Casa Blanca adelanta drásticamente el plazo para abandonar la criptografía vulnerable a la computación cuántica

Qué pasó

La Casa Blanca publicó una orden ejecutiva titulada "Asegurar a la Nación contra ataques criptográficos avanzados", que acorta significativamente el plazo para que agencias y organizaciones adopten esquemas criptográficos resistentes a la computación cuántica. El documento fija como plazo el 31 de diciembre de 2030 para los sistemas de "activos de alto valor" e "impacto crítico" en lo relativo a esquemas poscuánticos de establecimiento de claves, y el 31 de diciembre de 2031 para los esquemas de firma digital seguros frente a la computación cuántica.

El nuevo cronograma representa un adelanto de cuatro a cinco años respecto al calendario fijado por la Agencia de Seguridad Nacional (NSA) en 2022, que daba plazo hasta 2035 a la mayoría de las organizaciones. La decisión se fundamenta en estudios recientes que indican que los recursos necesarios para construir un computador cuántico con capacidad criptográfica relevante son menores a los previamente estimados.

Brian LaMacchia, exdirector de la transición poscuántica de Microsoft entre 2015 y 2022 y actualmente en Farcaster Consulting Group, explicó que la nueva categoría reduce los plazos entre cuatro y cinco años, en línea con las revisiones de calendario anunciadas por Google y Cloudflare en marzo y abril. La orden también establece un proceso de coordinación encabezado por la Directora de la Oficina de Administración y Presupuesto y el Director Nacional de Ciberseguridad, y obliga a cada agencia federal a designar un responsable de reportar los avances de la migración.

El texto reconoce además el riesgo de que adversarios capturen hoy tráfico cifrado para descifrarlo más adelante, cuando existan computadores cuánticos operativos, una estrategia conocida como "recolectar ahora, descifrar después".

Contexto

La computación cuántica representa una amenaza estructural para los sistemas de cifrado que protegen transacciones bancarias, comunicaciones gubernamentales y datos personales. Los algoritmos de clave pública más utilizados, como RSA y los basados en curvas elípticas, podrían ser quebrados por un computador cuántico de escala suficiente mediante el algoritmo de Shor. Esta vulnerabilidad ha motivado una carrera internacional por desarrollar algoritmos poscuánticos, liderada por el Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos.

En 2024, el NIST publicó los primeros estándares de criptografía poscuántica, entre ellos ML-KEM para el intercambio de claves, y la comunidad tecnológica ha trabajado desde entonces en integrar estos algoritmos en protocolos como TLS, base de la navegación web cifrada. Proveedores de servicios en la nube, navegadores y desarrolladores de software han realizado pruebas progresivas para evaluar la interoperabilidad y el rendimiento de los nuevos esquemas.

La decisión estadounidense marca un punto de inflexión, al trasladar la discusión desde los organismos de estandarización hacia la política de seguridad nacional. La orden ejecutiva formaliza una preocupación que hasta ahora se había mantenido principalmente en el ámbito técnico y de inteligencia, y la convierte en un mandato de cumplimiento con plazos concretos para las agencias federales.

Impacto para empresas chilenas

En Chile, la ciberseguridad se ha consolidado como un eje estratégico tras la entrada en vigencia de la Ley Marco de Ciberseguridad y la creación de la Agencia Nacional de Ciberseguridad. Aunque el país no se encuentra directamente alcanzado por la orden ejecutiva estadounidense, las empresas chilenas con operaciones internacionales o integradas en cadenas de suministro globales deberán evaluar el impacto de los nuevos plazos fijados por Washington.

Las grandes empresas con operaciones transfronterizas, particularmente en banca, minería, retail y servicios financieros, deberán revisar sus hojas de ruta de actualización criptográfica. Bancos y operadores de tarjetas de pago, dependientes de infraestructura interoperable con sistemas internacionales, enfrentarán presión para alinear sus cronogramas con los de sus socios en el exterior. Una postergación podría traducirse en restricciones de acceso a mercados, exigencias contractuales más severas o pérdida de certificaciones de seguridad.

Para las empresas de menor tamaño, la mayoría de los proveedores de servicios en la nube y software empresarial ya planifican la migración a algoritmos poscuánticos, lo que transferirá gran parte de la carga técnica a estas plataformas. No obstante, las firmas que desarrollan software a la medida, gestionan infraestructura propia o manejan datos sensibles deberán planificar inversiones en consultoría, capacitación y actualización de sistemas con varios años de anticipación.

Qué sigue

La orden establece que las agencias federales deberán presentar sus planes de migración en el corto plazo, lo que probablemente acelerará la demanda de productos y servicios criptográficos poscuánticos en el mercado. Se espera que el mercado global de criptografía poscuántica registre una expansión significativa en los próximos cinco años, con proveedores de tecnología y consultoras especializadas entre los principales beneficiarios.

A nivel regional, países como Brasil, México y Colombia también podrían verse presionados a acelerar sus procesos de actualización. En Chile, el alineamiento temprano con los estándares internacionales podría convertirse en una ventaja competitiva para el sector exportador de servicios tecnológicos, y la discusión sobre la materia podría escalar hacia la Agencia Nacional de Ciberseguridad en los próximos meses.