Lo que un directorio peruano debe entender hoy sobre una tecnología que aún no madura

Cuando converso con directorios peruanos sobre los riesgos tecnológicos que mantienen bajo vigilancia, la computación cuántica casi nunca aparece en la lista. Se habla de fraude digital, de continuidad operativa, de inteligencia artificial; del horizonte cuántico, casi nada. Por eso me detuvo una frase que un alto responsable de seguridad de uno de los principales bancos del país pronunció en un foro de ciberseguridad financiera: “Pensábamos que la computación cuántica iba a demorar más, pero ya la tenemos encima” (iupana, 2025). No lo dijo un físico ni un futurista, sino un directivo encargado de proteger los datos de millones de clientes. Esa distinción lo cambia todo: traslada el tema desde el laboratorio hacia la mesa donde se gobierna el riesgo.

Confieso que no soy especialista en física cuántica, y este artículo no pretende convertir a nadie en uno. Lo escribo desde un lugar más útil para un directorio: el de quien intenta entender, a tiempo, qué preguntas debe empezar a hacer. Porque mientras una parte del sistema financiero ya conversa sobre el tema, la mayoría de los directorios peruanos aún no lo ha incorporado a su agenda. Cerrar esa brecha de atención —no dominar la tecnología— es el propósito de estas páginas.

Qué es, en términos de directivo

La forma más honesta de explicar la computación cuántica a un directorio no es con fórmulas, sino con una analogía que el propio sector financiero ha popularizado. Una computadora clásica funciona como un interruptor de luz: cada bit está encendido o apagado, es 1 o es 0. Una computadora cuántica se parece más a un regulador de intensidad que puede estar en 1, en 0, o en ambos estados a la vez y en distintos grados (BBVA, 2025). Esa propiedad —la superposición— permite que las unidades cuánticas, llamadas qubits, exploren muchas combinaciones de manera simultánea en lugar de una por una. Cuando varios qubits se vinculan mediante el entrelazamiento, esa capacidad de explorar posibilidades crece de forma exponencial.

La consecuencia práctica es que cierto tipo de problemas —los que implican evaluar un número astronómico de combinaciones— podrían resolverse en órdenes de magnitud menos tiempo. Pero conviene desactivar de inmediato una expectativa equivocada: una computadora cuántica no es “una computadora normal pero más rápida”, ni reemplazará a los sistemas que hoy procesan nóminas, contabilidad o correo. Su ventaja es estrecha y especializada: optimización, simulación de moléculas y materiales, ciertos problemas de inteligencia artificial y, de manera decisiva para la seguridad, la factorización de los números enormes sobre los que se sostiene la criptografía actual.

Aquí conviene un matiz técnico que todo directivo informado debería conocer, porque evita tanto el pánico como la complacencia: no todo el cifrado se desploma igual. En 1994, el matemático Peter Shor demostró que una computadora cuántica suficientemente potente podría factorizar números grandes con rapidez, lo que vulneraría de raíz los algoritmos de clave pública —RSA y ECC— que protegen firmas digitales, intercambio de claves y autenticación. El cifrado simétrico, en cambio —como el que protege grandes volúmenes de datos almacenados— resiste mucho mejor: basta, en buena medida, con duplicar el tamaño de las claves. La amenaza, entonces, no es difusa: apunta con precisión al corazón de la seguridad de las transacciones digitales.

Cinco términos para llevar a la sala de directorio

Una tecnología de doble filo: promesa y amenaza

La computación cuántica le plantea al directorio dos conversaciones distintas, con horizontes de tiempo opuestos, y confundirlas es el error más frecuente. La primera es una promesa de capacidad, de mediano y largo plazo. En banca y finanzas se exploran aplicaciones en optimización de carteras, cálculo de riesgo crediticio y valoración de instrumentos complejos, campos donde algunos bancos internacionales ya ensayan pruebas de concepto (BBVA, 2025). En industria y logística se estudia la optimización de rutas y cadenas de suministro; en farmacéutica y materiales, la simulación de moléculas que la computación clásica no alcanza a modelar. Son oportunidades reales, pero su materialización a escala comercial todavía se mide en años: los hitos recientes —IBM proyecta ventaja cuántica hacia fines de 2026 y un computador tolerante a fallos a gran escala para 2029— validan el camino, pero no lo completan (IBM, 2025).

