Panorama general: Ante la inminencia de los ataques del tipo "cosecha ahora, descifra después", la UE adelanta el PQC para 2026, y sectores críticos como la energía y las telecomunicaciones para completar las actualizaciones en 2030. Este calendario subraya la urgente necesidad de una transición coordinada y estratégica para salvaguardar los activos digitales y físicos de Europa frente a las amenazas cuánticas emergentes.
Puede que la computación cuántica no haya roto la criptografía actual... todavía. Pero los reguladores europeos lo han dejado claro: las organizaciones no pueden permitirse esperar.
El 23 de junio de 2025, el grupo de trabajo PQC de la UE publicó la primera entrega de su Hoja de ruta de implementación coordinada para la transición a la criptografía postcuántica - un plan de alto nivel que describe cómo deben actuar ahora los Estados miembros para salvaguardar la infraestructura digital de las amenazas que plantea la computación cuántica.
Como líder en confianza digital y criptoagilidad, Keyfactor celebra este paso decisivo. La transición a la criptografía post-cuántica (PQC) es compleja, pero la nueva hoja de ruta ofrece a las organizaciones europeas una orientación clara y urgente.
Esto es lo que debe saber y cómo prepararse.
1. La urgencia no es opcional: Empiece ahora o corra el riesgo de quedarse atrás.
La hoja de ruta establece hitos ambiciosos:
- Para finales de 2026: Los Estados miembros deben establecer hojas de ruta nacionales de PQC y poner en marcha pilotos para casos de uso de riesgo alto y medio.
- A finales de 2030: Debería completarse la transición de los casos de uso de alto riesgo. Las actualizaciones de software y firmware a prueba de cuánticos deben ser la norma.
- Para 2035: El PQC deberá implantarse en la mayoría de los sistemas de riesgo medio y bajo.
Estos plazos se basan en las previsiones actuales de desarrollo cuántico, pero los avances inesperados podrían acortar la ventana. Conclusión: Si sus sistemas protegen datos confidenciales o dependen de una infraestructura de ciclo de vida largo, la planificación debe empezar hoy mismo.
2. El inventario y la visibilidad son lo primero.
No se puede proteger lo que no se ve. Una de las primeras recomendaciones de la UE es crear un inventario criptográfico maduro - una visión estructurada de todos los activos criptográficos, dependencias y sistemas que utilizan criptografía de clave pública.
Según el informe de la UE:
"Los Estados miembros deben promover y apoyar que se creen y mantengan inventarios criptográficos útiles. La creación y el mantenimiento de inventarios criptográficos pueden verse facilitados por herramientas (herramientas de descubrimiento y de gestión de activos)."
En Keyfactor, ayudamos a las organizaciones a hacer precisamente eso. Nuestras capacidades de descubrimiento criptográfico le permiten identificar e inventariar la criptografía vulnerable a la cuántica en todo su entorno y descubrir riesgos ocultos.
Esta visibilidad es esencial para realizar un análisis cuántico de riesgos - la base de una estrategia de migración priorizada.
3. Los casos de uso de alto riesgo requieren atención inmediata.
La hoja de ruta define los casos de uso de alto riesgo como aquellos en los que un compromiso dentro de más de 10 años seguiría siendo perjudicial: pensemos en infraestructuras nacionales, conservación de datos a largo plazo o sistemas con una alta complejidad de migración.
Para ellos, la UE recomienda:
- Priorizar los proyectos piloto PQC en 2025-2026
- Sustituir los algoritmos de clave pública vulnerables a la cuántica (como RSA y ECC) por soluciones híbridas que combinen PQC y criptografía tradicional.
- Evitar el uso de algoritmos vulnerables como métodos autónomos más allá de 2030
Consejo deKeyfactor : El soporte de certificados híbridos ya está disponible a través de plataformas como Keyfactor Command, permitiendo un camino gradual y basado en estándares hacia la preparación cuántica.
4. La criptoagilidad es el nombre del juego.
Si la criptografía está codificada de forma rígida, es inflexible o carece de seguimiento, la transición al PQC será una pesadilla. Por eso la UE hace hincapié en la agilidad criptográfica: la capacidad de identificar, actualizar y sustituir algoritmos sin romper los sistemas.
Hemos incorporado la criptoagilidad en el núcleo de las soluciones de Keyfactor. Desde la automatización del ciclo de vida de los certificados hasta la gestión de claves, nuestra plataforma le permite adaptarse rápidamente a medida que evolucionan las normas PQC.
5. La normativa es cada vez más estricta y las juntas directivas están en el punto de mira.
La preparación para el PQC no es sólo una buena práctica: es un requisito legal cada vez más importante. En virtud de la Directiva NIS2, DORAy la próxima Ley de Ciberresiliencialas organizaciones deben adoptar la criptografía más avanzada e incluir el riesgo cuántico en la gobernanza de la ciberseguridad.
Eso incluye:
- Responsabilidad de los ejecutivos: Los órganos directivos pueden ser considerados responsables en caso de incumplimiento.
- Actualizaciones de criptografía por defecto: Los productos deben poder actualizarse a PQC, especialmente los lanzados después de diciembre de 2027.
- Escrutinio de la cadena de suministro: Los proveedores deben alinearse con su hoja de ruta PQC y los requisitos de criptoagilidad.
¿Qué hacer a partir de ahora?
La hoja de ruta de la UE ofrece una dirección clara, pero es en la ejecución donde muchas organizaciones tendrán dificultades. En Keyfactor trabajamos con empresas y organismos públicos para simplificar y acelerar esta transición.
He aquí cómo empezar:
- Descubra su huella criptográfica y evalúe el riesgo cuántico.
- Dar prioridad a sistemas de alto riesgo y desarrollar estrategias híbridas.
- Automatice la gestión de certificados y refuerce la criptoagilidad.
- Colabore en con sus proveedores y cadena de suministro para alinearse en la preparación para el PQC.
- Manténgase informado participando en la elaboración de normas y las iniciativas de la UE.
Para llevar
El futuro post-cuántico ya no es hipotético, como tampoco lo es la presión normativa. Pero con la visibilidad, agilidad y automatización adecuadas, las organizaciones europeas pueden tomar el control de su futuro criptográfico. En Keyfactor, estamos preparados para ayudar.
Hagamos bien la confianza digital, incluso en un mundo cuántico.
