rapidez.
El riesgo, por lo tanto, no comienza el día en que exista una computadora cuántica capaz de vulnerar determinados algoritmos. Comienza mucho antes: cuando una empresa conserva datos de larga vida, firma contratos tecnológicos sin requisitos de actualización y opera sistemas cuyo cifrado nadie sabe cómo modificar.
La amenaza cuántica ya cambió de etapa
Durante años, la ciberseguridad cuántica fue presentada como un escenario lejano, reservado para científicos, gobiernos o grandes corporaciones tecnológicas.
Esa interpretación ya no es suficiente.
En agosto de 2024, el National Institute of Standards and Technology publicó sus primeros tres estándares definitivos de criptografía poscuántica: ML-KEM para el establecimiento de claves, y ML-DSA y SLH-DSA para firmas digitales. NIST señala que estos estándares ya están disponibles para ser implementados y recomienda que las organizaciones comiencen la transición.
Esto cambia la conversación.
Ya no estamos esperando a que alguien invente una posible solución. Las primeras soluciones estandarizadas existen. El desafío actual es integrarlas progresivamente en sistemas, productos, protocolos y cadenas de proveedores.
NIST también plantea retirar gradualmente los algoritmos de clave pública vulnerables a ataques cuánticos. Su ruta de transición prevé que ciertos esquemas con un nivel de seguridad de 112 bits sean considerados obsoletos después de 2030 y que los algoritmos vulnerables sean eliminados de sus estándares hacia 2035, con transiciones anteriores para sistemas de mayor riesgo.
El National Cyber Security Centre del Reino Unido propone una trayectoria similar: realizar el descubrimiento completo de las dependencias criptográficas y construir un plan inicial antes de 2028; migrar los servicios prioritarios antes de 2031; y completar la transición hacia 2035.
Las fechas no deben interpretarse como una invitación a esperar. Deben leerse como la evidencia de que la migración será extensa, compleja y probablemente abarcará varios ciclos presupuestales.
El riesgo de almacenar hoy para descifrar mañana
Existe, además, un problema que vuelve engañosa cualquier estrategia basada en esperar.
Un atacante puede interceptar y almacenar información cifrada en el presente, aunque todavía no pueda leerla. Años después, si obtiene acceso a capacidades cuánticas suficientes, podría intentar descifrarla. Esta estrategia suele describirse como harvest now, decrypt later: recolectar ahora para descifrar después.
No toda la información conservará valor durante tanto tiempo. Una promoción comercial que vence la próxima semana probablemente habrá perdido relevancia dentro de diez años.
Pero otros activos no caducan con la misma rapidez:
historiales financieros;propiedad intelectual;fórmulas y diseños;expedientes médicos;datos biométricos;información sobre clientes;comunicaciones directivas;estrategias de adquisición o expansión;claves de infraestructura;contratos y expedientes legales;modelos, bases de entrenamiento y repositorios utilizados por sistemas de inteligencia artificial.
Por esa razón, NIST identifica como prioritarios los sistemas con necesidades de confidencialidad de largo plazo y las infraestructuras criptográficas amplias y duraderas, como redes privadas, comunicaciones TLS, firmas de código e infraestructuras de clave pública.
La pregunta adecuada no es solamente: “¿Cuándo llegará una computadora cuántica capaz de romper el cifrado actual?”.
La pregunta estratégica es:
¿Cuánto tiempo debe permanecer protegida la información que estamos generando hoy?
Si la respuesta es cinco, diez o veinte años, la exposición ya existe.
Qué es realmente la deuda criptográfica
La deuda criptográfica puede definirse como la brecha entre la protección que una organización utiliza actualmente y su capacidad real para descubrirla, evaluarla y reemplazarla antes de que deje de ser segura.
Esa deuda crece silenciosamente cuando:
se compran soluciones sin conocer sus algoritmos criptográficos;se conectan plataformas mediante integraciones heredadas;se conservan aplicaciones que ya no tienen soporte;se firman contratos sin cláusulas de actualización criptográfica;se tercerizan procesos críticos sin visibilidad técnica;se almacenan datos indefinidamente;se incorporan dispositivos cuya seguridad no puede actualizarse;se construyen modelos de inteligencia artificial sobre repositorios sensibles sin revisar su ciclo de protección;se confunde “estar cifrado” con “estar protegido durante toda la vida útil del dato”.
No se trata únicamente de un problema del área de tecnología.