La segunda es una amenaza presente, y este es el punto que ningún directorio puede delegar a “algún momento futuro”. La seguridad de casi todo lo que hoy ocurre en internet —transacciones bancarias, firmas digitales, comunicaciones, contratos— descansa en algoritmos como RSA y ECC, exactamente los que el algoritmo de Shor pone en jaque. La paradoja es esta: la promesa todavía está lejos, pero la amenaza ya obliga a actuar. Para entender por qué, hay que detenerse en un concepto que debería formar parte del vocabulario de todo directorio.

“Cosechar hoy, descifrar después” y la respuesta post-cuántica

El concepto se conoce en inglés como harvest now, decrypt later —cosechar hoy, descifrar después— y describe una estrategia inquietante por su sencillez: un adversario intercepta y almacena hoy información cifrada que aún no puede leer, con la intención de descifrarla dentro de varios años, cuando el hardware cuántico haya madurado (Cybersecurity and Infrastructure Security Agency [CISA], 2022). Para datos cuya confidencialidad debe sostenerse una década o más —historias clínicas, contratos, propiedad intelectual, secretos comerciales, posiciones financieras— la amenaza no es futura: reside en la decisión que se toma hoy sobre cómo se cifran esos datos.

La buena noticia es que ya existe una respuesta concreta. En agosto de 2024, tras un proceso de estandarización de ocho años, el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) publicó las primeras tres normas de criptografía post-cuántica —FIPS 203, FIPS 204 y FIPS 205—, diseñadas para resistir ataques de computadoras cuánticas (National Institute of Standards and Technology [NIST], 2024). Migrar hacia estos estándares no es un cambio cosmético: implica inventariar dónde y cómo cifra una organización, actualizar protocolos y desarrollar la cripto-agilidad necesaria para sustituir algoritmos sin rehacer sistemas enteros. El propio NIST ha trazado un calendario en el que los algoritmos vulnerables quedarán en desuso hacia 2030 y prohibidos hacia 2035 (The Quantum Insider, 2026).

Los relojes regulatorios ya corren

Para un directorio, la señal más clara de que esto dejó de ser especulación no viene de los físicos, sino de los reguladores, que ya fijaron fechas. En Estados Unidos, la Agencia de Seguridad Nacional exige que los nuevos sistemas de seguridad nacional adopten criptografía resistente a la cuántica desde 2027, con la transición completa hacia 2035. La Unión Europea publicó en 2025 una hoja de ruta coordinada que pide a sus Estados miembros iniciar inventarios criptográficos para fines de 2026 y migrar la infraestructura crítica —la banca incluida explícitamente— hacia 2030. El Reino Unido marcó hitos en 2028, 2031 y 2035 (The Quantum Insider, 2026). El mensaje para cualquier institución financiera es inequívoco: los supervisores de esas economías esperan ver sus sistemas críticos a prueba de cuántica dentro de los próximos cinco años.

¿Cómo sabe un directorio si debe preocuparse ahora o puede esperar? Existe una regla simple, formulada por el físico Michele Mosca: si el tiempo durante el cual sus datos deben permanecer seguros, sumado al tiempo que le tomará migrar sus sistemas, supera los años que faltan para que exista una computadora cuántica capaz de romper el cifrado, entonces ya es tarde para empezar (Mosca, 2018). La aritmética, para muchas organizaciones, ya no cierra a su favor:

El diagnóstico peruano: alerta temprana, preparación incipiente

El Perú no parte de cero, pero tampoco va adelantado. Lo alentador es que el sistema financiero ya encendió las alertas: una de las mayores entidades bancarias del país y el gremio bancario peruano coinciden en que las estrategias de seguridad deben reformularse ante el avance de la computación cuántica (iupana, 2025). En el plano regulatorio, la Superintendencia de Banca, Seguros y AFP propuso en 2025 la creación de un comité nacional para articular una estrategia integral de ciberseguridad financiera (El Comercio, 2025). El contexto que motiva esa urgencia es elocuente: según cifras expuestas por la propia SBS, las denuncias por delitos informáticos pasaron de 8.674 en 2020 a más de 42.000 en 2024 —un crecimiento de cinco veces en cinco años—, con cerca del 70 % asociado a fraude y suplantación de identidad (El Comercio, 2025).

Hay, sin embargo, un detalle regulatorio que el directorio no puede pasar por alto: la SBS ha sido explícita en que su regulación es neutral respecto de las tecnologías que cada entidad emplea, y que la responsabilidad final recae en las empresas financieras (El Comercio, 2025). Dicho de otro modo: nadie vendrá a indicarle a su organización, paso a paso, cómo prepararse para la amenaza cuántica. Esa decisión es, por diseño, del directorio.

Lo preocupante es la magnitud de la exposición. Buena parte de la banca latinoamericana depende de algoritmos como RSA y ECC para cifrar credenciales de clientes, validar transacciones digitales y autenticar pagos con tarjetas de chip o sin contacto bajo el estándar EMV (iupana, 2025). Es precisamente la infraestructura que el algoritmo de Shor amenaza. A ello se suma una preocupación adicional sobre las redes blockchain, que confían en firmas digitales y consenso distribuido que un salto cuántico podría alterar (iupana, 2025). Y si a este panorama se añade la escasez regional de talento especializado en tecnologías cuánticas, el directorio peruano enfrenta no un problema técnico aislado, sino una brecha de preparación que se cierra con lentitud y que exige decisiones hoy.

Cuatro errores frecuentes del directorio

“Es ciencia ficción”. Es la reacción más cómoda y la más riesgosa. Los avances en corrección de errores y la publicación de estándares y plazos regulatorios internacionales demuestran que el tema salió del terreno especulativo. Tratarlo como fantasía es renunciar a prepararse.

“Es un problema de TI”. Delegar la computación cuántica al área técnica subestima su naturaleza. La decisión de qué datos proteger, por cuánto tiempo y con qué inversión es una decisión de gestión de riesgo y, por tanto, de directorio. El área técnica ejecuta; el directorio prioriza y asigna recursos.

“Esperaré a que la tecnología madure”. Es el error más sutil, porque suena prudente. Pero la lógica de “cosechar hoy, descifrar después” significa que los datos sensibles que su organización transmite hoy podrían estar siendo almacenados ya. Esperar a que la amenaza sea visible equivale a actuar cuando el daño sobre los datos de larga vida útil ya es irreversible.

“Esperaré a que el regulador me obligue”. Dado que la SBS mantiene una postura neutral en tecnología, el directorio que aguarde una instrucción detallada esperará en vano. La responsabilidad recae en la propia entidad, y los reguladores de otras jurisdicciones ya fijan plazos que tarde o temprano permean a la región. Anticiparse no es exceso de celo: es gobierno corporativo.

Una hoja de ruta para el directorio

La respuesta no exige que el directorio entienda física cuántica, sino que ejerza su función de gobierno con cinco decisiones concretas:

1.    Inventario criptográfico. Solicitar a la gerencia un mapa de dónde, cómo y con qué algoritmos cifra la organización. No se puede proteger lo que no se conoce, y es el primer hito que todos los marcos regulatorios exigen.

2.  Clasificación por vida útil del dato. Identificar qué información debe permanecer confidencial diez años o más; ahí se concentra la urgencia, aplicando la lógica del teorema de Mosca.

3.   Cripto-agilidad por diseño. Exigir que los nuevos sistemas se construyan para poder cambiar de algoritmo sin rehacerse por completo, evitando quedar atrapados en una tecnología obsoleta.

4. Vigilancia tecnológica y regulatoria. Designar un responsable que siga los estándares post-cuánticos y los plazos de los supervisores, e informe periódicamente al directorio.

5.    Talento y alianzas. Reconocer que la escasez de especialistas obliga a apoyarse en alianzas con proveedores, universidades y pares del sector.

