Tendencias y predicciones Keyfactor

El año 2026 se perfila como el año en que la confianza digital será más rápida, más inteligente e imposible de ignorar.

Si algo quedó claro en 2025, es que la confianza ya no es algo que se comprueba una sola vez, sino que hay que validar continuamente. El año pasado trajo consigo hitos importantes, una mayor urgencia en torno a la preparación cuántica y un renovado interés por la resiliencia criptográfica. Uno de los cambios más importantes se produjo con la decisión unánime de acelerar los ciclos de vida TLS . La transición por etapas, desde los 398 días máximos actuales hasta solo 47 días en 2029, comenzará en marzo de 2026.

El año pasado nos demostró que la cuántica ya no es solo teoría. Los reguladores esperan medidas, los adversarios están recopilando datos y las organizaciones están descubriendo lo complejos e interconectados que son realmente sus entornos criptográficos. Establecer la confianza digital, verificando cada dispositivo, carga de trabajo, sistema de IA y usuario, se está convirtiendo en la única forma de operar con rapidez en lugar de con riesgo. Keyfactor estado ayudando a las empresas a dar ese paso. En 2025, muchos se dieron cuenta de que retrasar las cosas no reduce la incertidumbre, sino que solo aumenta la exposición.

Y este año se ha alcanzado otro hito: ABI Research ha clasificado Keyfactor proveedor de PKI empresarial n.º 1, citando su liderazgo en automatización, criptoagilidad, IoT y preparación poscuántica. Los analistas subrayaron los retos que plantea la seguridad empresarial: el aumento vertiginoso del volumen de certificados, la reducción de su vida útil, la visibilidad limitada y la carrera hacia la criptografía cuántica segura.

Con ese impulso a nuestras espaldas, nos volvemos hacia el año que tenemos por delante.

Estas son las principales tendencias que Keyfactor prevén para 2026, así como las medidas que puede tomar para mantenerse a la vanguardia y mejorar su postura de seguridad.

Predicción 1

Cuántica: la mayor prueba de realidad en una generación

Perspectivas de Chris Hickman, director de seguridad de Keyfactor

La brecha entre la concienciación y la preparación ante los riesgos cuánticos será imposible de ignorar. En 2026, la tecnología cuántica no romperá la confianza digital, sino que pondrá de manifiesto lo frágiles que son ya los fundamentos criptográficos actuales.

Casi la mitad de las empresas no están preparadas para la amenaza cuántica de la ciberseguridad, y solo el 42 % la está abordando activamente en la actualidad. Esto demuestra que la mayoría de las organizaciones siguen creyendo que tienen tiempo, pero no tienen visibilidad de lo que están protegiendo o de lo que ya es vulnerable.  

Hickman prevé que más proveedores lanzarán productos con capacidades poscuánticas integradas. Esto comenzará a diferenciar a las organizaciones que han prestado atención a la la preparación cuántica de aquellas que aún están esperando, o peor aún, que no son conscientes de ello. 

«Aquí tienes que conducir el autobús, no viajar en él», señala Hickman. 

La ventana para una transición segura y rentable se está cerrando más rápido de lo que la mayoría cree. En 2026, las organizaciones deberían empezar a mapear e inventariar todos los activos criptográficos y sus dependencias. Hickman cita un Keyfactor que muestra que la falta de personal cualificado (40 %), las prioridades contrapuestas (40 %) y la falta de claridad en los estándares del sector (39 %) ya están ralentizando el progreso, y que quienes se demoren se enfrentarán a mayores costes, riesgos y presiones una vez que la migración sea obligatoria. 

Las empresas con visión de futuro ya han aceptado que la tecnología está aquí. Están pasando de desarrollar algoritmos y crear pilas tecnológicas a cumplir los requisitos de conformidad y reforzar la resiliencia de la ciberseguridad con las mejores prácticas de criptoagilidad. 

«Las organizaciones que adopten este cambio estarán en la mejor posición para afrontar la era cuántica con confianza», añade.