Finanzas deberá estimar costos y priorizar inversiones. Jurídico tendrá que revisar contratos, responsabilidades y conservación de información. Compras deberá exigir capacidades de migración a los proveedores. Auditoría tendrá que evaluar controles. Marketing deberá revisar la protección de datos de clientes. La alta dirección deberá decidir qué información merece ser protegida primero.
La transición poscuántica será, por tanto, un proyecto empresarial transversal.
El cifrado también forma parte del modelo de negocio
La criptografía suele permanecer invisible hasta que falla. No aparece en el estado de resultados ni en una campaña publicitaria, pero sostiene operaciones fundamentales:
autentica clientes y colaboradores;protege transacciones;verifica actualizaciones de software;resguarda comunicaciones;confirma identidades;firma documentos;permite operar plataformas digitales;protege bases de datos;genera confianza entre empresas, consumidores y socios.
Una organización digital no vende únicamente productos. También vende una promesa implícita: que las identidades, transacciones y datos utilizados para prestar el servicio seguirán siendo confiables.
Cuando esa promesa se debilita, la ciberseguridad deja de ser un gasto tecnológico y se convierte en un problema de reputación, continuidad y valor empresarial.
Una matriz para priorizar el riesgo cuántico
No todas las empresas pueden migrar todos sus sistemas de inmediato. Tampoco todos los activos tienen la misma urgencia.
Para ordenar la conversación propongo evaluar cada sistema mediante tres variables: exposición, vigencia y reemplazabilidad.
1. Exposición
La exposición mide qué tan accesible es la información o el sistema para terceros.
Un sistema conectado a internet, integrado con múltiples proveedores o utilizado por miles de clientes presenta una superficie de exposición distinta a la de un archivo aislado y fuera de línea.
Conviene preguntar:
¿La información viaja por redes externas?¿Intervienen terceros?¿Puede ser interceptada?¿El sistema autentica usuarios o firma transacciones?¿Una falla permitiría suplantación, fraude o manipulación?
2. Vigencia
La vigencia representa el periodo durante el cual el dato debe seguir siendo confidencial, íntegro o verificable.
Dos archivos pueden estar igualmente cifrados y, sin embargo, tener riesgos muy diferentes. Un reporte operativo diario pierde valor rápidamente. Una base biométrica o un secreto industrial puede conservarlo durante décadas.
Las organizaciones deben clasificar la información no solo por sensibilidad, sino también por vida útil de seguridad.
3. Reemplazabilidad
La reemplazabilidad mide qué tan difícil sería sustituir el mecanismo criptográfico actual.
No es lo mismo actualizar una aplicación moderna en la nube que reemplazar certificados embebidos en equipos industriales, sistemas bancarios heredados, dispositivos médicos o plataformas desarrolladas por un proveedor que ya no existe.
Debe evaluarse:
quién controla el código;si el algoritmo puede cambiarse;cuánto tiempo requiere la actualización;qué dependencias existen;si el proveedor tiene una hoja de ruta poscuántica;si la migración exige reemplazar hardware.
Cuando un activo combina alta exposición, larga vigencia y baja reemplazabilidad, debe convertirse en prioridad directiva.
Ese cruce permite dejar atrás una pregunta genérica —“¿estamos preparados para la computación cuántica?”— y sustituirla por una más útil:
¿Qué activos perderían primero su valor o confiabilidad y cuáles tardaríamos más tiempo en proteger?
La ruta de 90 días para una empresa
Una organización no necesita comenzar comprando computadoras cuánticas ni contratando un laboratorio especializado.
Necesita comenzar construyendo visibilidad.
Días 1 a 30: identificar lo que debe permanecer seguro
El primer paso consiste en reunir a tecnología, seguridad, datos, jurídico, compras, finanzas y responsables de negocio para responder cuatro preguntas:
¿Qué información debe seguir protegida durante más de cinco años?¿Qué procesos dependen de firmas, certificados o intercambios de claves?¿Qué sistemas no pueden actualizarse con facilidad?¿Qué proveedores controlan componentes críticos?
El resultado debe ser una lista inicial de activos prioritarios, no un inventario perfecto.
También conviene revisar las políticas de conservación. Guardar datos indefinidamente incrementa costos, obligaciones y superficie de riesgo. La mejor información para proteger es, en algunos casos, aquella que ya no era necesario conservar.
Días 31 a 60: construir el inventario criptográfico
El segundo paso es localizar dónde se utiliza criptografía.
