Francia exige cifrado cuántico seguro desde 2027

¿Qué ha ocurrido?

La Agencia Nacional de Seguridad de los Sistemas de Información de Francia (ANSSI) ha anunciado que, a partir de 2027, dejará de certificar productos de seguridad que no incorporen algoritmos criptográficos resistentes a computación cuántica. La medida, revelada por Samih Souissi, jefe de gabinete de la ANSSI, durante la conferencia France Quantum, implica que los organismos gubernamentales y las infraestructuras críticas francesas deberán migrar a sistemas poscuánticos antes de que finalice la década. Además, la ANSSI recomienda que para 2030 todas las empresas adquieran exclusivamente productos con cifrado cuántico seguro. Esta decisión, reportada por Reuters y ampliamente difundida en medios como Slashdot, marca un hito regulatorio a nivel mundial.

¿Por qué es importante?

La computación cuántica, aunque aún en desarrollo, amenaza con romper los sistemas de cifrado actuales (como RSA y ECC) mediante algoritmos como el de Shor. El riesgo conocido como “harvest now, decrypt later” (cosechar ahora, descifrar después) preocupa a gobiernos y empresas: los atacantes pueden almacenar datos cifrados hoy y descifrarlos cuando dispongan de un ordenador cuántico suficientemente potente. Según un informe del Foro Económico Mundial de 2023, se estima que para 2030 existirá un ordenador cuántico capaz de romper RSA-2048 en cuestión de horas, lo que subraya la urgencia de la medida. Francia, al ser el primer país en imponer plazos regulatorios obligatorios, marca un precedente que podría acelerar la adopción global de estándares poscuánticos, como los que está desarrollando el NIST estadounidense. El propio Souissi destacó que “no es solo un problema técnico, sino de gobernanza, planificación industrial, regulación y soberanía”, según Reuters.

Consecuencias para empresas y usuarios

• Para fabricantes de hardware y software: deberán rediseñar productos para incluir algoritmos como CRYSTALS-Kyber (para intercambio de claves) y CRYSTALS-Dilithium (para firmas digitales), estandarizados por el NIST en 2024. Esto implica costes de I+D significativos; según un estudio de McKinsey de 2023, la migración a criptografía poscuántica podría costar a las empresas tecnológicas entre 50 y 100 millones de dólares en los próximos cinco años. Además, los fabricantes que no se adapten perderán la certificación ANSSI, esencial para vender al gobierno francés y a infraestructuras críticas.
• Para infraestructuras críticas: sectores como energía, transporte, telecomunicaciones y finanzas tendrán que auditar sus sistemas criptográficos y planificar migraciones masivas antes de 2027 si quieren mantener la certificación ANSSI. En Francia, el 75% de las infraestructuras críticas dependen de productos certificados por ANSSI, según datos de la agencia. Esto podría implicar reemplazar sistemas legacy que llevan décadas en funcionamiento, con costes estimados en miles de millones de euros a nivel nacional.
• Para usuarios finales: en el corto plazo, no notarán cambios, pero a largo plazo ganarán protección frente a futuros ataques cuánticos. La medida también podría elevar el precio de los productos certificados, ya que los fabricantes trasladarán los costes de I+D. Sin embargo, la ANSSI prevé que la competencia global reduzca estos sobrecostes a largo plazo.

Contexto y comparaciones

La iniciativa francesa se suma a los esfuerzos del NIST, que en 2024 estandarizó los primeros algoritmos poscuánticos (CRYSTALS-Kyber, CRYSTALS-Dilithium, SPHINCS+ y FALCON), y a la National Security Memorandum de EE.UU. de 2022 que insta a migrar sistemas federales. Sin embargo, Francia es el primer país en fijar fechas concretas de no certificación, lo que le otorga un papel pionero. A diferencia de recomendaciones voluntarias, la certificación ANSSI es obligatoria para uso gubernamental y en infraestructuras críticas, lo que convierte el anuncio en una exigencia regulatoria de facto. Comparativamente, la Unión Europea aún no ha fijado plazos vinculantes, aunque el Reglamento de Ciberseguridad (CRA) y la Ley de Resiliencia Cibernética están en discusión. Alemania y los Países Bajos han mostrado interés en seguir el modelo francés, según declaraciones de sus respectivas agencias de ciberseguridad en 2025. Este movimiento también se alinea con la estrategia de la OTAN, que en 2024 publicó su hoja de ruta para la criptografía poscuántica en defensa.

¿Qué deben saber los lectores?

La migración a criptografía poscuántica no es trivial. Implica reemplazar protocolos de comunicación como TLS, SSH e IPsec; actualizar hardware (especialmente dispositivos IoT con recursos limitados, que a menudo usan criptografía ligera); y formar equipos de seguridad. La ANSSI ha publicado guías técnicas detalladas en su sitio web, recomendando comenzar con un inventario de activos criptográficos y priorizar los sistemas más críticos. El plazo de 2027 es ajustado: según un informe de la consultora Gartner de 2025, solo el 20% de las empresas francesas han comenzado la transición. Las empresas que operen en Francia o colaboren con su gobierno deben iniciar la planificación de inmediato, incluyendo la evaluación de riesgos, la selección de algoritmos y la realización de pruebas de interoperabilidad. Además, deben considerar la posibilidad de que otros países adopten plazos similares, por lo que una estrategia global de migración es recomendable.

Más allá de Francia

La decisión francesa podría influir en la Unión Europea, que ya trabaja en el Reglamento de Ciberseguridad (CRA) y en la certificación de productos TIC. La Comisión Europea ha indicado que evaluará la medida francesa como posible modelo para una directiva comunitaria. A nivel global, la medida refuerza la necesidad de adoptar estándares abiertos y colaborar con organismos como el NIST y la ETSI para evitar fragmentación. Países como Japón, Corea del Sur y Australia ya han anunciado planes piloto de migración poscuántica, mientras que China ha invertido fuertemente en computación cuántica y criptografía poscuántica, según un informe del CSIS de 2024. La fragmentación regulatoria podría ser un desafío, pero la iniciativa francesa actúa como catalizador para una acción coordinada. En palabras de Souissi, “es una cuestión de soberanía tecnológica”, y el mundo está observando.