2026 es un año clave para prepararse en criptografía post-cuántica

Thales Cybersecurity Products advierte de que el sector financiero, la administración pública y cualquier organización que gestione datos confidenciales a largo plazo, como historiales médicos, expedientes legales, contratos estratégicos o información de clientes, se enfrentan a una amenaza creciente: el ataque conocido como Harvest Now, Decrypt Later. Los actores maliciosos están recopilando hoy grandes volúmenes de datos cifrados con la expectativa de descifrarlos en el futuro, cuando los ordenadores cuánticos dispongan de la capacidad necesaria. En la práctica, los datos robados mañana con algoritmos cuánticos son los que se están transmitiendo hoy.

“Las organizaciones españolas deben entender que prepararse en criptografía post-cuántica no es un proyecto de futuro, sino un programa de resiliencia operativa que empieza ahora”, señala Eutimio Fernández, Regional Sales Manager para Iberia en Thales Cybersecurity Products. “Quienes comiencen a construir su inventario criptográfico, a identificar sus activos críticos y a realizar pruebas controladas tendrán ventaja a nivel tanto regulatorio como reputacional”.

 

Regulación, inventario criptográfico y pilotos

El marco regulatorio europeo ya ha marcado el camino. La Comisión Europea publicó en 2024 su Recomendación sobre la transición coordinada hacia la criptografía post-cuántica, instando a los Estados miembros a iniciar las migraciones de forma inmediata y a priorizar las infraestructuras críticas antes de 2030. España, por su parte, cuenta con la Estrategia de Tecnologías Cuánticas 2025-2030, que refuerza la urgencia de abordar la ciberseguridad cuántica como prioridad nacional.

A ello se suma la presión normativa de NIS2, DORA para el sector financiero y el Esquema Nacional de Seguridad, que elevan las exigencias en gestión criptográfica. Según Thales, las organizaciones más avanzadas ya están pasando de la estrategia a la ejecución mediante planes que incluyen un inventario criptográfico inicial, análisis de interoperabilidad, selección de proyectos piloto y la construcción de evidencias auditables.

Estos planes contemplan identificar dónde se usa cifrado, qué datos protege y qué activos requieren confidencialidad a largo plazo; documentar dependencias con proveedores cloud, plataformas SaaS, redes de pago o partners; seleccionar uno o dos puntos de partida donde probar algoritmos híbridos sin interrumpir operaciones, como una ruta PKI interna, un flujo TLS crítico o un proceso de firma de código; y generar evidencias desde el primer día para reguladores, auditorías y juntas directivas.

En sectores heterogéneos como el financiero, Thales propone un modelo de migración en dos vías paralelas. La primera se centra en datos, identidades y aplicaciones críticas, apoyándose en los equipos HSM Luna de Thales Cybersecurity, que permiten introducir criptografía híbrida y post-cuántica en flujos de gestión de claves, PKI, TLS y firma de código, preservando la custodia de claves durante la transición.

La segunda vía se orienta a proteger datos en tránsito en rutas críticas. Los High Speed Encryptors (HSE) de Thales permiten asegurar el tráfico sensible entre sedes, centros de datos, entornos cloud y conexiones de disaster recovery sin necesidad de esperar a que toda la cadena de aplicaciones y proveedores esté preparada. Esto reduce la exposición a ataques Harvest Now, Decrypt Later mientras avanza la migración.

Thales ha publicado además la guía “The Quantum-Safe Financial Enterprise”, que detalla cómo establecer un sistema de registro criptográfico, priorizar activos según riesgo y generar evidencias auditables alineadas con las expectativas regulatorias.