Esto incluye:
certificados digitales;algoritmos de cifrado y firma;llaves y gestores de secretos;conexiones TLS;redes privadas;aplicaciones móviles;firmas de código;sistemas de identidad;respaldos;servicios en la nube;dispositivos conectados;plataformas de pago;interfaces de programación;herramientas de inteligencia artificial;integraciones con terceros.
CISA recomienda comenzar con un inventario de los sistemas que utilizan criptografía, identificar los datos más sensibles y consultar a los proveedores sobre sus planes de actualización hacia estándares resistentes a amenazas cuánticas.
El inventario no debe limitarse al nombre del algoritmo. También necesita registrar al propietario del sistema, proveedor, tipo de información, vida útil del dato, criticidad, capacidad de actualización y dependencia contractual.
Días 61 a 90: convertir el diagnóstico en decisiones
El tercer paso consiste en clasificar los activos con la matriz de exposición, vigencia y reemplazabilidad.
A partir de ella, la organización puede definir:
los sistemas que requieren pruebas tempranas;los contratos que deben renegociarse;los proveedores que deben presentar una hoja de ruta;los datos cuya retención debe reducirse;las plataformas que necesitan modernizarse;los presupuestos de los siguientes ciclos;los responsables de la migración;los indicadores que deberán reportarse a dirección.
El entregable no debe ser un documento técnico imposible de interpretar. Debe ser un mapa ejecutivo con prioridades, responsables, dependencias, fechas y costos preliminares.
Qué significa todo esto para el área financiera
Hasta aquí, la conversación puede parecer reservada para especialistas en tecnología. Sin embargo, el impacto real de la transición criptográfica se reflejará en variables que el área financiera conoce muy bien: costos, provisiones, continuidad operativa, riesgo de fraude, valor de los activos y asignación de capital.
La computación cuántica no tiene que vulnerar directamente la cuenta bancaria de una empresa para convertirse en un problema financiero. Basta con que comprometa la confianza sobre la cual se ejecutan, autorizan y registran sus operaciones.
Pensemos en actividades cotidianas:
validar la identidad de quien autoriza un pago;
confirmar que una factura electrónica no fue alterada;
proteger las credenciales de acceso a la banca empresarial;
transmitir instrucciones de pago;
firmar contratos y documentos;
resguardar información contable y fiscal;
proteger modelos de valuación, presupuestos y proyecciones;
intercambiar datos con bancos, clientes, proveedores y autoridades;
verificar que una actualización de software proviene de una fuente legítima.
Todas estas acciones dependen, en mayor o menor medida, de mecanismos criptográficos. Por ello, una falla en la protección digital puede convertirse rápidamente en una pérdida financiera, incluso cuando el origen del problema parezca exclusivamente tecnológico.
Del riesgo tecnológico al impacto económico
Para el director financiero, la pregunta no debería ser: “¿Cómo funciona la criptografía poscuántica?”.
La pregunta correcta es:
¿Qué operación financiera podría detenerse, manipularse o perder credibilidad si los mecanismos actuales de autenticación y protección dejaran de ser confiables?
La respuesta varía según el tipo de empresa.
En una institución financiera, podría afectar transferencias, contratos digitales, autenticación de clientes, custodia de activos o conexión con sistemas de pago.
En una empresa industrial, podría comprometer instrucciones a proveedores, compras internacionales, propiedad intelectual, sistemas de tesorería o dispositivos conectados a la producción.
En una compañía de comercio electrónico, el impacto podría aparecer en pagos, devoluciones, bases de clientes, programas de lealtad y prevención de fraude.
En una pequeña o mediana empresa, el riesgo puede concentrarse en la banca en línea, la facturación, la nómina, los respaldos, el correo corporativo y los servicios en la nube.
No todas las organizaciones enfrentan la misma exposición, pero prácticamente todas dependen de sistemas digitales para cobrar, pagar, registrar y demostrar sus operaciones.
Cinco riesgos que finanzas debe incorporar
El área financiera puede traducir el riesgo criptográfico en cinco categorías comprensibles.
1. Riesgo de fraude
Si los mecanismos de identidad o firma pierden confiabilidad, aumenta la posibilidad de autorizar operaciones falsas, alterar instrucciones de pago o suplantar a un ejecutivo, proveedor o cliente.