He aquí cómo ir por delante:

• Crear un inventario unificado de activos criptográficos, algoritmos y dependencias.
• Prioriza los sistemas de larga duración que serán más difíciles de actualizar más adelante.
• Establecer procesos criptoágiles que permitan transiciones rápidas de algoritmos.
• Asigne la propiedad y elabore una hoja de ruta realista antes de que la migración sea obligatoria.

Recurso recomendado: Digital Trust Digest: Edición sobre la preparación para la tecnología cuántica

Predicción 2

Automatización: la línea divisoria entre la resiliencia y las interrupciones del servicio

Perspectivas de Tomas Gustavsson, director de PKI, Keyfactor

La reducción de la vigencia de los certificados empujará a muchas organizaciones a una nueva era de presión operativa, afirma Gustavsson. Con TLS pública TLS reducida a 200 días en marzo de 2026, y finalmente a 47 días, los procesos de renovación manuales se volverán insostenibles.

Gustavsson destaca los datos que muestran lo tensos que están ya los equipos:

• Una de cada diez organizaciones sufre interrupción relacionada con los certificados cada semana.
• Solo el 17 % tiene visibilidad en tiempo real de todo su panorama de certificados.

Sin automatización, los equipos de TI se verán abrumados por el esfuerzo manual que requiere renovar y realizar un seguimiento de miles de certificados, un ciclo que aumenta tanto la carga de trabajo como el riesgo. Cada laguna en la visibilidad aumenta las probabilidades de que se produzca una interrupción del servicio. Y a medida que las organizaciones se inclinan más por la automatización, esperamos que también acorten la vida útil de los certificados de confianza privados, lo que hará que la automatización completa sea esencial en todo el entorno, no solo en los públicos.

«Para 2029, cuando los certificados digitales tengan una vigencia de 47 días, la carga operativa derivada de esta reducción de la vigencia se multiplicará por diez con respecto a la actual. Incluso para el 15 de marzo de 2026, cuando la vigencia de los certificados se reduzca a 200 días desde los 398 días actuales, comenzaremos a ver una presión creciente sobre los equipos, ya que los procesos manuales y los modelos de propiedad fragmentados comenzarán a desmoronarse y la carga de trabajo relacionada con la gestión de certificados se multiplicará por cinco», afirma. 

Las interrupciones, las emisiones erróneas y los incumplimientos normativos se convertirán en riesgos cotidianos para los equipos que no hayan automatizado sus procesos. Sin embargo, esa presión también encierra una oportunidad. Las organizaciones que adopten la automatización integral del ciclo de vida de los certificados, desde su detección hasta su renovación, transformarán lo que antes era una carga de mantenimiento en una ventaja estratégica.

«En 2026, la cuestión no será cuánto tiempo duran tus certificados, sino cuán rápido puede adaptarse, responder y renovarse tu organización. En un mundo poscuántico de 47 días, la confianza no es permanente. Se demuestra una y otra vez», afirma Gustavsson.

He aquí cómo ir por delante:

• Automatice la detección, emisión, renovación y revocación de todos los certificados.
• Centralizar la gobernanza para eliminar las lagunas y los puntos ciegos en materia de propiedad.
• Comience a acortar la vigencia de los certificados privados en consonancia con la automatización madura.
• Modele el riesgo de interrupción del servicio y cuantifique los ahorros operativos de la automatización del ciclo de vida.

Recurso recomendado: Digital Trust Digest: Edición sobre automatización 

Predicción 3

La IA necesitará una identidad digital, o se convertirá en una nueva superficie de ataque.

Perspectivas de Ellen Boehm, vicepresidenta sénior de Innovación en Identidad IoT IA, Keyfactor

No se puede proteger lo que no se puede identificar, especialmente la IA.

«A medida que avancemos hacia 2026, la IA ya no se limitará a ayudar, sino que actuará. Los sistemas agenticos tomarán decisiones, iniciarán transacciones y se conectarán directamente a datos e infraestructuras sensibles. Cada uno de estos agentes de IA representa ahora un nuevo tipo de identidad que debe ser autenticada, gestionada y en la que se debe confiar. Sin una identidad digital verificable, perdemos la visibilidad de quién o qué actúa dentro de nuestros sistemas», explica Boehm.

