Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Amenaza de cifrado cuántico: advertencia urgente de Google sobre ataques SNDL

Amenaza de cifrado cuántico: advertencia urgente de Google sobre ataques SNDL

by Patrick Spencer updated febrero 10, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 9 minutes

Google emitió lo que podría ser la advertencia de ciberseguridad más importante del año. Kent Walker, presidente de Asuntos Globales en Alphabet y Google, fue claro: los sistemas de cifrado actuales son vulnerables a la computación cuántica, y los adversarios ya están explotando esa vulnerabilidad, aunque no de la forma que podrías imaginar.

¿El mensaje principal? Deja de tratar las amenazas cuánticas como un problema futuro. Ya son un problema actual.

Puntos clave

  1. Los ataques «almacenar ahora, descifrar después» ya están en marcha. Google confirmó que los adversarios están recolectando datos cifrados —registros financieros, secretos comerciales, comunicaciones clasificadas— apostando a que las computadoras cuánticas del futuro romperán el cifrado de hoy. Ya no es un riesgo teórico; es una campaña de recopilación de inteligencia en curso dirigida a organizaciones en este momento.
  2. Google ya completó su migración post-cuántica. Google migró los intercambios de claves para el tráfico interno a ML-KEM, el estándar post-cuántico que NIST finalizó en agosto de 2024, y ahora todos los servicios de Google usan intercambio de claves resistente a la computación cuántica por defecto. La migración completada de la compañía elimina el argumento de «aún no es viable» y pone presión sobre el resto de las empresas para que sigan su ejemplo.
  3. La orden ejecutiva cuántica de la Casa Blanca tiene un vacío importante. El borrador de la orden ejecutiva sobre tecnología cuántica encarga a las agencias federales actualizar la Estrategia Nacional Cuántica, pero aparentemente omite disposiciones sobre criptografía post-cuántica. Las recomendaciones de Google parecen diseñadas para llenar ese vacío, pidiendo la adopción de PQC en infraestructuras críticas, modernización cloud-first y alineación de estándares globales.
  4. El 91% de las organizaciones no tiene hoja de ruta post-cuántica. Una investigación citada por Google Cloud encontró que solo el 9% de las organizaciones tiene un plan para migrar a cifrado resistente a la computación cuántica. Con la expectativa de que los contratos gubernamentales exijan cumplimiento de PQC en 2026 y analistas estimando una ventana de 12 a 24 meses solo para iniciar la migración, la brecha de preparación es enorme.
  5. Los marcos de cumplimiento existentes aplicarán PQC sin nuevas reglas. Regulaciones como HIPAA, PCI DSS y SOX ya exigen medidas de seguridad «razonables», y la definición de razonable cambiará a medida que los estándares post-cuánticos se generalicen. Las organizaciones que sigan confiando exclusivamente en el cifrado clásico se arriesgan a incumplir los marcos actuales, igual que ocurrió cuando TLS 1.0 y 1.1 quedaron obsoletos.

«Almacenar ahora, descifrar después» ya está ocurriendo

Empecemos por la parte más preocupante del anuncio de Google, porque merece atención inmediata. Los actores maliciosos están recolectando datos cifrados en este preciso momento. Registros financieros, secretos comerciales, comunicaciones gubernamentales clasificadas: todo se está recopilando y almacenando, con la expectativa de que eventualmente lleguen computadoras cuánticas capaces de romper el cifrado actual.

Este vector de ataque tiene nombre en la comunidad de ciberseguridad: «almacenar ahora, descifrar después» (SNDL). Y no es hipotético. Google confirmó que estas campañas ya están en marcha.

Piénsalo un segundo. Cada dato confidencial que tu organización transmite hoy, cifrado con los estándares actuales, podría estar almacenado en algún lugar por un adversario, esperando. El cifrado aún no ha sido roto, pero la apuesta es que lo será, y posiblemente antes de lo que muchos creen.

Walker lo dijo sin rodeos: «Una computadora cuántica relevante para la criptografía no está siempre a una década de distancia». Esa frase es intencional. Durante años, el plazo de la amenaza cuántica ha sido un objetivo móvil, siempre lo suficientemente lejano como para justificar la inacción. Google afirma que ese enfoque ya no es aceptable.

Esto representa un cambio importante de tono por parte de una de las mayores empresas tecnológicas del mundo. Y debería cambiar la forma en que cada CISO y responsable de cumplimiento piensa sobre su hoja de ruta de cifrado.

¿Qué ha hecho realmente Google?

Vale la pena señalar que Google no solo está lanzando advertencias: también predica con el ejemplo. La empresa anunció que está en camino de completar su migración a la criptografía post-cuántica (PQC) siguiendo las directrices recomendadas por NIST. Específicamente, Google ya migró los intercambios de claves para el tráfico interno a ML-KEM, el principal estándar post-cuántico que NIST finalizó en agosto de 2024.