El costo no se limita al monto transferido. También incluye investigaciones, litigios, interrupciones, recuperación de sistemas y pérdida de confianza.
2. Riesgo de continuidad operativa
Una migración apresurada puede provocar incompatibilidades entre plataformas, interrupciones en pagos, fallas en certificados o imposibilidad de acceder a sistemas críticos.
Por eso, postergar la transición no necesariamente reduce costos. Puede concentrarlos en un periodo corto y obligar a efectuar cambios sin pruebas suficientes.
3. Riesgo contractual
Muchas empresas dependen de proveedores para operar sistemas financieros, plataformas de pago, nómina, facturación, almacenamiento y servicios en la nube.
Si los contratos no establecen quién actualizará la tecnología, en qué plazo y a qué costo, la empresa podría descubrir que la migración no estaba incluida o que requiere sustituir equipos completos.
4. Riesgo de pérdida de valor de los activos
La información es un activo. Los historiales de clientes, modelos financieros, estrategias de precios, proyecciones, algoritmos, patentes y bases de datos poseen valor económico.
Si la confidencialidad o autenticidad de esos activos deja de ser confiable, su valor puede deteriorarse antes de que exista una pérdida contable visible.
5. Riesgo regulatorio y reputacional
Un incidente relacionado con datos financieros o personales puede generar sanciones, reclamaciones y pérdida de clientes.
En sectores regulados, además, la organización deberá demostrar no solo que utilizó controles de seguridad, sino que gestionó razonablemente una transición tecnológica conocida.

La migración también debe aparecer en el presupuesto
Uno de los errores más frecuentes sería tratar esta transición como un gasto aislado de ciberseguridad.
En realidad, puede involucrar:
actualización de software;
sustitución de equipos;
renovación de certificados;
pruebas de compatibilidad;
consultoría especializada;
capacitación;
auditorías;
modernización de sistemas heredados;
renegociación de contratos;
cambios en servicios en la nube;
inversión en continuidad operativa.
Esto significa que el área financiera debe comenzar a identificar qué parte del gasto será operativo, qué parte deberá capitalizarse y qué inversiones podrán coincidir con otros proyectos de modernización.
Una empresa que ya planea renovar su sistema de tesorería, plataforma de pagos o infraestructura de datos puede incorporar requisitos de adaptación criptográfica desde el inicio. Hacerlo después probablemente será más costoso.
La transición también debe incluirse en los escenarios de riesgo. No es necesario conocer el costo exacto desde el primer día. Basta con construir tres estimaciones:
escenario preventivo: migración gradual y programada;
escenario tardío: actualización acelerada por regulación o presión de proveedores;
escenario crítico: sustitución urgente después de una vulnerabilidad o interrupción.
Este ejercicio permite mostrar que la falta de preparación también tiene un precio.
Un ejemplo sencillo
Supongamos que una empresa conserva contratos, información fiscal, datos de clientes y modelos de precios durante diez años. Todos se encuentran almacenados en diferentes sistemas y servicios en la nube.
El área de tecnología confirma que parte de la infraestructura podrá actualizarse fácilmente, pero una plataforma heredada requerirá ser reemplazada. Además, dos proveedores todavía no tienen una hoja de ruta clara para la migración.
Desde la perspectiva financiera, las decisiones serían concretas:
estimar el valor y la vida útil de la información;
identificar las operaciones que no pueden detenerse;
calcular el costo de reemplazar la plataforma;
revisar las obligaciones de los proveedores;
asignar recursos en varios ejercicios presupuestales;
crear una reserva para pruebas, contingencias y continuidad;
evitar nuevas compras que incrementen la dependencia tecnológica.
El objetivo no es financiar una tecnología futurista. Es impedir que una infraestructura difícil de reemplazar se convierta en una emergencia costosa.
El indicador que debería llegar al comité directivo
La alta dirección no necesita recibir una lista de algoritmos. Necesita un indicador que conecte exposición y dinero.
Una forma sencilla de reportarlo es clasificar los sistemas financieros críticos en cuatro grupos:
sistemas identificados y actualizables;
sistemas identificados, pero difíciles de actualizar;
sistemas dependientes de proveedores sin plan confirmado;
sistemas cuyo uso criptográfico todavía se desconoce.
El porcentaje concentrado en los últimos tres grupos representa una señal de deuda criptográfica.
A partir de ahí, el comité puede preguntar:
¿Qué ingresos dependen de estos sistemas?
¿Qué pagos podrían interrumpirse?
