Inglés
Français
English
Português
简体中文
10/17/2025"Los sistemas de alto riesgo deben migrar antes de 2030, y para 2035 la mayoría debería estar en transición". Este doble calendario ha sido establecido por gobiernos y organizaciones de todo el mundo. Detrás de estas fechas se esconde un cuidadoso equilibrio: la urgencia de las amenazas cuánticas, la madurez de las normas de criptografía post-cuántica (PQC), la preparación de las cadenas de suministro industriales y el ritmo de aplicación de la normativa. Dos son los años que aparecen con más frecuencia en estos debates: 2030 y 2035. ¿Qué significan y cómo deben interpretarlos las organizaciones? Para responder, examinamos las hojas de ruta PQC del Reino Unido y la UE.
En marzo de 2025, el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) publicó Timelines for migration to post-quantum cryptography, estableciendo tres hitos clave: 2028 → 2031 → 2035.
Características de las líneas de tiempo del Reino Unido:
‧ Progresión gradual con tiempo de amortiguación.: La hoja de ruta del Reino Unido no considera 2030 como una fecha límite, sino que permite a las organizaciones un periodo de transición más largo.
‧ Énfasis en la planificación y la preparación: Desde las primeras etapas, se espera que las organizaciones lleven a cabo un descubrimiento exhaustivo, un mapa de dependencias y un análisis de la cadena de suministro como preparación fundacional.
‧ La agilidad criptográfica como requisito fundamental: Dado que los algoritmos PQC y las normas de protocolo siguen evolucionando, el Reino Unido insiste en que el diseño del sistema debe conservar la capacidad de sustituir los algoritmos criptográficos.
Apoyo al ecosistema: El NCSC tiene previsto poner en marcha un plan piloto para asegurar a los proveedores de servicios de consultoría que ayuden a las organizaciones a implantar su migración.
En general, la hoja de ruta del Reino Unido representa un camino más conservador pero pragmático: el año objetivo está más lejos (2035), pero las fases están claramente definidas, con margen para evaluar riesgos y realizar ajustes.
En abril de 2024, la Comisión Europea publicó la Recomendación sobre una hoja de ruta de implementación coordinada para la transición a la criptografía poscuántica, seguida de la publicación formal de Una hoja de ruta de implementación coordinada para la transición a la criptografía poscuántica en junio de 2025. Sus hitos son 2026→2030→2035.
Características de la hoja de ruta de la UE:
Principio de prioridad al riesgo: Los recursos y los plazos se concentran prioritariamente en la migración de los sistemas de alto riesgo, garantizando que los activos más críticos estén protegidos en primer lugar.
Política vinculante y apoyo normativo: La hoja de ruta de la UE no es meramente consultiva; se hará cumplir a través de la legislación sobre ciberseguridad, la coordinación de los Estados miembros y los mecanismos de supervisión.
Alineación internacional/normativa: La hoja de ruta de la UE alinea sus hitos (en particular 2035) con los de Estados Unidos y el Reino Unido, al tiempo que hace hincapié en los enfoques híbridos y la agilidad criptográfica.
"Movimientos sin arrepentimiento": Desde el principio, se anima a las organizaciones a implementar la gestión de activos criptográficos, la evaluación de riesgos y la coordinación de la cadena de suministro, acciones fundamentales que son las mejores prácticas en ciberseguridad, independientemente de la incertidumbre futura.
Está claro que la hoja de ruta de la UE asigna una urgencia y una presión significativas al hito de 2030: si los sistemas de alto riesgo no se migran hasta después de 2030, se enfrentarán a una mayor exposición a las amenazas cuánticas.
1. ¿Por qué 2035 como objetivo de migración total?
Expectativas de madurez de la tecnología cuántica: La opinión predominante es que la construcción de un ordenador cuántico criptográficamente relevante (CRQC) capaz de romper la criptografía de clave pública actual aún se enfrenta a importantes retos técnicos a corto plazo. En general, se prevé que esta capacidad no aparecerá antes de 2030.
Tiempo necesario para la madurez de las normas, los protocolos y la aplicación: Aunque el NIST y otros organismos de normalización han publicado algoritmos PQC, su validación, optimización y adaptación a diversos sistemas, protocolos y plataformas de hardware llevará varios años más.
Complejidad de las cadenas de suministro industrial y actualización de sistemas: Los sistemas operativos, el middleware, los protocolos de comunicación, los dispositivos inteligentes, los sistemas de control y las plataformas industriales requieren una adaptación sincronizada, pruebas, validación de compatibilidad y diseño de rutas de actualización.
Diseño del amortiguador de transición: Es necesaria una ventana de amortiguación para dar tiempo a las organizaciones, los fabricantes de dispositivos, los vendedores de software y los mantenedores de sistemas a adaptarse, reduciendo los riesgos y costes de una migración obligatoria prematura.
En otras palabras, el objetivo de 2035 proporciona un colchón -flexibilidad y tolerancia a fallos- que permite a la cadena de suministro mundial progresar a un ritmo sostenible.
2. ¿Por qué 2030 como fecha límite de alto riesgo?
Largo periodo de exposición de los sistemas de alto riesgo: Los sistemas que requieren confidencialidad a largo plazo (p. ej., gobierno, defensa, sanidad, finanzas, archivos de investigación) son especialmente vulnerables. Si los datos sensibles se interceptan hoy y se almacenan para ser descifrados en el futuro (cosechar ahora, descifrar después), el impacto podría ser grave incluso antes de que las capacidades cuánticas maduren plenamente.
Presión de la ventana de riesgo: Para estos sistemas, el coste de tolerar la ventana de amenaza cuántica es demasiado elevado, de ahí la necesidad de un hito anterior para acelerar la migración.
Políticas y normativas: Para las infraestructuras críticas, los servicios públicos y las industrias de alto impacto, los gobiernos tienden a imponer requisitos obligatorios o casi obligatorios, lo que hace que el hito de 2030 sea política y jurídicamente significativo.
Alineación con los plazos internacionales: La UE, el Reino Unido y Estados Unidos están convergiendo en materia de normas, cumplimiento y marcos internacionales. Si los sistemas de alto riesgo no se migran pronto, la cooperación transfronteriza y los marcos de confianza se enfrentarán a importantes retos.
"2030 o 2035" no es simplemente una cuestión de elegir un plazo. Refleja un equilibrio más amplio de factores: la urgencia de la seguridad, la madurez de las tecnologías poscuánticas, el ritmo de adopción de la industria y la fuerza de la política y la regulación.
Para Watchdata, como empresa dedicada al despliegue de tecnologías criptográficas y de seguridad, la cuestión esencial no es qué fecha es la correcta, sino cómo aprovechar esta ventana crítica para prepararse. Esto significa crear una visibilidad completa de los activos criptográficos, permitir una verdadera agilidad criptográfica, garantizar la compatibilidad y las vías de actualización, y alinearse con las hojas de ruta internacionales.
Los próximos años serán cruciales, ya que el control de calidad de la calidad pasará de las normas a la aplicación, de la investigación a las soluciones de ingeniería. Mediante una planificación temprana y una ejecución constante, las empresas pueden posicionarse para liderar, en lugar de seguir, la ola de migración mundial entre 2030 y 2035. En Watchdata, nos comprometemos a apoyar a nuestros socios y clientes a lo largo de esta transición, ayudándoles a construir la resiliencia necesaria para un futuro de seguridad cuántica.