La discusión en torno a la criptografía post-cuántica (PQC) ha evolucionado de ser una competición centrada en algoritmos a un desafío organizativo bajo el amplio título de «gobernanza». Este cambio de enfoque es crucial a medida que empresas de diversos sectores comienzan a ver la amenaza cuántica no como una simple actualización de seguridad, sino como una revisión fundamental de sus políticas y activos criptográficos.
Un artículo reciente en HackerNoon, firmado por Sarath Chandra Vidya Sagar Machupalli, argumenta que la verdadera carrera no es solo tecnológica, sino también administrativa. La pregunta esencial ya no es solo cuál será el algoritmo estándar, sino quién liderará esta transición y cómo se medirá y sostendrá el cumplimiento normativo mientras coexistirán los sistemas tradicionales y post-cuánticos durante los próximos años.
Un aspecto crucial señalado en el artículo es el desconocimiento que muchas organizaciones tienen sobre el uso de criptografía dentro de sus sistemas. La criptografía, a menudo incrustada profundamente en diferentes capas técnicas y con múltiples proveedores, es una dependencia inadvertida que no siempre se inventaría con precisión. Esta falta de claridad impide a las empresas priorizar de manera efectiva sus esfuerzos hacia una transición hacia la criptografía post-cuántica, que debe planificarse de manera estratégica y no improvisada.
El avance hacia la llamada «seguridad cuántica» implica un cambio de mentalidad. No se trata únicamente de qué algoritmos implementar, sino de quién es responsable del proceso, cuáles sistemas migran primero, y cómo auditar esta transición. En un entorno donde las estructuras de decisión y políticas han sido diseñadas para una criptografía clásica, muchas organizaciones enfrentan un desafío monumental al adaptarse a una infraestructura nueva y más compleja.
Por su parte, el cumplimiento normativo plantea otros retos. Las regulaciones y estándares evolucionan, pero los sistemas no lo hacen al mismo ritmo. En la práctica, esto significa la coexistencia de sistemas híbridos que combinan mecanismos clásicos y post-cuánticos, llevando a una serie de preguntas técnicas y normativas aún no resueltas, que incluyen si los sistemas híbridos cumplen con las exigencias de ser «resistentes cuánticamente» y cómo documentar esta transición para satisfacer a los auditores.
Además, la transición post-cuántica no solo se enfrenta a desafíos de algoritmos, sino también a riesgos operativos. Estos incluyen una gestión de claves más complicada, compromisos de rendimiento y problemas de interoperabilidad dado que los socios y proveedores migrarán a diferentes ritmos. La cadena de suministro también se complica, dada la dependencia de tecnología de terceros y la necesidad de un ajuste continuo.
Ante tales complicaciones, el artículo sugiere un enfoque prágmatico: establecer un marco de gobernanza capaz de adaptarse en el tiempo a medida que las normas y guías evolucionen, sin paralizar el progreso actual. Recomienda pasos prácticos, como un inventario criptográfico automatizado, el establecimiento de un equipo de transición con autoridad y presupuesto, y el uso de soluciones híbridas para mantener la compatibilidad mientras se avanza hacia la nueva era.
Este enfoque no solo es necesario que las empresas lo intuyan, sino que lo ejecuten de forma proactiva, convirtiendo la transición cuántica en un programa detallado y gobernable. La preparación para el mundo post-cuántico es, sin duda, una travesía compleja que demanda no solo un cambio tecnológico, sino un replanteamiento integral de estrategia organizativa y gobernanza.
