El sector financiero, la administración pública y cualquier organización que gestione datos confidenciales en el tiempo -historiales médicos, expedientes legales, contratos estratégicos o datos de clientes- se enfrentan a una inherente amenaza: el ataque conocido como ‘Harvest Now, Decrypt Later’.

Los actores maliciosos recopilan hoy volúmenes masivos de información cifrada con la expectativa de descifrarla cuando los ordenadores cuánticos alcancen suficiente capacidad de cómputo. Los datos robados mañana con algoritmos cuánticos son, en realidad, los datos que se están transmitiendo hoy.

“Las organizaciones españolas deben entender que prepararse en criptografía post-cuántica no es un proyecto de futuro, sino un programa de resiliencia operativa que empieza ahora. Quienes comiencen a construir su inventario criptográfico, a identificar sus activos críticos y a realizar pruebas controladas tendrán ventaja a nivel tanto regulatorio como reputacional”, apunta Eutimio Fernández, Regional Sales Manager para Iberia en Thales Cybersecurity Products.

Marco regulatorio y planes de acción

La Comisión Europea publicó en 2024 su Recomendación sobre la transición coordinada hacia la criptografía post-cuántica (algoritmos y protocolos diseñados para resistir ataques de computadoras cuánticas), instando a los Estados miembros a iniciar las migraciones de manera inmediata y a priorizar las infraestructuras críticas antes de 2030.

España cuenta además con su Estrategia de Tecnologías Cuánticas 2025-2030, que refuerza la urgencia de abordar la ciberseguridad cuántica como prioridad. En paralelo, el marco normativo de ciberseguridad europeo -con NIS2, DORA para el sector financiero y el Esquema Nacional de Seguridad en el ámbito público- está elevando el nivel de exigencia en gestión criptográfica.

“Las empresas más avanzadas ya están pasando de la estrategia a la ejecución con planes que incluyen un inventario criptográfico inicial, el análisis de la interoperabilidad, la selección de proyectos piloto y la construcción de evidencias auditables. No se trata de completar la migración de la base criptográfica este año, sino de plantearse por dónde empezar, qué priorizar y qué sistemas testar”, continúa el responsable de Thales Cybersecurity Products.

Estos planes de acción incluyen así identificar dónde se usa cifrado, qué datos protege y qué activos tienen largos horizontes de confidencialidad; en interoperabilidad, documentar dependencias con proveedores cloud, plataformas SaaS, redes de pago o partners que afectarán al ritmo de la migración; seleccionar uno o dos puntos de partida donde probar algoritmos híbridos (vulnerables y no) sin interrumpir operaciones, como por ejemplo una ruta PKI interna, un flujo TLS crítico o un proceso de firma de código; y generar un paquete de evidencias desde el primer día, que pueda presentarse a reguladores, juntas directivas y auditores como prueba de progreso estructurado.

Modelo para servicios financieros y entornos complejos

En el caso de entornos heterogéneos y complejos como finanzas, Thales Cybersecurity propone un modelo de migración en dos vías paralelas:

• Datos, identidades y aplicaciones críticas: basado en los equipos HSM Luna de Thales Cybersecurity, que ofrecen una base gobernada para introducir criptografía híbrida y postcuántica en flujos de gestión de claves, PKI, TLS y firma de código, preservando la custodia de claves durante la transición.
• Datos en tránsito en rutas críticas: los High Speed Encryptors (HSE) de Thales Cybersecurity permiten proteger el tráfico de red sensible entre sedes, centros de datos, entornos cloud y conexiones de disaster recovery sin necesidad de esperar a que toda la cadena de aplicaciones y proveedores esté lista. Esto permite reducir la exposición a ataques Harvest Now, Decrypt Later mientras avanza la migración de aplicaciones.

Las soluciones de Thales Cybersecurity Products están disponibles en España a través de Exclusive Networks, distribuidor de referencia en ciberseguridad que se apoya en una red de partners que incluye integradores de sistemas, proveedores de servicios gestionados (MSPs) y especialistas regionales para acelerar la adopción de soluciones de seguridad con servicios de habilitación, formación técnica y soporte.

Igualmente, Thales ha publicado “The Quantum-Safe Financial Enterprise”, una guía práctica para entidades financieras que detalla cómo establecer un sistema de registro criptográfico, priorizar activos según su nivel de riesgo y generar evidencias auditables alineadas con las expectativas regulatorias. La guía está disponible de forma gratuita aquí.