¿Por qué los bancos globales se apresuran a reemplazar el cifrado antes de 2030?

El tiempo se acaba. En algún lugar dentro de un centro de datos anodino en Fráncfort, un equipo de criptógrafos e ingenieros de banca central están probando un módulo de cifrado basado en celosías contra un ataque cuántico simulado. No lo hacen porque ya existan computadoras cuánticas capaces de romper el cifrado actual, sino porque, según las estimaciones más creíbles, existirán para 2030. Y el sistema financiero no está preparado.

Esto ya no es un ejercicio teórico confinado a documentos académicos. En 2026, la carrera para proteger la infraestructura financiera global contra las amenazas cuánticas ha pasado de ser una curiosidad en las salas de juntas a una emergencia en las mismas.

La amenaza es concreta — y el plazo se acorta

La preocupación se centra en una clase específica de algoritmos cuánticos. El algoritmo de Shor, desarrollado por el matemático Peter Shor en 1994, puede, teóricamente, factorizar números enteros grandes exponencialmente más rápido que las computadoras clásicas, lo que dejaría obsoleto RSA-2048 y la criptografía de curva elíptica (ECC), los dos pilares de la seguridad bancaria moderna.

Según el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST), que finalizó su primer conjunto de estándares criptográficos post-cuánticos en agosto de 2024, la ventana de transición para la infraestructura crítica se estima en cinco a diez años. Eso sitúa el límite exterior firmemente en 2034, pero los reguladores financieros no esperarán tanto.

El Banco de Pagos Internacionales (BPI) publicó un documento de trabajo a principios de 2025 estimando que aproximadamente 22 billones de dólares en flujos diarios de pagos globales están actualmente protegidos por esquemas de cifrado vulnerables al descifrado cuántico. El Banco Central Europeo ha señalado el riesgo cuántico como una preocupación sistémica de Nivel 1 en su Estrategia de Finanzas Digitales 2025–2030.

"Recopilar ahora, descifrar después" — La urgencia oculta

Aquí está la parte que la mayoría de la gente pasa por alto: no se necesita una computadora cuántica hoy para crear un problema de la era cuántica hoy.

Los actores de amenazas a nivel estatal ya están involucrados en lo que los profesionales de la seguridad llaman ataques de "recopilar ahora, descifrar después" (HNDL), interceptando y archivando comunicaciones financieras cifradas ahora, con la intención de descifrarlas una vez que la hardware cuántica suficientemente potente esté disponible. La correspondencia interbancaria sensible, los registros de transacciones de deuda soberana y los mensajes SWIFT transfronterizos cifrados hoy podrían quedar expuestos en una década.

"La idea errónea es que este es un problema futuro", dijo la Dra. Lena Fischer, asesora de criptografía cuántica en el Deutsche Bundesbank, en un simposio en febrero de 2026. "Si sus datos tienen un horizonte de confidencialidad de más de siete años —y una gran cantidad de datos financieros lo tienen— ya está operando dentro de la ventana de amenaza".

Qué significa realmente "Reestructurar los sistemas centrales"

Reemplazar el cifrado en un banco no es como actualizar un parche de software. Los sistemas bancarios centrales en las principales instituciones son de múltiples capas, profundamente integrados y a menudo tienen décadas de antigüedad. El G-SIB (Banco de Importancia Sistémica Global) promedio opera entre 15 y 40 sistemas heredados distintos, muchos construidos sobre bases de código COBOL de los años 80.

Migrar estos sistemas a los estándares de criptografía post-cuántica (PQC) —específicamente, algoritmos aprobados por NIST como CRYSTALS-Kyber (para encapsulación de claves) y CRYSTALS-Dilithium (para firmas digitales)— requiere:

Auditorías completas de inventario criptográfico: identificar cada punto del sistema donde se aplica el cifrado, a menudo en miles.
Marcos criptográficos híbridos: ejecutar algoritmos clásicos y PQC simultáneamente durante la transición para evitar fallos de compatibilidad.
Reemplazo de Módulos de Seguridad de Hardware (HSM): muchos HSM existentes no pueden soportar algoritmos basados en celosías sin actualizaciones de firmware o físicas.
Cumplimiento de proveedores externos: los procesadores de pagos, los proveedores de la nube y los proveedores de SaaS también deben cumplir con PQC, creando una cadena de dependencia en cascada.

JPMorgan Chase reveló en su Informe Anual de 2025 que había completado una lista de materiales criptográficos (CBOM) en toda su infraestructura, un proceso que llevó 18 meses e involucró a más de 1.200 ingenieros. El banco ha asignado 400 millones de dólares a su programa de preparación cuántica hasta 2028.

