Casa Blanca acelera migración a criptografía post-cuántica

¿Qué ha ocurrido?

El 15 de junio de 2026, la Casa Blanca publicó la orden ejecutiva Securing the Nation against Advanced Cryptographic Attacks, que establece nuevos plazos para la transición a criptografía post-cuántica. Según Ars Technica, los sistemas de intercambio de claves para activos de alto valor e impacto deben migrar antes del 31 de diciembre de 2030, y los esquemas de firma digital antes del 31 de diciembre de 2031. Estos plazos son aproximadamente cinco años más cortos que los anteriores, que databan de 2022 y fijaban 2035 como fecha límite. La orden ejecutiva también exige que las agencias federales presenten planes de transición detallados en un plazo de 180 días, y establece un grupo de trabajo interagencial para supervisar la implementación.

¿Por qué es importante?

La computación cuántica representa una amenaza existencial para la criptografía de clave pública actual (RSA, ECC, Diffie-Hellman). Investigaciones recientes, publicadas en marzo de 2026, indican que construir una computadora cuántica relevante para criptografía podría requerir solo 10 millones de qubits físicos, un orden de magnitud menor a lo estimado previamente, y costar alrededor de 100 millones de dólares, según un estudio de la Universidad de Princeton citado por Ars Technica. Google y Cloudflare adelantaron su estimación de «Q-Day» (el día en que una computadora cuántica pueda romper RSA-2048) de 2035 a 2029. La orden ejecutiva busca evitar que datos sensibles sean descifrados retroactivamente mediante ataques de «almacenar ahora, descifrar después», donde actores estatales recolectan datos cifrados hoy para descifrarlos cuando la tecnología cuántica esté disponible. Se estima que el 80% del tráfico de Internet utiliza cifrado asimétrico vulnerable.

Consecuencias para empresas y usuarios

• Para agencias gubernamentales: deben reemplazar sistemas criptográficos en infraestructuras críticas como defensa, energía y finanzas. El costo de migración para el gobierno federal se estima en 7 mil millones de dólares según un informe de la GAO de 2025. Las agencias deben realizar auditorías de inventario criptográfico, algo que muchas no han completado.
• Para empresas tecnológicas: proveedores de nube (AWS, Azure, Google Cloud), software y hardware deberán actualizar sus productos para cumplir con los nuevos estándares NIST, publicados en 2024 (FIPS 203, 204, 205). Empresas como IBM, Microsoft y Amazon ya han comenzado a integrar algoritmos como CRYSTALS-Kyber y Dilithium, pero la compatibilidad con sistemas legacy es un desafío.
• Para usuarios: aunque el cambio será transparente, aplicaciones como navegadores, VPNs y mensajería cifrada (WhatsApp, Signal) migrarán a nuevos protocolos. Se espera que las actualizaciones de software ocurran automáticamente, pero dispositivos IoT con recursos limitados podrían quedar obsoletos.

Contexto y comparaciones

La orden se asemeja al impulso del gobierno estadounidense tras el descubrimiento de vulnerabilidades masivas como Heartbleed (2014) o la migración a SHA-1 (2015), pero a una escala mucho mayor. La migración a TLS 1.3 tomó aproximadamente 5 años desde su publicación en 2018 hasta su adopción mayoritaria. La post-cuántica es más compleja porque reemplaza algoritmos fundamentales y requiere cambios en hardware, software y protocolos. A modo de comparación, la transición de RSA a ECC tomó más de una década. La orden ejecutiva también se produce tras la Ley de Ciberseguridad Post-Cuántica de 2025, que asignó 2 mil millones de dólares para investigación y desarrollo.

«La criptografía post-cuántica no es opcional; es una cuestión de seguridad nacional», afirmó un portavoz de la Casa Blanca citado por Ars Technica.

La orden también ha sido comparada con la Directiva de Seguridad Nacional de 2022 sobre criptografía post-cuántica, que establecía plazos más laxos. La nueva orden responde a la aceleración de los avances cuánticos: en 2025, investigadores chinos demostraron un ataque cuántico a un cifrado simétrico de 64 bits, y en 2026, IBM anunció un procesador cuántico de 2000 qubits.

Qué deben saber los lectores

Las organizaciones deben comenzar ya el inventario de sus sistemas criptográficos y planificar la migración. Los plazos son agresivos y los estándares finales del NIST ya están disponibles. La inacción podría exponer datos a ataques de «almacenar ahora, descifrar después». Se recomienda priorizar sistemas de alto valor, implementar algoritmos híbridos (combinando clásicos y post-cuánticos) y realizar pruebas de interoperabilidad. La orden ejecutiva también incluye incentivos para la adopción temprana, como exenciones de responsabilidad y prioridad en contratos gubernamentales. Para los usuarios, es importante mantener el software actualizado y verificar que los proveedores de servicios estén adoptando estándares post-cuánticos. El futuro de la seguridad digital depende de una transición ordenada y oportuna.