Durante años, la criptografía poscuántica fue tratada como un tema para investigadores y proyecciones de largo plazo. El debate siempre giró en torno a la misma pregunta: ¿cuándo será capaz una computadora cuántica de romper algoritmos como RSA y ECC?
El nuevo Executive Order 14412, publicado por la Casa Blanca en junio de 2026, cambia esa conversación. Un Executive Order es una directiva presidencial con fuerza obligatoria para las agencias del gobierno federal estadounidense. Y este, en particular, muestra que para Estados Unidos esperar la respuesta dejó de ser una opción.
Cuando un gobierno establece plazos legales para migrar sus sistemas más críticos a criptografía poscuántica, no está intentando predecir el futuro. Está gestionando un riesgo que considera lo suficientemente grande como para justificar una acción inmediata.
El decreto aplica directamente a las agencias federales, pero su significado es más amplio: un riesgo ya conocido ahora orienta acciones concretas, con responsables, etapas y plazos definidos.
Para las organizaciones que almacenan información con valor a largo plazo, esperar a que las computadoras cuánticas dejen de ser una hipótesis para entonces iniciar la migración puede significar llegar demasiado tarde.
Qué establece el Executive Order
El decreto establece un plan de transición progresivo para los sistemas clasificados como High Value Assets (HVAs) y otros entornos de alto impacto del gobierno estadounidense.
| Fecha | Medida |
|---|---|
| Julio de 2026 | Cada agencia federal debe designar a un responsable para liderar la migración a la criptografía poscuántica (PQC). |
| Septiembre de 2026 | Las agencias deben completar el inventario de los sistemas críticos y elaborar un plan formal de transición hacia la PQC. |
| Diciembre de 2027 | El NIST debe completar su proyecto piloto para migrar parte de sus sistemas a la criptografía poscuántica. |
| Diciembre de 2030 | Todos los sistemas clasificados como High Value Assets (HVAs) y otros sistemas de alto impacto deben utilizar algoritmos poscuánticos para el establecimiento de claves (Key Establishment). Los contratistas del gobierno también deberán cumplir con los estándares de PQC del NIST. |
| Diciembre de 2031 | Los mismos sistemas deberán migrar a firmas digitales poscuánticas, completando el proceso de transición. |
Los gobiernos suelen evitar fijar plazos para tecnologías inmaduras. Al establecer fechas obligatorias, la administración estadounidense demuestra que considera la preparación más urgente que esperar certezas sobre el Q-Day.
El debate pasó de “cuándo llegará la computadora cuántica” a “cuánto tiempo le tomará a tu organización migrar.”
Por qué importan las fechas
Los dos hitos principales están separados por apenas un año: 2030 para Key Establishment, 2031 para Digital Signatures.
Esa proximidad no es casualidad. El gobierno estadounidense no está proyectando una adopción gradual a lo largo de la próxima década. Está diciendo que la preparación debe comenzar ahora para que la transición termine antes de que el riesgo se materialice.
Aunque una Computadora Cuántica Criptográficamente Relevante (CRQC) tarde más de lo previsto, las organizaciones necesitan años para completar una migración criptográfica. Inventarios, actualización de bibliotecas, sustitución de HSMs, compatibilidad entre aplicaciones, recertificación y pruebas consumen varios ciclos de desarrollo. Ese es el tiempo que el decreto busca anticipar.
El riesgo existe antes del Q-Day
Los ataques conocidos como Harvest Now, Decrypt Later (HNDL) siguen una lógica directa: interceptar hoy comunicaciones protegidas con criptografía clásica y almacenarlas para descifrarlas cuando las computadoras cuánticas estén disponibles.
La información transmitida hoy puede quedar expuesta dentro de diez años. Esto incluye activos cuyo valor se mantiene relevante por muchos años:
- Datos financieros
- Registros médicos
- Propiedad intelectual
- Comunicaciones entre sistemas internos
- Modelos de inteligencia artificial
Hay un punto importante: la protección contra HNDL solo aplica a los datos protegidos a partir de su implementación. La información que ya circuló usando solo criptografía clásica puede haber sido interceptada y almacenada por adversarios para un futuro intento de descifrado.
La migración no protege el pasado. Protege los datos generados a partir del momento en que se usa criptografía poscuántica. Por eso, cada período adicional sin protección PQC amplía la ventana de exposición para información que aún necesitará mantenerse confidencial en el futuro.
El riesgo depende menos de la fecha del Q-Day y más de la vida útil de la información. Si un dato necesita permanecer confidencial por diez o quince años, la protección debe comenzar ahora.
Por qué hay dos plazos distintos
El decreto divide la migración en dos etapas porque resuelven desafíos diferentes.
El plazo de 2030 cubre el Key Establishment: el mecanismo usado durante el handshake del TLS para negociar las claves que protegerán una sesión. Los algoritmos ya estandarizados por el NIST, como ML-KEM (FIPS 203), permiten proteger esta etapa con enfoques híbridos compatibles con infraestructuras modernas.
El plazo de 2031 cubre las firmas digitales: certificados, autenticación de servidores, firma de código, PKIs corporativas. Esta transición requiere coordinación entre navegadores, sistemas operativos, autoridades certificadoras, fabricantes de hardware y proveedores de software. De ahí el año extra.
En la práctica, las dos migraciones deben comenzar en paralelo. Esperar a terminar una para iniciar la otra hace inviable el cronograma.
