La orden ejecutiva que le puso fecha de vencimiento al cifrado que usamos hoy

En 2019, los investigadores estimaban que harían falta unos 20 millones de qubits para romper RSA-2048, el algoritmo que protege buena parte del tráfico cifrado en internet. En 2025, Google actualizó esa cifra a alrededor de un millón. La brecha entre la capacidad cuántica actual y la necesaria para un ataque real sigue siendo enorme, pero se cierra. Y el 23 de junio, una orden ejecutiva de la administración Trump decidió que esperar hasta 2035 ya no era aceptable.

El plazo se adelantó a 2030 para establecimiento de claves y a 2031 para firmas digitales, con márgenes aún más estrechos para los activos federales clasificados como de alto valor. Para los contratistas privados del gobierno, podrían venir requerimientos similares. Es la primera vez que el gobierno de EE.UU. pone fechas concretas, no marcos orientativos, sobre la transición a criptografía post-cuántica.

El problema de fondo con el cifrado que usamos hoy

RSA, ECC y los algoritmos similares que protegen desde correos empresariales hasta transacciones bancarias se basan en problemas matemáticos que una computadora clásica no puede resolver en tiempo útil: factorizar números muy grandes, calcular logaritmos discretos. Una computadora cuántica con suficientes qubits estables los resolvería en horas o días.

El NIST publicó en 2024 los primeros estándares de criptografía post-cuántica (PQC). El principal para establecimiento de claves es ML-KEM, que se apoya en problemas matemáticos distintos y resiste el análisis cuántico conocido hasta hoy. El trade-off es concreto: las claves son aproximadamente tres veces más grandes que las de RSA, lo que implica más carga de procesamiento en cada conexión segura.

El ataque que ya está pasando: "capturar ahora, descifrar después"

Uno de los argumentos más sólidos para acelerar la migración no tiene que ver con el futuro sino con el presente. La táctica conocida como harvest now, decrypt later —capturar ahora, descifrar después— consiste en interceptar y guardar tráfico cifrado actual para descifrarlo cuando las computadoras cuánticas sean lo suficientemente potentes. Los datos de hoy, los correos de hoy, los contratos de hoy, podrían quedar expuestos en cinco o diez años.

Empresas como Cloudflare, Google y Microsoft trabajan activamente en implementar PQC en sus servicios. No es filantropía: es defensa propia. Dan Goodin, editor de seguridad de Ars Technica, señala que la orden ejecutiva incluye una categoría especial para activos de alto valor cuya transición debe completarse antes que el resto. Los plazos para ese subconjunto crítico son más estrechos todavía.

Lo que conviene hacer ahora si tenés una empresa

La mayoría de las PyMEs no van a migrar sus sistemas de cifrado directamente: lo van a hacer los proveedores que usan. Los navegadores, los sistemas operativos, los certificados SSL de los servidores, las plataformas de e-commerce. Pero hay preguntas concretas que vale la pena empezar a hacer: ¿El proveedor de nube tiene hoja de ruta para PQC? ¿El software que procesa información sensible —facturación, contratos, datos de clientes— tiene plan de actualización?

En sectores donde la confidencialidad es central —fintech, salud, comercio exterior, legal— la pregunta se vuelve urgente. La orden ejecutiva apunta al gobierno federal de EE.UU., pero en la práctica los estándares del NIST son adoptados globalmente por la industria tecnológica. Lo que se exija en Washington en 2030 va a ser lo que los proveedores de software implementen en todo el mundo. El que audite sus sistemas antes de ese momento va a tener menos trabajo de emergencia cuando llegue la fecha.