Respuesta Rápida: Para 2028, los ordenadores cuánticos capaces de romper RSA-2048 y la encriptación de curva elíptica —la columna vertebral de la seguridad bancaria moderna— podrían estar operativos. Esto significa que las cuentas de ahorro estándar, las transferencias bancarias y las credenciales de banca digital podrían volverse criptográficamente vulnerables. Los bancos y los reguladores están compitiendo para adoptar la criptografía post-cuántica (PQC), pero la transición es lenta, desigual y está subfinanciada.
El sistema financiero se basa en una suposición matemática: que factorizar números primos grandes es computacionalmente inviable. Para los ordenadores clásicos, esa suposición se mantiene. Para los ordenadores cuánticos que ejecutan el algoritmo de Shor, no. Esto no es un problema futuro teórico, es un desafío de ingeniería activo con una fecha límite estricta, y es casi seguro que su banco no se ha preparado completamente para ello.
La base criptográfica de la banca moderna
Cada vez que inicia sesión en la banca en línea, inicia una transferencia o autentica un pago con tarjeta, se basa en una de dos familias criptográficas:
- RSA (Rivest–Shamir–Adleman): Típicamente RSA-2048, utilizado en protocolos TLS y autoridades de certificación.
- ECC (Criptografía de Curva Elíptica): Utilizado en aplicaciones de banca móvil, pagos sin contacto y autenticación de API.
Ambos sistemas derivan su seguridad de problemas matemáticos que los ordenadores clásicos no pueden resolver en un tiempo práctico. RSA se basa en la factorización de enteros; ECC se basa en el problema del logaritmo discreto sobre curvas elípticas.
La amenaza cuántica es precisa: El algoritmo de Shor, publicado en 1994, puede resolver ambos problemas en tiempo polinómico en un ordenador cuántico suficientemente grande. Un ordenador cuántico tolerante a fallos de 4.000 cúbits lógicos podría, teóricamente, romper RSA-2048 en horas, no en milenios.
Dónde se encuentra realmente el hardware cuántico (Cronología 2024–2028)
A mediados de 2024, los procesadores cuánticos más avanzados conocidos públicamente incluyen:
| Organización | Sistema | Cúbits lógicos (aprox.) | Estado |
|---|---|---|---|
| IBM | Heron (2023) | 133 cúbits físicos | Investigación |
| Sucesor de Sycamore | Más de 70 cúbits físicos | Investigación | |
| Microsoft | Prototipo de cúbit topológico | Etapa temprana | Pre-comercial |
| IonQ | Forte Enterprise | 35 cúbits algorítmicos | Comercial |
La distinción crítica: Cúbits físicos ≠ Cúbits lógicos. La sobrecarga de corrección de errores significa que romper RSA-2048 requiere un estimado de más de 4.000 cúbits lógicos, lo que puede requerir millones de cúbits físicos dependiendo de las tasas de error.
Las evaluaciones internas del NIST, junto con un informe de 2022 del Global Risk Institute, estiman una probabilidad de 1 entre 7 de que RSA-2048 sea rompible para 2026, aumentando a 1 entre 2 para 2031. La ventana de 2028 se sitúa precisamente en esta zona de alta incertidumbre.
"Un ordenador cuántico criptográficamente relevante (CRQC) no necesita ser anunciado públicamente antes de convertirse en una amenaza. Actores estatales con programas clasificados pueden lograrlo antes." — CISA, Iniciativa de Criptografía Post-Cuántica, 2023
El vector de ataque "Cosechar ahora, descifrar después"
Esta es la amenaza más inmediatamente accionable —y ya está ocurriendo.
Se sabe que los adversarios (particularmente los servicios de inteligencia de estados-nación) están interceptando y archivando comunicaciones bancarias cifradas hoy, con la intención de descifrarlas una vez que se logre la capacidad cuántica. Esta estrategia se denomina HNDL (Harvest Now, Decrypt Later).
Para la banca, esto significa:
- Registros de cuentas a largo plazo cifrados en tránsito hoy podrían quedar expuestos retroactivamente.
- Material de clave privada incrustado en sesiones TLS heredadas podría recuperarse.
- Mensajes de banca corresponsal (tráfico SWIFT) archivados para futura descifrado.
Un informe de inteligencia de 2023 del NCSC del Reino Unido confirmó que las operaciones HNDL dirigidas a la infraestructura financiera se consideran un vector de amenaza "creíble y activo".
Estándares de Criptografía Post-Cuántica del NIST: Lo que los bancos deben adoptar
En agosto de 2024, el NIST finalizó su primer conjunto de estándares de Criptografía Post-Cuántica (PQC):
- ML-KEM (anteriormente CRYSTALS-Kyber) — Mecanismo de encapsulación de claves
- ML-DSA (anteriormente CRYSTALS-Dilithium) — Firmas digitales
- SLH-DSA (anteriormente SPHINCS+) — Firmas basadas en hash
Estos algoritmos se basan en problemas matemáticos —principalmente problemas de celosía y funciones hash— que se cree que son resistentes tanto a los ataques clásicos como a los cuánticos.
El desafío de la migración para los bancos es sustancial:
- Profundidad del sistema heredado: Los sistemas bancarios centrales como Temenos T24 o FIS Profile no fueron diseñados con agilidad criptográfica.
- Infraestructura de certificados: Millones de certificados SSL, módulos de seguridad de hardware (HSM) y jerarquías PKI requieren reemplazo.
- Retraso en el cumplimiento normativo: Basilea III, PCI-DSS 4.0 y DORA aún no exigen plazos de PQC explícitamente.
- Exposición de terceros: Los procesadores de pagos, las redes de cajeros automáticos y los socios de API introducen vulnerabilidades independientes.
Caso de estudio: El programa piloto PQC del sector bancario holandés
En 2022-2023, De Nederlandsche Bank (DNB) coordinó un programa piloto con ING, Rabobank y ABN AMRO para probar protocolos criptográficos híbridos, ejecutando algoritmos clásicos y post-cuánticos simultáneamente como medida de transición.
Hallazgos clave publicados en su informe técnico de 2023: