Symbolbild: Encryption im redaktionellen Magazinkontext
IT & Tech 03.04.2026

Criptografía poscuántica: Por qué 2026 es el punto de partida

4 min de lectura

El BSI (Instituto Federal de Ciberseguridad de Alemania) dio el pistoletazo de salida a la fase final de los métodos clásicos de cifrado el 11 de febrero de 2026. RSA y las curvas elípticas deberán sustituirse por criptografía poscuántica (PQC) para datos especialmente protegidos antes de finales de 2030, y de forma generalizada antes de finales de 2031. Según los análisis del sector, la migración durará entre cinco y diez años. Quien no comience en 2026 no cumplirá los plazos establecidos por el BSI. El motivo: los ordenadores cuánticos no necesitan existir aún para representar una amenaza. Los atacantes ya están recopilando hoy en día datos cifrados para descifrarlos mañana.

Lo más importante

  • Plazo del BSI en 2031: RSA y las curvas elípticas deben sustituirse por criptografía poscuántica antes de finales de 2030 (datos con alto nivel de protección) y antes de finales de 2031 (de forma general), según el BSI (11.02.2026).
  • Capturar ahora, descifrar después: Los atacantes almacenan hoy en día datos cifrados para descifrarlos con futuros ordenadores cuánticos. Afecta a patentes, datos de fusiones y adquisiciones, datos sanitarios.
  • La migración dura de 5 a 10 años: Quien no empiece en 2026 no podrá cumplir los plazos del BSI. Toda conexión TLS, toda VPN, todo certificado debe revisarse.
  • Tres estándares del NIST desde 2024: ML-KEM (intercambio de claves), ML-DSA (firmas) y SLH-DSA (firmas basadas en hash) son los nuevos procedimientos de referencia.
  • Primer paso: inventario criptográfico: Identificar sistemáticamente dónde se utiliza el cifrado clásico en la empresa. Sin inventario, no hay plan de migración.

Qué anunció el BSI el 11 de febrero de 2026

El comunicado de prensa del BSI fue inequívoco: los días del cifrado clásico están contados. RSA, Diffie-Hellman y los métodos basados en curvas elípticas (ECC) deben reemplazarse por algoritmos resistentes a la computación cuántica. Para datos especialmente protegidos, la fecha límite es 2030; para todos los demás, 2031.

El BSI justifica esta urgencia con dos argumentos. Primero: el desarrollo tecnológico de los ordenadores cuánticos se está acelerando. Aunque aún no existan ordenadores cuánticos potentes y relevantes criptográficamente, no se puede predecir cuándo aparecerán. La planificación de seguridad debe partir del peor escenario posible, no del más probable. Segundo: migrar sistemas existentes lleva años. Quien espere a que los ordenadores cuánticos estén disponibles, llegará tarde.

Para las pymes es especialmente relevante: la recomendación del BSI no solo va dirigida a organismos públicos y operadores de infraestructuras críticas. Se aplica a todas las organizaciones que manejen datos sensibles, es decir, prácticamente a cualquier empresa.

La magnitud del anuncio queda clara al observar las cifras: según una encuesta de la Cloud Security Alliance, el 40 % de los responsables de seguridad consultados creen que los ordenadores cuánticos criptográficamente relevantes estarán disponibles antes de 2030. Otro 34 % los espera entre 2030 y 2035. Por tanto, el BSI no está planificando frente a un riesgo teórico, sino ante un desarrollo esperable dentro del horizonte de planificación de las inversiones actuales en TI.

Para las pymes esto tiene consecuencias concretas: toda adquisición de tecnología realizada hoy debe considerar la compatibilidad con PQC. Un nuevo sistema ERP, una renovación de VPN, la implementación de certificados: todo lo que tenga una vida útil de cinco años o más debe evaluarse por su capacidad para PQC antes de firmar el pedido.

«La criptografía asimétrica clásica debe reemplazarse por métodos cuánticamente seguros. La migración debería comenzar ahora.»
– En sentido similar al comunicado de prensa del BSI, 11 de febrero de 2026

Capturar ahora, descifrar después: la amenaza invisible

El escenario más peligroso se llama ‘Capturar ahora, descifrar después’ (HNDL). Servicios de inteligencia y grupos de hackers respaldados por Estados interceptan hoy en día tráfico de datos cifrados y lo almacenan. En cuanto existan ordenadores cuánticos potentes, descifrarán retrospectivamente los datos almacenados.

Para datos con vida útil corta, como una confirmación de pedido, esto es irrelevante. Pero para datos que deben mantenerse confidenciales durante mucho tiempo, representa una amenaza existencial: secretos comerciales, solicitudes de patente, negociaciones de fusiones y adquisiciones, planes estratégicos, datos de investigación. Si un ordenador cuántico descifra estos datos dentro de diez años, seguirán teniendo valor para competidores o gobiernos extranjeros.

La consecuencia: el momento en que la criptografía poscuántica se vuelve relevante no es el día en que se construya el primer ordenador cuántico criptográficamente relevante. Es el día en que los datos se transmiten por primera vez cifrados. Y ese día fue ayer.

El Oficina Federal para la Protección de la Constitución alemana confirma que actores estatales ya están interceptando y almacenando a gran escala tráfico de datos cifrados. China ha anunciado públicamente que desarrollará un ordenador cuántico criptográficamente relevante antes de 2030. Estados Unidos invierte miles de millones de dólares en investigación cuántica mediante la Ley Nacional de Iniciativa Cuántica. En esta carrera geopolítica, los datos empresariales alemanes no son daño colateral, sino un objetivo estratégico.

2031
Plazo del BSI para sustituir el cifrado clásico por PQC
Fuente: Comunicado de prensa del BSI, 11 de febrero de 2026

Los nuevos estándares: ML-KEM, ML-DSA y SLH-DSA

El Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) publicó en 2024 los primeros tres estándares de criptografía poscuántica. Constituyen la base para la migración. ML-KEM (anteriormente CRYSTALS-Kyber) para el acuerdo de claves, ML-DSA (anteriormente CRYSTALS-Dilithium) para firmas digitales y SLH-DSA (anteriormente SPHINCS+) como alternativa de firma basada en funciones hash.

El BSI recomienda los estándares del NIST como referencia y trabaja simultáneamente en sus propias recomendaciones dentro del marco de la normalización europea. Para las pymes esto significa: los estándares están definidos, los algoritmos especificados y ya existen primeras implementaciones en bibliotecas de código abierto como liboqs y OpenSSL. La base técnica para la migración existe.

Lo que aún falta: muchos productos comerciales, soluciones VPN, pasarelas de correo electrónico y sistemas ERP aún no han integrado los nuevos algoritmos. Los fabricantes están trabajando en ello, pero la compatibilidad generalizada con PQC en software empresarial no se espera hasta 2027 o 2028. Esta es una de las razones por las que la migración tardará entre cinco y diez años.

Inventario criptográfico: dónde se encuentra el cifrado clásico en las pymes

El primer y más importante paso es el inventario criptográfico: un levantamiento sistemático de todos los puntos de la empresa donde se utiliza la criptografía asimétrica clásica. En la práctica, son más puntos de los que la mayoría de directores de TI sospechan.

Conexiones VPN: La interconexión de sedes y el acceso remoto casi siempre utilizan RSA o ECC para el intercambio de claves. Cifrado de correo electrónico: S/MIME y PGP se basan en RSA. Certificados TLS: Cada conexión HTTPS, cada interfaz API y cada portal interno utilizan criptografía clásica. Sistemas ERP: SAP y otros sistemas ERP cifran conexiones a bases de datos y comunicación API con RSA/ECC. Firmas de código: Las actualizaciones de software y las firmas de firmware utilizan claves RSA.

Un inventario criptográfico no debe crearse desde cero. Herramientas como Venafi, Keyfactor o el proyecto de código abierto cryptosense escanean automáticamente la infraestructura TI en busca de artefactos criptográficos. El resultado es una lista priorizada: qué sistemas utilizan longitudes de clave débiles, cuáles tienen certificados de larga duración y cuáles procesan datos con altos requisitos de confidencialidad.

Los resultados suelen sorprender: una empresa típica de tamaño medio con 200 empleados tiene entre 50 y 200 certificados TLS, entre 5 y 15 túneles VPN, entre 3 y 8 aplicaciones con su propia criptografía y decenas de claves SSH incrustadas. La mayoría utiliza RSA-2048 o ECDSA, ambos vulnerables a ataques cuánticos. Sin inventario, no es posible una migración dirigida, y sin migración no hay cumplimiento normativo con la recomendación del BSI.

Preparación para PQC: cinco pasos para el director de TI

1. Crear un inventario criptográfico. Registrar todos los métodos criptográficos y claves en la empresa. Priorizar según la duración de la confidencialidad de los datos protegidos.

2. Consultar a proveedores. Preguntar a cada proveedor de software y hardware: ¿cuándo soportará PQC? ¿Tienen una hoja de ruta? ¿Qué estándares implementarán?

3. Implementar criptografía híbrida. Como solución transitoria, el BSI recomienda métodos híbridos que utilicen simultáneamente algoritmos clásicos y cuánticamente seguros. Así se mantiene la compatibilidad mientras se construye la protección contra ataques cuánticos.

4. Configurar un entorno de pruebas. Evaluar las primeras implementaciones de PQC en un entorno de pruebas aislado. Medir el impacto en el rendimiento, ya que los algoritmos PQC tienen en algunos casos claves más grandes y tiempos de cálculo más largos que RSA.

5. Elaborar un plan de migración. Basándose en el inventario y en las hojas de ruta de los proveedores, desarrollar un cronograma para la migración escalonada. Empezar por los sistemas con los datos más sensibles y mayor duración de confidencialidad.

6. Presupuestar costes. La migración a PQC no es un proyecto único, sino un proceso plurianual. Expertos calculan costes totales de entre 50.000 y 300.000 euros durante el periodo de migración para una empresa de 200 a 500 empleados. El mayor gasto no es el software, sino el tiempo interno y la consultoría externa. Un presupuesto anual realista de entre 30.000 y 50.000 euros basta para dar los primeros pasos.

Conclusión

La criptografía poscuántica ya no es un tema futuro. Con el comunicado de prensa del 11 de febrero de 2026, el BSI ha establecido una expectativa clara: la migración debe estar completada antes de 2031. Dado que se prevé una duración de entre cinco y diez años, 2026 es el último momento posible para comenzar.

El inicio es menos complejo de lo que muchos temen. Un inventario criptográfico puede crearse en semanas, las conversaciones con proveedores pueden iniciarse inmediatamente y la criptografía híbrida permite una transición gradual sin necesidad de una migración masiva. El mayor peligro no es la complejidad técnica, sino la procrastinación.

Los costes de la inacción son calculables: si dentro de diez años un ordenador cuántico descifra secretos comerciales interceptados hoy, el daño será irreversible. Los costes de la prevención, en cambio, son manejables y planificables. La criptografía poscuántica es una de las pocas inversiones en TI cuyo retorno sobre la inversión (ROI) puede medirse negativamente: se ve el daño que no ha ocurrido.

Preguntas frecuentes

¿Existen ya ordenadores cuánticos capaces de romper el cifrado?

No. Los ordenadores cuánticos criptográficamente relevantes aún no existen. Pero la amenaza de «capturar ahora, descifrar después» hace esto irrelevante: los datos cifrados que se interceptan hoy podrán descifrarse dentro de diez años.

¿Qué es la criptografía híbrida?

Un método que utiliza simultáneamente algoritmos clásicos y cuánticamente seguros. Mientras no exista un ordenador cuántico, el algoritmo clásico ofrece protección. Cuando uno esté disponible, será el algoritmo PQC el que garantice dicha protección. El BSI recomienda este enfoque como solución transitoria.

¿Afecta también a pequeñas empresas?

Sí, tan pronto como procesen datos sensibles que deban mantenerse confidenciales durante más de diez años. Esto incluye secretos comerciales, patentes, contratos y datos personales. La recomendación del BSI se dirige expresamente a todas las organizaciones.

¿Qué software ya soporta PQC?

OpenSSL 3.x (experimental), Signal (ya por defecto), Chrome y Firefox (soporte experimental para ML-KEM en TLS 1.3). Para software empresarial como SAP, soluciones VPN y servidores de correo, se espera soporte para PQC a partir de 2027 hasta 2028.

¿Cuánto cuesta la migración a PQC?

Depende del tamaño y la complejidad de la infraestructura TI. Para una empresa de tamaño medio con 200 a 500 empleados, los expertos estiman costes totales de entre 50.000 y 300.000 euros durante el periodo de migración, principalmente para consultoría, pruebas y adaptaciones de sistemas.

¿Debo realizar yo mismo la migración?

No. Empresas especializadas en consultoría y grandes proveedores de servicios TI ofrecen evaluaciones de preparación para PQC y acompañamiento en la migración. Además, la IHK y el propio BSI ofrecen asesoramiento inicial gratuito.

Lecturas recomendadas por la redacción

Más contenido de la red MBF Media

  • cloudmagazin – Cloud, SaaS e infraestructura TI para directivos
  • Digital Chiefs – Liderazgo, transformación y perspectivas para ejecutivos
  • SecurityToday – Ciberseguridad, cumplimiento normativo y protección de datos

Lectura complementaria

Reglamento sobre Resiliencia Cibernética: qué deben hacer ya los fabricantes

AI Act a partir de agosto de 2026: IA de alto riesgo en pymes

Salida, sucesión o adquisición: fusiones y adquisiciones (M&A) en pymes en 2026

Fuente de imagen: Pixabay / Pexels

También disponible en

Una revista de evernine media GmbH