Ella prevé que 2026 será el año en que la IA pase de ayudar a actuar. Los sistemas de IA agentica iniciarán transacciones, accederán a datos confidenciales e interactuarán de forma autónoma con infraestructuras críticas. Cada agente de IA se convertirá en una nueva identidad de máquina, que deberá ser autenticada y supervisada.

Boehm advierte que muchas organizaciones están repitiendo los errores cometidos durante el auge del IoT: lanzar innovaciones rápidamente mientras se posponen los controles básicos de seguridad. Conceder un amplio acceso a la IA sin una identidad o gobernanza verificables equivale a «entregar las llaves de tu red sin saber quién está al volante».

Una IA fiable requiere una identidad criptográfica, que se aplica mediante certificados, mTLS y una estricta gobernanza de lo que cada agente puede hacer.

«En 2026, las empresas se darán cuenta de que garantizar la seguridad de la IA no consiste solo en proteger los datos, sino en generar confianza en las propias máquinas. A medida que prolifera la IA agencial, cada agente de IA debe tener su propia identidad criptográfica, que se aplica mediante certificados y TLS mutuo. Las organizaciones que liderarán en 2026 serán aquellas que incorporen la identidad en el ADN de la IA, creando sistemas que no solo sean inteligentes, sino también intrínsecamente fiables».

He aquí cómo ir por delante:

• Asignar certificados e identidades criptográficas a agentes de IA y cargas de trabajo.
• Aplicar mTLS para todas las comunicaciones entre IA y sistema y entre IA e IA.
• Aplicar políticas de privilegios mínimos y una sólida gobernanza de identidades a los componentes de IA.
• Supervise continuamente las identidades de IA y rote los certificados con frecuencia.

Recurso recomendado: Proteger la IA agencial con Zero Trust

Predicción 4

La IA chocará con el cumplimiento normativo

Perspectivas de Ted Shorter, director de tecnología de Keyfactor

Shorter prevé que 2026 será el año en que los sistemas de IA se enfrentarán de lleno al escrutinio regulatorio. 

«Lo que ha sido aceptable en los programas piloto y las pruebas de concepto no resistirá los estándares de auditoría reales. A medida que los sistemas de IA entren en producción, la mayoría de las organizaciones descubrirán que sus controles y su gobernanza no han seguido el ritmo de la propia tecnología», señala. 

Los auditores comenzarán a hacer preguntas difíciles y las empresas necesitarán respuestas reales. 

Shorter predice que los auditores buscarán claridad en cuestiones que muchas organizaciones aún no pueden responder:

• ¿Quién es el propietario de los resultados de los sistemas de IA?
• ¿Cómo se validan y actualizan los modelos?
• ¿Qué registros de auditoría existen cuando un modelo toma una decisión errónea o perjudicial?
• ¿Cómo garantizan las organizaciones la integridad de los modelos y evitan su manipulación?

Las empresas se verán obligadas a tratar la IA como cualquier otro sistema crítico: supervisado, controlado, regulado y demostrable.

He aquí cómo ir por delante:

• Implementar controles de cadena de custodia para los datos del modelo, los datos de entrenamiento y las actualizaciones.
• Aplicar la firma y el seguimiento de la procedencia para la verificación del modelo.
• Aplicar marcos coherentes de gobernanza, controles de acceso y registro.
• Documentar las decisiones y los ciclos de validación para anticiparse a los requisitos de auditoría.

Recurso recomendado: Creación de agentes de IA seguros desde el primer día: lista de verificación de preparación para responsables de ética, políticas y confianza.

Predicción 5

CRA restablecerá el estándar de confianza para los dispositivos conectados

Perspectivas de Guillaume Crinon, director de Estrategia IoT , Keyfactor

Crinon destaca que la Ley de Resiliencia Cibernética (CRA) pasará de ser una «preocupación futura» a una obligación inmediata en 2026. 

Incluso las empresas con sede en EE. UU. que venden dispositivos conectados en la UE deben cumplir con la normativa, so pena de enfrentarse a cuantiosas multas. Los requisitos entrarán en vigor el 11 de septiembre de 2026, mientras que la mayoría de las demás disposiciones de la CRA se aplicarán plenamente el 11 de diciembre de 2027. 

Aquí hay un extracto de la legislación de la UE:  

«Los requisitos también garantizarán que se tenga en cuenta la ciberseguridad en todas las cadenas de suministro, lo que hará que los productos finales con elementos digitales y sus componentes sean más seguros... [y] se aplicará a productos tales como productos domésticos inteligentes con funciones de seguridad, incluyendo cerraduras inteligentes, sistemas de vigilancia para bebés y sistemas de alarma, juguetes conectados y tecnología sanitaria personal portátil». 

Consejo profesional: Teniendo en cuenta que un producto electrónico tarda entre 14 y 20 meses desde su concepción hasta su introducción en el mercado, cada producto que desarrolles debe prever el cumplimiento normativo.

Crinon advierte que no existe una receta mágica universal para cumplir con la CRA. Sin embargo, recomienda algunas tecnologías que permitirán reparar cualquier producto de forma segura y, si procede, de forma remota:

• Selección de procesadores seguros y elementos seguros como raíz de confianza del dispositivo.
• Dimensionamiento de la memoria para anticiparse a futuras actualizaciones, mejoras y correcciones.
• Implementación de un mecanismo de arranque seguro y actualización segura del firmware.
• Implementar una infraestructura adecuada software de firmware y software para garantizar el uso seguro de las claves de firma y protegerlas con una política que sea aplicable.
• Implementación de una PKI para emitir certificados para servidores back-end, claves de firma de firmware e identidades de dispositivos, si procede.
• Garantizar los pasos de fabricación y personalización de dispositivos, especialmente si se subcontratan a fabricantes externos.
• Implementación de una herramienta para mantener su SBOM ( Software de materiales Software ) con el fin de realizar un mejor seguimiento de las vulnerabilidades, documentar las dependencias y evaluar cómo afectan a su producto.

«La CRA no solo se refiere al diseño de los dispositivos, sino también a los procesos que hay detrás del diseño, el desarrollo, la fabricación y las pruebas, que deberán evaluarse y documentarse. Para muchos clientes, esto supondrá una mejora sustancial en su forma de desarrollar y fabricar, y solo puedo animarles a que aborden estos temas uno por uno tan pronto como puedan», añade Crinon. 

He aquí cómo ir por delante:

• Seleccione procesadores seguros o elementos seguros como hardware de confianza hardware .
• Implementar mecanismos de arranque seguro y actualización de firmware autenticada.
• Proteja las claves de firma del firmware mediante políticas sólidas respaldadas por PKI.
• Prácticas maduras de SBOM para realizar un seguimiento de las vulnerabilidades y las dependencias.
• Garantizar la seguridad de los flujos de trabajo de fabricación y personalización, especialmente en el caso de la externalización.

Recurso recomendado: Creado para generar confianza: cómo navegar por la Ley de Ciberresiliencia de la UE

Confianza digital en 2026: adaptable, viva y construida por diseño

La aceleración cuántica, la reducción de la vigencia de los certificados, la autonomía de la IA y el endurecimiento de las regulaciones sobre dispositivos están convergiendo en un momento crucial para la confianza digital. Las organizaciones que actúen ahora —mapeando los activos criptográficos, adoptando la automatización, protegiendo las identidades de IA y preparándose para los nuevos marcos regulatorios— liderarán el 2026 con confianza.

La confianza digital no es permanente. Se demuestra continuamente. Y 2026 recompensará a las organizaciones que estén preparadas para demostrarla. 

Keyfactor líder en confianza digital y seguridad cuántica. Podemos ayudarle a proteger todos los dispositivos, cargas de trabajo, agentes de IA y «cosas» conectadas con PKI moderna, automatización de certificados e inventario criptográfico. Nuestro equipo está listo para responder a sus preguntas y ayudarle a mantenerse a la vanguardia en 2026 y más allá.