Parte 1: Radiografía del riesgo cuántico en Colombia 2025

En los últimos 24 meses, la computación cuántica salió del laboratorio para convertirse en política pública, estándares oficiales y despliegues de criptografía poscuántica (PQC) en productos de consumo masivo. 

Estados Unidos y la Unión Europea cerraron el ciclo de estandarización de criptografía poscuántica; China mantiene inversiones estratégicas y programas de transferencia que priorizan la computación cuántica en su agenda estatal y aceleran el paso del laboratorio a la industria mediante centros nacionales, consorcios público-privados, redes piloto y compras públicas; e IBM avanza hacia plataformas de utilidad cuántica con la arquitectura System Two y la familia Heron (133–156 qubits), consolidando una hoja de ruta que integra computación clásica y cuántica en centros de Japón y Europa.

En normatividad, el NIST (National Institute of Standards and Technology) publicó los primeros estándares FIPS poscuánticos:

• FIPS 203 – ML-KEM (Kyber) para encapsulación de claves,

• FIPS 204 – ML-DSA (Dilithium) y

• FIPS 205 – SLH-DSA (SPHINCS+) para firmas.

Ya no hablamos de “proyecto”: hay especificaciones listas para planear, presupuestar y pilotear. En el ecosistema de usuarios finales, Apple rediseñó iMessage con PQ3, un protocolo que combina establecimiento poscuántico con ratchets de auto-curación y defensa explícita frente a ataques “Harvest Now, Decrypt Later” (HNDL). 

Signal evolucionó su protocolo con SPQR (Sparse Post-Quantum Ratchet). Y Google/Chromium habilitó X25519Kyber768 como intercambio híbrido por defecto en TLS 1.3/QUIC (Chrome 124+). Tres hitos que demuestran que la transición ya empezó en escala planetaria. 

Colombia, en contraste, no cuenta aún con una hoja de ruta pública, clara y vinculante de quantum readiness que articule sectores críticos (financiero, salud, energía, gobierno) y alinee regulación, inventarios de riesgo, presupuestos y plazos. 

La ausencia de esa brújula incrementa el pasivo intertemporal: cada día que pasa, más información sensible cifrada “a la manera clásica” puede ser cosechada hoy para descifrarse mañana. 

Este artículo busca precisamente llamar la atención y alinear el lenguaje con la alta dirección en torno a este tema, sin entrar aún al detalle técnico que será abordado en las dos próximas partes.

El verdadero desafío es temporal y de gobernanza. No hay una fecha exacta para el “Q-Day” (nombre coloquial del momento exacto en que se rompa la criptografía clásica); las proyecciones razonables van desde 3–5 años hasta cerca de una década para alcanzar capacidades prácticas contra RSA/ECC. 

Esa incertidumbre paraliza a muchas organizaciones que solo asignan recursos cuando hay un hito inamovible. Pero el riesgo es intertemporal: cada día que pasa permite a los adversarios cosechar hoy datos cifrados para descifrarlos mañana, de modo que esperar una señal definitiva es, en sí mismo, una decisión de alto riesgo.

• La criptoagilidad y su rol ante riesgo cuántico

La criptoagilidad es la capacidad organizacional de cambiar algoritmos, tamaños de clave, parámetros y protocolos—e incluso rotar llaves y certificados—de forma rápida, segura y orquestada, sin reescribir sistemas completos ni interrumpir el negocio. 

Se logra al desacoplar la criptografía de las aplicaciones (capas/SDKs, feature flags, políticas versionadas), automatizar ciclo de vida de llaves (emisión, rotación, revocación) y centralizar políticas de cifrado. 

Su valor va más allá de migrar a algoritmos poscuánticos: permite responder en horas a vulnerabilidades emergentes, cumplir exigencias regulatorias cambiantes, optimizar performance por canal, reducir lock-in de proveedor, aislar incidentes con rotaciones forzadas, habilitar doble firma en CI/CD y probar perfiles híbridos sin tocar cada microservicio. 

En términos de riesgo, la criptoagilidad baja el costo del cambio y convierte la migración PQC en un proceso incremental y medible, no en un salto traumático.

• Colombia 2025: brecha estructural y riesgos concretos

La primera brecha es de carácter gubernamental, pues no se ve una política pública que fije mínimos de seguridad pos cuántica a aplicar, dejando a que cada entidad avance por su cuenta. 

Esta orfandad estratégica se agrava porque muchas organizaciones no saben qué tienen a nivel de inventario criptográfico (qué algoritmos corren, en qué sistemas y para qué propósito), las dependencias impactadas (HSM, SDK, firmware) y una priorización o KPI que oriente la inversión. 

La gestión se vuelve reactiva: se rota un certificado aquí, se actualiza un módulo allá, pero el riesgo intertemporal (HNDL) queda intacto porque no existe el mapa que permita decidir dónde empezar la migración.

Asimismo la criptografía suele estar embebida en los core o atada a HSM/KMS que no tienen un roadmap PQC, lo que frena pilotos y complica adoptar perfiles híbridos. Sin una visión de criptoagilidad, cada cambio se transforma en un proyecto de reingeniería. 

Así, la ausencia de hoja de ruta nacional deriva en mapas incompletos, y esos mapas incompletos chocan con dependencias rígidas que imposibilitan ensayar y escalar la transición.

La solución exige atacar estas brechas a la vez: definición de normativa nacional, visibilidad medible de elementos criptográficas y criptoagilidad en la arquitectura de cada organización.

El objetivo en 2026 no es “migrar todo de un día para otro”, sino crear condiciones de éxito para una transición ordenada en 3–5 años. Para ello se necesita una declaración ejecutiva de riesgo cuántico donde la alta gerencia adopta un posicionamiento oficial, definiendo responsables, un comité y un KPI trimestral. 

En las 2 siguientes partes o artículos detallaremos los pasos de migración poscuántica a seguir, sin embargo en Cyte hemos puesto a su exposición una  calculadora de Riesgo Cuántico para poder tener una visión inicial: https://www.cyte.co/calculadora-pqc.