Todos los servicios de Google y algunos servicios nativos de Google Cloud ahora usan intercambio de claves resistente a la computación cuántica por defecto. Es un cambio de infraestructura enorme, y el hecho de que ya lo hayan completado le da aún más peso a su advertencia. Cuando una empresa que procesa un porcentaje asombroso del tráfico global de internet dice «ya lo hicimos, y tú también debes hacerlo», tiene una credibilidad distinta a la de un proveedor que solo vende un producto.

ML-KEM (Mecanismo de Encapsulación de Claves Basado en Módulos y Redes de Lattice), para quienes no están inmersos en la criptografía, es uno de los algoritmos que NIST seleccionó como parte de su esfuerzo de estandarización post-cuántica de varios años. Está diseñado para resistir ataques tanto de computadoras clásicas como cuánticas, lo que lo convierte en un reemplazo directo para los mecanismos actuales de intercambio de claves, al menos en teoría. En la práctica, migrar la infraestructura empresarial a nuevos estándares criptográficos rara vez es sencillo, y por eso las recomendaciones de Google sobre los plazos son tan agresivas.

La brecha de políticas de la que nadie habla

Aquí es donde la cuestión se vuelve interesante desde la perspectiva del cumplimiento normativo. La Casa Blanca está redactando una orden ejecutiva sobre tecnología cuántica titulada «Abriendo la próxima frontera de la innovación cuántica». Sobre el papel, suena integral. El borrador encarga a varias agencias federales actualizar la Estrategia Nacional Cuántica y desarrollar nuevas capacidades de computación cuántica para aplicaciones científicas.

Pero hay una omisión notable: el borrador aparentemente carece de disposiciones que aborden específicamente la criptografía post-cuántica. Es un vacío importante. Podrías pensar que una orden ejecutiva centrada en la innovación cuántica abordaría la implicación de seguridad más urgente de esa tecnología, pero al parecer no es así, al menos por ahora.

El impulso de Google en materia de políticas parece diseñado precisamente para llenar ese vacío. Walker expuso cinco recomendaciones para los responsables políticos que suenan más a hoja de ruta de lo que la orden ejecutiva debería incluir que a simples sugerencias. Entre ellas: impulsar el impulso social para la adopción de PQC (especialmente en infraestructuras críticas como redes eléctricas y sistemas de salud), promover la modernización cloud-first para permitir actualizaciones criptográficas más rápidas, construir sistemas de IA con criptografía post-cuántica desde el inicio y evitar la fragmentación global en la adopción de estándares.

Ese último punto sobre la fragmentación merece atención. Si diferentes países adoptan estándares post-cuánticos incompatibles, se generará una enorme fricción para el comercio global y el intercambio de datos. Ya hemos visto esto con las regulaciones de privacidad de datos: GDPR, CCPA, la PIPL de China y docenas más han creado un mosaico de cumplimiento costoso y complejo de gestionar. Repetir ese patrón con los estándares criptográficos sería aún peor, porque el cifrado es incluso más fundamental para el funcionamiento de los sistemas digitales.

Solo el 9% tiene un plan

Quizá la estadística más alarmante del anuncio de Google: según una investigación citada por Google Cloud, solo el 9% de las organizaciones tiene actualmente una hoja de ruta post-cuántica.

Nueve por ciento.

Esa cifra debería preocupar a cualquiera responsable de la seguridad empresarial o el cumplimiento normativo. Los analistas describen la ventana de migración como de unos 12 a 24 meses para que las organizaciones inicien su transición. No para completarla: para iniciarla. Y sin embargo, la gran mayoría ni siquiera ha empezado a planificar.

Jennifer Fernick, ingeniera senior de seguridad en Google Cloud, enfatizó la urgencia en torno a las firmas digitales: «Mientras antes podamos proteger estas firmas, más resiliente será la base de confianza del mundo digital». Tiene razón. Las firmas digitales son la base de todo, desde actualizaciones de software hasta transacciones financieras y verificación de identidad. Si un adversario con capacidades cuánticas puede falsificar esas firmas, toda la cadena de confianza digital se desmorona.

Desde el punto de vista del cumplimiento, esto crea una dinámica complicada. CISA ya emitió directrices federales identificando categorías de productos tecnológicos donde la criptografía post-cuántica está ampliamente disponible, y se espera que los contratos gubernamentales exijan cumplimiento de PQC a partir de 2026. Si tu organización hace negocios con el gobierno federal o está sujeta a marcos como FedRAMP, CMMC o ITAR, el mensaje es claro. Los requisitos de PQC están en camino, y probablemente llegarán más rápido de lo que los equipos de compras y TI están preparados.

Por qué esto importa más allá de los contratos gubernamentales

Pero las implicaciones de cumplimiento van mucho más allá de los contratos federales. Considera los marcos regulatorios que ya exigen medidas de seguridad «razonables» o «adecuadas»: HIPAA, PCI DSS, SOX, varias leyes estatales de privacidad. La definición de lo que constituye una seguridad «razonable» cambiará a medida que los estándares post-cuánticos estén disponibles y se adopten ampliamente.

La lógica es la siguiente: una vez que NIST ha publicado los estándares de PQC finalizados (ya lo hizo), y una vez que los principales proveedores tecnológicos los han implementado (como ya hizo Google), cada vez será más difícil argumentar que seguir confiando exclusivamente en el cifrado clásico es una postura de seguridad razonable. Los reguladores no necesitarán escribir nuevas reglas. Solo interpretarán las existentes de otra manera.

Así es exactamente como evolucionaron antes los requisitos de cifrado. Cuando TLS 1.0 y 1.1 quedaron obsoletos, las organizaciones que los seguían usando quedaron fuera de cumplimiento con PCI DSS, no porque se escribiera una nueva regla, sino porque el estándar de «cifrado fuerte» evolucionó. Espera el mismo patrón con la criptografía post-cuántica.

Para las organizaciones que gestionan datos sensibles sujetos a largos periodos de retención —piensa en historiales médicos, datos financieros, propiedad intelectual, documentos legales— la amenaza SNDL añade otra dimensión. Los datos cifrados hoy podrían necesitar permanecer confidenciales durante 10, 20 o 30 años. Si una computadora cuántica capaz de romper el cifrado actual llega en ese periodo, tendrás una brecha de datos retroactiva. Los datos ya fueron robados; simplemente no sabías que estaban expuestos.

¿Qué deberían hacer las organizaciones ahora mismo?

El consejo práctico aquí no es complicado, aunque la ejecución sí lo sea. Primero, haz un inventario criptográfico. Debes saber qué algoritmos de cifrado usan tus sistemas, dónde se usan y cuán integrados están. Esto es más difícil de lo que parece: la mayoría de las organizaciones tiene cifrado disperso en aplicaciones, bases de datos, APIs, túneles VPN, sistemas de correo electrónico y capas de almacenamiento, sin visibilidad centralizada.

Segundo, empieza a evaluar soluciones post-cuánticas de tus proveedores actuales. Muchos proveedores cloud y de seguridad ya están implementando soporte para PQC o lo tienen en sus hojas de ruta a corto plazo. Si tu infraestructura depende mucho de la nube, podrías beneficiarte de las mejoras que tus proveedores están haciendo por ti, pero debes verificarlo, no asumirlo.

Tercero, prioriza tus datos más sensibles y de mayor vida útil. No todo necesita migrarse al mismo tiempo. Los datos que deben permanecer confidenciales durante décadas (registros de pacientes, información relacionada con la defensa, secretos comerciales) deben estar al principio de la lista, precisamente por la amenaza SNDL.

Y cuarto, involucra a tus equipos de cumplimiento y legales ahora. No esperes a un mandato regulatorio explícito. Las organizaciones que inicien su migración a PQC de forma proactiva estarán en una posición mucho más fuerte que las que tengan que ponerse al día tras la llegada de una fecha límite de cumplimiento.

La visión general

La advertencia de Google es parte de un cambio más amplio que se viene gestando desde hace dos años. NIST finalizó sus primeros estándares post-cuánticos en agosto de 2024. La NSA publicó sus propios plazos para migrar los sistemas de seguridad nacional a criptografía resistente a la computación cuántica. CISA está emitiendo directrices. Y ahora la mayor empresa tecnológica del mundo afirma públicamente que la amenaza es inminente, no teórica.

La conversación sobre la seguridad ante la computación cuántica ha pasado de conferencias académicas y grupos de trabajo especializados a salas de juntas y agencias regulatorias. Esa transición ocurrió más rápido de lo que muchos esperaban, y la brecha entre la concienciación y la acción sigue siendo enorme.

Ya seas un CISO que busca justificar la inversión en PQC, un responsable de cumplimiento que mapea la exposición regulatoria futura o un líder de TI que evalúa tu infraestructura criptográfica, ya no hay tiempo para esperar y ver. Google ya te lo dijo. Y con solo el 9% de las organizaciones contando siquiera con una hoja de ruta, la ventaja competitiva y regulatoria de moverse temprano es enorme.

El reloj cuántico avanza. La cuestión es si tu organización estará lista cuando llegue el momento.