HSBC, mientras tanto, ha estado pilotando una red de distribución de claves cuánticas (QKD) a lo largo de su corredor Londres-Hong Kong desde el tercer trimestre de 2025, utilizando la transmisión de fotones por fibra óptica para crear intercambios de claves teóricamente inquebrantables. QKD, aunque prometedora, sigue siendo costosa y geográficamente limitada; no se puede escalar globalmente solo a través de Internet.

La capa de presión regulatoria

Los reguladores financieros ya no ofrecen orientación, están emitiendo mandatos.

El debate sobre el costo: ¿50 mil millones de dólares en toda la industria?

No todos están de acuerdo con el ritmo o el precio.

Un informe de 2025 de McKinsey & Company estimó que el sector financiero global enfrenta costos de transición PQC acumulados de entre 38 y 54 mil millones de dólares hasta 2030, con los bancos regionales más pequeños desproporcionadamente afectados debido a la limitada experiencia criptográfica interna.

Los críticos argumentan que los plazos regulatorios son demasiado agresivos. El Dr. Raj Patel, economista de ciberseguridad en la London School of Economics, sostiene que la industria está "adelantando costos por una amenaza que podría no materializarse a gran escala antes de 2035". Señala el hecho de que el procesador cuántico más avanzado de IBM a principios de 2026 —el Heron r2 con 156 cúbits— sigue estando órdenes de magnitud por debajo de los 4.000 cúbits lógicos (corregidos de errores) estimados necesarios para ejecutar el algoritmo de Shor contra RSA-2048 a una escala significativa.

Otros responden que esperar la certeza es precisamente la postura equivocada. "No esperamos a que un puente colapsara antes de actualizar los estándares sísmicos", argumenta Fischer. "Uno diseña para el vector de amenaza conocido, no para la capacidad actual".

Errores comunes que los bancos ya están cometiendo

Incluso las instituciones que han iniciado la transición están tropezando:

Tratar la PQC como un proyecto de TI, no como un proyecto de gestión de riesgos — subestimando las dependencias interdepartamentales.

Ignorar la cadena de proveedores — asumiendo que el cumplimiento interno es suficiente cuando las integraciones de terceros siguen siendo vulnerables.

Subinvertir en agilidad criptográfica — construyendo sistemas que solo pueden acomodar los algoritmos aprobados por NIST de hoy, cuando se esperan más revisiones de estandarización para 2027.

Descuidar la capacitación de los empleados — la alfabetización cuántica a nivel operativo sigue siendo críticamente baja en la mayoría de las instituciones.

Preguntas Frecuentes

¿Qué es la criptografía post-cuántica (PQC) y por qué es importante para los bancos?

La criptografía post-cuántica se refiere a algoritmos criptográficos diseñados para ser seguros contra ataques de computadoras tanto clásicas como cuánticas. Es importante para los bancos porque los estándares de cifrado actuales —RSA y ECC— pueden ser teóricamente rotos por procesadores cuánticos suficientemente potentes, poniendo en riesgo los datos financieros cifrados, las transacciones y las comunicaciones. NIST finalizó sus primeros estándares PQC en 2024.

¿Qué tan pronto deben estar los bancos preparados para la era cuántica?

Los plazos regulatorios varían según la jurisdicción. La FCA del Reino Unido ha establecido diciembre de 2029 como fecha límite de cumplimiento. La OCC de EE. UU. exigió evaluaciones de riesgo cuántico para el segundo trimestre de 2026. La mayoría de los expertos en seguridad aconsejan a las instituciones que comiencen la transición de inmediato, dados los plazos de migración de infraestructura de 5 a 10 años típicos en la banca.

¿Qué es un ataque de "recopilar ahora, descifrar después"?

Es una estrategia en la que los adversarios interceptan y almacenan datos cifrados hoy —antes de que las computadoras cuánticas sean lo suficientemente potentes como para romperlos— con la intención de descifrarlos una vez que exista hardware cuántico capaz. Esto hace que la amenaza sea relevante ahora, no solo en el futuro, particularmente para registros financieros con una larga vida útil.

¿Los bancos más pequeños están igualmente en riesgo?

Sí, y se enfrentan a mayores desafíos. Los bancos regionales más pequeños suelen carecer de la experiencia criptográfica interna y los presupuestos de capital de los G-SIB. McKinsey estima que las instituciones más pequeñas soportarán un costo de transición por activo desproporcionadamente alto, lo que hace que el apoyo regulatorio y los programas de infraestructura compartida sean cada vez más importantes.

Gunesed Intelligence