¿Qué información conservará valor durante más tiempo?
¿Cuánto costará la migración ordenada?
¿Qué parte del riesgo está en manos de terceros?
¿Qué inversión debe comenzar en el siguiente presupuesto?
Este enfoque transforma una amenaza abstracta en una conversación de capital, continuidad y protección de valor.
Para finanzas, la computación cuántica no es solo un cambio tecnológico. Es un riesgo que debe incorporarse en presupuestos, contratos, valuaciones y escenarios.
La decisión más costosa no será invertir demasiado pronto.
Será descubrir demasiado tarde que la empresa sabía cuánto valían sus activos, pero no cuánto costaba seguir confiando en ellos.
Las cinco preguntas que deben hacerse a los proveedores
Gran parte de la deuda criptográfica no está dentro de la empresa, sino en servicios contratados.
Por ello, cada renovación relevante debería incluir al menos estas preguntas:
¿Qué algoritmos criptográficos utiliza actualmente el producto?¿Qué componentes dependen de RSA, Diffie-Hellman, ECDSA u otros esquemas que deberán migrar?¿Existe una hoja de ruta para incorporar estándares poscuánticos?¿La actualización podrá realizarse mediante software o requerirá sustituir hardware?¿Quién asumirá los costos, pruebas y responsabilidades de la migración?
Las respuestas vagas también son información.
Un proveedor que no puede explicar cómo utiliza criptografía probablemente tampoco podrá modificarla con rapidez.
Por eso, la capacidad de adaptación criptográfica —conocida como crypto-agility— debe convertirse en un criterio de compra. No basta con preguntar si una solución es segura hoy. Es necesario saber si podrá cambiar cuando los estándares, amenazas o regulaciones lo exijan.
Inteligencia artificial y riesgo cuántico: una conexión ignorada
La expansión de la inteligencia artificial vuelve esta discusión todavía más relevante.
Los sistemas de IA requieren grandes volúmenes de datos, infraestructura distribuida, servicios en la nube, modelos externos, interfaces de programación y cadenas extensas de proveedores. Cada conexión introduce dependencias de autenticación, cifrado y firma.
Además, muchas organizaciones están acumulando repositorios que conservarán valor durante años: datos de clientes, conversaciones, documentos internos, patrones de comportamiento, información financiera, propiedad intelectual y bases utilizadas para entrenar modelos.
La IA puede ayudar a descubrir activos, clasificar información y automatizar parte del inventario criptográfico. Pero también incrementa la cantidad de datos valiosos que deben protegerse.
Esto genera una paradoja:
Mientras las empresas aceleran su capacidad para producir y analizar información, también aceleran la acumulación de activos cuya seguridad deberá sobrevivir a una transición tecnológica.
Adoptar inteligencia artificial sin revisar la arquitectura de protección es construir más valor sobre una base que quizá no pueda actualizarse a tiempo.
La preparación cuántica no consiste en predecir una fecha
Nadie puede afirmar con certeza cuándo existirá una computadora cuántica capaz de vulnerar a gran escala la criptografía de clave pública utilizada actualmente.
Pero las empresas no necesitan resolver esa incertidumbre para actuar.
Los estándares iniciales ya fueron publicados. Las autoridades de ciberseguridad ya recomiendan comenzar. Las migraciones completas requerirán años. Los datos sensibles ya se están generando. Y la dependencia de proveedores continúa creciendo.
Por eso, esperar una fecha definitiva es una mala estrategia.
Una empresa no contrata un seguro contra incendios cuando ve humo. Tampoco debería comenzar su transición criptográfica cuando la amenaza ya sea operativa.
La ventaja no estará en adivinar cuándo llegará el cambio, sino en desarrollar la capacidad de adaptarse antes que los demás.
La organización preparada no será necesariamente la que compre primero una solución poscuántica. Será la que sepa:
qué debe proteger;durante cuánto tiempo;con qué tecnología;bajo control de quién;cuánto tardará en reemplazarla;y cuánto costará no hacerlo.
La computación cuántica puede parecer una tecnología del futuro. La deuda criptográfica, en cambio, ya está creciendo dentro de los sistemas actuales.
Y como ocurre con cualquier deuda, ignorarla no la elimina.
Solo encarece el momento de pagarla.
La ciberseguridad del futuro no comenzará con una computadora cuántica. Comenzará con una empresa capaz de entender hoy cómo protege su información.