Preguntas frecuentes

El 7 de febrero de 2026, Google emitió una advertencia urgente: los sistemas de cifrado actuales son vulnerables a amenazas de computación cuántica y los adversarios ya están recolectando datos cifrados en ataques de «almacenar ahora, descifrar después». Kent Walker, presidente de Asuntos Globales en Alphabet y Google, instó a gobiernos e industria a acelerar la adopción de criptografía post-cuántica, afirmando que una computadora cuántica relevante para la criptografía ya no está perpetuamente a una década de distancia. Google también reveló que ya migró sus propios servicios a intercambio de claves resistente a la computación cuántica usando ML-KEM, el estándar post-cuántico finalizado por NIST en agosto de 2024.

Un ataque de almacenar ahora, descifrar después es una estrategia en la que los adversarios recopilan y almacenan datos cifrados hoy con la intención de descifrarlos cuando las computadoras cuánticas sean lo suficientemente potentes como para romper los algoritmos actuales. Google confirmó que estos ataques ya están ocurriendo, con actores de amenazas recolectando registros financieros cifrados, secretos comerciales y comunicaciones clasificadas. El peligro es especialmente grave para datos que deben permanecer confidenciales durante años o décadas, como historiales médicos, propiedad intelectual relacionada con la defensa y datos financieros, porque un avance cuántico dentro de ese periodo de confidencialidad expondría retroactivamente todo lo que se recopiló.

La criptografía post-cuántica se refiere a algoritmos criptográficos diseñados para resistir ataques tanto de computadoras clásicas como cuánticas. En agosto de 2024, el Instituto Nacional de Estándares y Tecnología (NIST) finalizó su primer conjunto de estándares criptográficos post-cuánticos, incluyendo ML-KEM (Mecanismo de Encapsulación de Claves Basado en Módulos y Redes de Lattice) para intercambio de claves y ML-DSA para firmas digitales. Estos estándares están pensados para reemplazar los métodos de cifrado actuales que serían vulnerables a ataques cuánticos y sirven como base para la transición global hacia infraestructuras de seguridad resistentes a la computación cuántica.

Se espera que los contratos gubernamentales exijan cumplimiento de PQC a partir de 2026, y CISA ya ha emitido directrices federales identificando categorías de productos donde la criptografía post-cuántica está ampliamente disponible. Las organizaciones sujetas a marcos como FedRAMP, CMMC e ITAR deben anticipar requisitos explícitos de PQC a corto plazo. Más allá de los contratos gubernamentales, los marcos regulatorios existentes como HIPAA, PCI DSS y SOX, que exigen medidas de seguridad «razonables» o «adecuadas», probablemente serán reinterpretados para incluir protecciones post-cuánticas a medida que PQC sea comercialmente accesible, igual que evolucionó el cumplimiento PCI DSS cuando TLS 1.0 y 1.1 quedaron obsoletos.

Google ha migrado los intercambios de claves para todo el tráfico interno a ML-KEM y afirma que todos los servicios de Google y algunos servicios nativos de Google Cloud ya están protegidos por intercambio de claves resistente a la computación cuántica por defecto. La empresa asegura que está en camino de completar toda su migración a la criptografía post-cuántica siguiendo las directrices recomendadas por NIST. La migración completada de Google es significativa porque demuestra que la implementación de PQC a gran escala es técnicamente viable y elimina el argumento de que los estándares son demasiado nuevos o no probados para su adopción empresarial.

Las organizaciones deben comenzar realizando un inventario criptográfico para identificar cada algoritmo de cifrado en uso en aplicaciones, bases de datos, APIs, túneles VPN, sistemas de correo electrónico e infraestructura de almacenamiento. A partir de ahí, deben evaluar el soporte de PQC de sus proveedores cloud y de seguridad actuales, priorizar la migración de los datos más sensibles y de mayor vida útil (que tienen mayor riesgo SNDL) e involucrar a los equipos de cumplimiento y legales de inmediato, sin esperar mandatos regulatorios explícitos. Los analistas estiman una ventana de 12 a 24 meses para que las organizaciones inicien su transición, y con solo el 9% contando con una hoja de ruta post-cuántica, quienes se adelanten tendrán una ventaja regulatoria y competitiva significativa.

Las recomendaciones de políticas de Google parecen abordar un vacío notable en el borrador de la orden ejecutiva cuántica de la Casa Blanca, que se centra en actualizar la Estrategia Nacional Cuántica y desarrollar capacidades de computación cuántica, pero aparentemente omite disposiciones relacionadas con la criptografía post-cuántica. Walker expuso cinco recomendaciones para los responsables políticos, incluyendo impulsar la adopción de PQC en infraestructuras críticas como redes eléctricas y sistemas de salud, promover la modernización cloud-first para agilidad criptográfica, asegurar que los sistemas de IA se construyan con protecciones post-cuánticas y evitar la fragmentación global en la adopción de estándares PQC. Aunque Google no criticó explícitamente la orden ejecutiva, el momento y el contenido de sus recomendaciones sugieren claramente que la empresa considera que el enfoque político actual es incompleto.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks