Imagínalo. Tu equipo legal entra y te dice: tienes cinco años para cambiar todas las cerraduras del edificio. No porque las cerraduras actuales estén rotas. Sino porque viene un nuevo tipo de ganzúa — y cuando llegue, tus cerraduras actuales se abrirán en segundos.

Esa es la situación en la que están las empresas europeas con el cifrado. La UE lo sabe. Los reguladores lo saben. Y en junio de 2025, publicaron un plan con una fecha límite clara: 2030.

La pregunta es si tu empresa también lo sabe.

¿Qué dice exactamente el plan de la UE?

En junio de 2025, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) publicó su Hoja de Ruta de Criptografía Post-Cuántica — un plan detallado para que la infraestructura crítica de Europa migre a cifrado cuántico-seguro.

El mensaje central es claro: RSA y ECC — los algoritmos que protegen la mayoría de tus sistemas hoy — son matemáticamente vulnerables a los ordenadores cuánticos. ENISA quiere que la infraestructura crítica complete esta migración antes de 2030.

Esto no es una sugerencia. Es una política coordinada, y el marco regulatorio que la respalda ya está en vigor.

¿A quién afecta exactamente?

Puede que pienses que esto solo aplica a agencias gubernamentales o contratistas de defensa. No es así.

NIS2 — la directiva de ciberseguridad actualizada de la UE, que entró en vigor en octubre de 2024 — cubre una amplia gama de sectores:

Energía: electricidad, petróleo y gas, calefacción urbana
Finanzas: bancos, seguros e infraestructura de mercados
Sanidad: hospitales, fabricantes farmacéuticos y laboratorios
Transporte: aviación, ferrocarriles, transporte marítimo y logística por carretera
Infraestructura digital: proveedores cloud, centros de datos, DNS y operadores CDN
Administración pública: organismos gubernamentales centrales y regionales

DORA — el Reglamento de Resiliencia Operacional Digital para servicios financieros — entró en vigor en enero de 2025 y exige explícitamente a las empresas que evalúen y aborden los riesgos de tecnologías emergentes, incluida la computación cuántica. Si tu empresa opera en alguno de estos sectores en la UE, la migración cuántica no es una opción.

Por qué 2030 está más cerca de lo que parece

Cinco años parece tiempo suficiente. No lo es.

Migrar la infraestructura criptográfica no es como actualizar una app. Cada sistema que utiliza cifrado debe ser inventariado, evaluado y migrado: certificados TLS, tokens JWT, claves API, certificados de firma, campos de base de datos cifrados, cifrado de copias de seguridad — está en todas partes, y la mayoría de las organizaciones ni siquiera tienen un inventario completo.

En la práctica, las organizaciones que han empezado este trabajo informan que se tarda entre dos y cuatro años desde la primera auditoría hasta la migración completa. Algunas llevan trabajando en ello desde 2022 y todavía no han terminado.

Haz los cálculos. Si empiezas en 2027, llegas a 2030 con trabajo sin terminar y un regulador esperando respuestas.

Tres cosas que puedes hacer ahora mismo

La buena noticia es que no necesitas resolver todo de una vez. La migración post-cuántica es un programa, no un proyecto puntual. Aquí tienes un punto de partida práctico:

Mapea tu inventario criptográfico. ¿Dónde usas RSA o ECC hoy? Está en tu configuración TLS, tus claves de firma JWT, tu acceso SSH, tus certificados de firma de código — casi con seguridad en todas partes. No puedes priorizar lo que no has mapeado.
Clasifica tus datos por longevidad. ¿Qué datos seguirán siendo sensibles en 2030 o más allá? Registros de clientes, datos médicos, transacciones financieras, secretos comerciales — cualquier dato con una vida útil mayor que el tiempo hasta la llegada de los ordenadores cuánticos ya está expuesto a ataques de recoger-ahora-descifrar-después.
Empieza bien los nuevos sistemas. Cuando construyas nuevas APIs, servicios o integraciones, usa algoritmos post-cuánticos desde el primer día. FIPS 203 (ML-KEM) y FIPS 204 (ML-DSA) están finalizados, estandarizados y listos para producción. No hay razón para empezar un nuevo sistema con RSA hoy.

Para esto construimos QuantumAPI

En Kovimatic, construimos QuantumAPI específicamente para esta transición. No como proyecto de investigación. No como prueba de concepto. Como infraestructura de producción que puedes usar hoy.

QuantumKeys te da ML-KEM y ML-DSA a través de una API REST — cifrado cuántico-seguro sin necesitar experiencia criptográfica interna. QuantumVault gestiona tus secretos y claves usando los mismos estándares post-cuánticos. QuantumID gestiona la autenticación y MFA con protocolos resistentes a la computación cuántica.

Todo desplegado en infraestructura europea, bajo jurisdicción de la UE, con un registro de auditoría completo que cumple los requisitos NIS2.

La fecha límite de 2030 es real. Los reguladores van en serio. Y las organizaciones que empiezan ahora estarán en una posición muy diferente a las que esperen hasta el último año.