Durante años, la conversación sobre criptografía post-cuántica (PQC) se ha contado como una carrera de algoritmos: qué esquema resiste mejor, cuál será el estándar, qué librería lo integra antes. Pero una nueva lectura empieza a imponerse en el sector: el verdadero cuello de botella ya no es únicamente técnico, sino organizativo. Y la palabra clave es gobernanza.

Esa es la tesis central de un artículo publicado hoy en HackerNoon por Sarath Chandra Vidya Sagar Machupalli, que pone el foco en un ángulo menos glamuroso —y por eso mismo más real— del salto post-cuántico: quién lidera la transición, cómo se mide el progreso y cómo se sostiene el cumplimiento normativo mientras conviven sistemas “clásicos” y post-cuánticos durante años.

La idea no parte del alarmismo ni de la ciencia ficción. El autor describe que, en entornos empresariales, la amenaza cuántica se percibe como algo diferente a “otra actualización de seguridad”. Su argumento es que obliga a revisar la manera en que las compañías gobiernan los activos criptográficos, porque buena parte de sus políticas, inventarios y controles se diseñaron cuando “RSA-2048 se consideraba irrompible”. En ese marco, la transición no se parece a parchear una vulnerabilidad: se parece a migrar una infraestructura invisible que sostiene identidades, sesiones, certificados, cifrado de datos, firmas y cadena de suministro.

El problema que casi nadie inventaria: la criptografía como “dependencia oculta”

Uno de los puntos más incómodos del diagnóstico es simple: muchas organizaciones no saben exactamente dónde están usando criptografía, con qué algoritmos, con qué tamaños de clave y bajo qué dependencias. No porque haya mala praxis, sino porque la criptografía suele ir “empotrada” en capas técnicas y proveedores: TLS aquí, una PKI allá, un módulo en un ERP, un firmware en un dispositivo industrial, una pasarela móvil, un servicio cloud gestionado.

Ese vacío tiene consecuencias directas. Si una empresa no puede contestar con precisión “qué algoritmos protegen qué datos”, tampoco puede priorizar. Y priorizar es el centro de la discusión, porque el salto post-cuántico no se ejecuta en un trimestre: se planifica en olas, con sistemas críticos, restricciones regulatorias, dependencias con partners y legado que no desaparece por decreto.

El artículo plantea que, para gobernar de verdad el riesgo cuántico, hace falta tratar la criptografía como un activo gestionable: inventario, criticidad, propietarios, métricas, trazabilidad y ciclo de vida.

De la “PQC” a la “seguridad cuántica”: cambia el tablero

Otra aportación relevante del texto es la distinción entre PQC (resistencia de algoritmos) y seguridad cuántica (marco completo de gobierno, cumplimiento y estrategia). Es una diferencia sutil, pero práctica:

• PQC responde al “qué algoritmo implemento”.
• Gobernanza de seguridad cuántica responde a preguntas más duras: ¿quién es responsable? ¿qué sistemas migran primero? ¿qué significa estar “preparado”? ¿cómo lo audito? ¿qué hago con el legado mientras tanto?

Según el autor, ahí es donde hoy se atascan muchas empresas: tienen políticas “clásicas”, inventarios incompletos y estructuras de decisión que no están pensadas para una migración criptográfica multi-año con impacto transversal.

Cumplimiento normativo: objetivos móviles y auditorías con matices

El texto insiste en un punto que preocupa especialmente a CISOs y responsables de compliance: la regulación y los estándares evolucionan, pero los sistemas no migran al mismo ritmo. En la práctica, durante la transición conviven enfoques híbridos (clásico + post-cuántico) con sistemas aún dependientes de algoritmos tradicionales, y ahí aparecen preguntas incómodas:

• Si se despliega un TLS híbrido (dos mecanismos a la vez), ¿se considera “cuánticamente resistente” a efectos de auditoría?
• Si una norma dice “quantum-resistant”, ¿exige pureza post-cuántica o acepta un puente temporal?
• ¿Cómo se documenta una hoja de ruta defensible ante auditores que quizá no tienen el contexto técnico?

La conclusión del autor es pragmática: esperar “claridad perfecta” es una trampa. En vez de eso, propone crear marcos de gobernanza flexibles, capaces de adaptarse conforme maduren estándares y guías, sin perder capacidad de demostrar diligencia hoy.

Riesgos operativos: cuando el cambio “seguro” también abre superficie de ataque

Más allá de algoritmos, el artículo subraya riesgos operativos típicos de cualquier gran transición, pero amplificados por el hecho de que afectan a la criptografía:

• Gestión de claves más compleja (por cambios de tamaño, rendimiento, almacenamiento o supuestos de diseño).
• Trade-offs de rendimiento (no todo se comporta igual en latencia, CPU, memoria o throughput).
• Interoperabilidad (partners y proveedores migrarán a ritmos distintos, lo que fuerza convivencias y configuraciones duales).
• Cadena de suministro (la criptografía vive también en terceros: SaaS, dispositivos, integradores, fabricantes, etc.).

El mensaje de fondo es que la transición post-cuántica no se puede tratar como un “proyecto de seguridad aislado”: es un cambio de arquitectura, operación y gobernanza.

Qué están recomendando ya: un marco práctico, no un póster

El artículo aterriza el enfoque en una lista de pasos que, más que “recetas”, funcionan como esqueleto organizativo para empresas que no quieren quedarse en la teoría:

1. Patrocinio ejecutivo real (visibilidad en comité de dirección, no solo en IT).
2. Equipo de transición con autoridad, presupuesto y responsabilidad transversal.
3. Inventario criptográfico apoyado en automatización (no fiarlo a documentación histórica).
4. Hoja de ruta basada en riesgo (sensibilidad del dato, horizonte de confidencialidad y exposición).
5. Soluciones híbridas como puente para compatibilidad sin frenar el avance.
6. Monitorización continua (métricas de adopción, cuellos de botella, impacto en rendimiento).
7. Formación (equipos técnicos, responsables de riesgo y decisores).

La clave aquí no es la lista en sí —muchas organizaciones la intuyen—, sino el enfoque: convertir la transición cuántica en un programa gobernable, con criterios, indicadores y rendición de cuentas.

---

Preguntas frecuentes

¿Qué es “gobernanza de seguridad cuántica” en una empresa?
Es el conjunto de procesos, responsables, políticas y métricas para gestionar el riesgo criptográfico ante la llegada de la computación cuántica: inventario de usos criptográficos, prioridades de migración, control de cambios y cumplimiento.

¿Por qué no basta con “cambiar a algoritmos post-cuánticos”?
Porque la criptografía está repartida por sistemas, proveedores y dispositivos. Sin inventario, priorización y coordinación, el cambio puede dejar puntos ciegos, incompatibilidades y riesgos operativos.

¿Qué significa un enfoque “híbrido” en criptografía post-cuántica?
Es una transición en la que se combinan mecanismos clásicos y post-cuánticos a la vez para mantener compatibilidad mientras se eleva la resistencia frente a amenazas futuras.

¿Qué sectores suelen moverse antes hacia la preparación post-cuántica?
Los que manejan datos con larga vida útil o alta criticidad (por ejemplo, infraestructuras críticas, finanzas, administración pública, salud o grandes plataformas con ecosistemas complejos), porque el riesgo crece cuanto más tiempo debe mantenerse la confidencialidad.

---

Fuentes:

• Hackernoon — “Quantum Security Governance: Building a Framework for the Post-Quantum World”, Sarath Chandra Vidya Sagar Machupalli (19 de diciembre de 2025).