Referencias internacionales

Reflexiones finales

La computación cuántica obliga a un directorio a sostener dos ideas a la vez: que la promesa de capacidad todavía está a años de distancia, y que la amenaza a la seguridad de los datos exige decisiones hoy. Esa tensión —no la tecnología en sí— es lo que define la madurez directiva frente al tema. No se requiere que el directorio domine la física; se requiere que entienda el riesgo, asigne responsabilidades y haga las preguntas que la gerencia aún no se ha planteado.

El sistema financiero peruano ya encendió la alerta y los reguladores del mundo ya fijaron fechas; la pregunta es si el resto de los directorios las escuchará a tiempo. Y mientras un directorio delibera si el tema es suyo, es perfectamente posible que el de su competidor ya haya ordenado el primer inventario criptográfico.

Como ocurre con otras fronteras de la ciberseguridad que he abordado en esta serie —la convergencia entre los mundos IT y OT, o el doble filo de la inteligencia artificial—, la computación cuántica reaparece con la misma pregunta de fondo: quién, en el directorio, asume la vigilancia de un riesgo que por defecto no es de nadie. Responderla a tiempo es, quizá, la decisión más importante que un directorio puede tomar hoy frente a la cuántica.

Para abrir esa conversación en su próxima sesión, sugiero plantear seis preguntas:

1. ¿Sabemos qué datos de nuestra organización deben permanecer confidenciales por una década o más?

2. ¿Tenemos un inventario de los algoritmos de cifrado que usamos y de dónde los usamos?

3. Si aplicáramos el teorema de Mosca a nuestros datos más sensibles, ¿ya deberíamos haber empezado a migrar?

4. ¿Quién es responsable de seguir los estándares post-cuánticos y los plazos regulatorios, y cuándo nos reportó por última vez?

5. ¿Nuestros nuevos sistemas se están diseñando con cripto-agilidad?

6. ¿Estamos tratando la computación cuántica como un asunto de directorio o lo hemos delegado por completo al área técnica?

Nota del autor

Escribo estas líneas no como especialista en física cuántica —no lo soy— sino como un directivo curioso que intenta traducir, para sus pares, una tecnología que demasiados consideran aún lejana.

Mi interés por el tema se agudizó al constatar un contraste incómodo: algunas de las instituciones financieras más sólidas del país ya conversan sobre la amenaza cuántica mientras la mayoría de los directorios la ignora. Este artículo no busca agotar el tema, sino abrir una conversación que llega tarde a casi todas las salas de directorio del país. No se trata de entenderlo todo, sino de empezar a preguntar. La conversación que sigue de forma natural —quién asume el tema en el directorio y cómo se organiza la respuesta sin convertirla en un mero proyecto técnico— queda para una próxima entrega.

Referencias

BBVA. (2025). Computación cuántica: la apuesta de BBVA para transformar las finanzas. BBVA. https://www.bbva.com

Cybersecurity and Infrastructure Security Agency. (2022). Prepare for a new cryptographic standard to protect against future quantum-based threats. CISA. https://www.cisa.gov

El Comercio. (2025, 20 de mayo). SBS propone comité nacional para fortalecer la ciberseguridad financiera. El Comercio. https://elcomercio.pe

IBM. (2025). IBM delivers new quantum processors, software, and algorithm breakthroughs on path to advantage and fault tolerance. IBM Newsroom. https://newsroom.ibm.com

iupana. (2025, 7 de julio). La nueva era computacional despierta alertas en el sistema financiero peruano. iupana. https://iupana.com

Mosca, M. (2018). Cybersecurity in an era with quantum computers: Will we be ready? IEEE Security & Privacy, 16(5), 38–41.

National Institute of Standards and Technology. (2024). Post-quantum cryptography standards: FIPS 203, FIPS 204 and FIPS 205. U.S. Department of Commerce. https://csrc.nist.gov

Santander. (2024). El futuro de la seguridad de los datos del cliente: criptografía post-cuántica. Banco Santander. https://www.santander.com

The Quantum Insider. (2026, 8 de mayo). Post-quantum migration timelines: Government and industry impact. The Quantum Insider. https://thequantuminsider.com