El impacto va mucho más allá del gobierno estadounidense
El Executive Order tiene efecto directo sobre las agencias federales, pero sus consecuencias llegan a empresas de todo el mundo por dos caminos.
El primero es contractual: las empresas que proveen productos o servicios al gobierno de EE. UU. deberán cumplir con los nuevos requisitos del NIST antes de 2030, incluyendo organizaciones internacionales en esa cadena de suministro.
El segundo es de mercado. No es la primera vez que el gobierno estadounidense actúa como catalizador de un estándar global de seguridad. Pasó con IPv6, con DNSSEC y con los requisitos de TLS para sistemas federales — todos se convirtieron en el estándar de la industria años después.
La lógica es simple: cuando los mayores compradores de tecnología del mundo exigen un requisito, los proveedores lo implementan. Y cuando los proveedores lo implementan, el requisito llega a todos los clientes, sin importar el país o la regulación local. El soporte para criptografía poscuántica tiende a dejar de ser un diferencial para convertirse en estándar mínimo.
Esto ya afecta las decisiones de compra. Cada renovación tecnológica exige preguntas concretas:
- ¿El proveedor tiene un roadmap para PQC?
- ¿Cuándo estará disponible?
- ¿La migración requiere cambiar de plataforma?
- ¿Hay soporte para crypto agility?
Estas respuestas influyen en decisiones arquitectónicas mucho antes de que lleguen los plazos regulatorios.
¿Y las empresas fuera de EE. UU.?
El Executive Order no crea obligaciones para empresas fuera de Estados Unidos. Pero las organizaciones en sectores regulados tienen sus propias razones para prestar atención — y el sector financiero es el ejemplo más claro.
En toda Latinoamérica, los marcos regulatorios financieros exigen autenticación mutua TLS, certificados digitales y suites de cifrado basadas en RSA y curvas elípticas. México avanza en la implementación de Open Finance. Colombia, Chile y Brasil ya operan ecosistemas de banca abierta con requisitos técnicos similares. Estos marcos están bien diseñados para el entorno actual. No protegen contra HNDL.
Una institución que cumple rigurosamente con toda la regulación vigente — mTLS, certificados RSA-2048, suites de cifrado clásicas — sigue expuesta a ataques HNDL. Los canales que cumplen con las normas actuales seguirán siendo vulnerables al descifrado retroactivo cuando existan computadoras cuánticas. La protección regulatoria y la protección cuántica son dos problemas distintos, y solo uno de ellos está cubierto por las normas actuales.
Esto importa porque los datos financieros, registros de transacciones y datos de consentimiento no son efímeros. Tienen relevancia estratégica que se extiende por años — a veces décadas. Son exactamente el tipo de activo que los adversarios recopilan hoy para descifrar después.
El camino a seguir no exige romper con el cumplimiento normativo existente. Las arquitecturas híbridas agregan algoritmos poscuántica como ML-KEM-768 al handshake mTLS existente, manteniendo la autenticación clásica exigida por la regulación vigente. El cumplimiento normativo se mantiene intacto. La exposición al riesgo cuántico retroactivo, no.
Qué deberían hacer las organizaciones ahora
El Executive Order ofrece una hoja de ruta aplicable a cualquier organización, no solo a agencias federales.
El primer paso es definir quién liderará esta transición internamente. Después, mapea qué sistemas almacenan datos cuyo valor seguirá siendo relevante por muchos años — esos son los más expuestos al riesgo HNDL.
Antes de fijar un cronograma, construye un inventario de las conexiones de la organización. No basta saber qué sistemas usan TLS. Hay que entender cuáles ya pueden negociar algoritmos poscuántica y cuáles aún dependen de la evolución del ecosistema — navegadores, API, librerías, proxies, balanceadores de carga.
El cuello de botella rara vez está en la infraestructura de edge. En muchos casos, ya soporta ML-KEM. Lo que determina si una conexión va a negociar criptografía poscuántica es el soporte de toda la cadena TLS involucrada.
Ahí es donde entra la observabilidad. Funcionalidades como Real-Time Events y Data Stream de Azion muestran qué versiones de TLS y qué algoritmos de intercambio de claves se están negociando en cada conexión. Eso permite priorizar dónde la migración ya puede ocurrir y dónde todavía hay dependencias técnicas por resolver.
Una migración completa toma años. Empezar ahora significa poder probar, validar compatibilidad y actualizar sistemas de forma progresiva. Esperar certeza absoluta sobre el Q-Day consume el único recurso que no se puede recuperar: tiempo.
La criptografía ya entró en la planificación estratégica
El punto más relevante del Executive Order no es ningún algoritmo específico. Tampoco es la elección entre ML-KEM o ML-DSA.
Es que uno de los gobiernos más grandes del mundo decidió que el riesgo ya es lo suficientemente grande como para convertirse en política pública con cronograma, presupuesto y obligaciones formales.
Cuando eso ocurre, la pregunta cambia. Ya no es “¿necesitamos pensar en criptografía poscuántica?” Es “¿cuánto tiempo necesitará nuestra organización para completar esta migración?” Para la mayoría de las empresas, la respuesta se mide en años. Y 2030 ya está en el horizonte de planificación.
Cómo se prepara Azion para este escenario
Azion ya opera con PQC en producción. El algoritmo híbrido X25519MLKEM768 — que combina la seguridad clásica del X25519 con la resistencia cuántica del ML-KEM, en conformidad con el FIPS 203 del NIST — está activo por defecto en la plataforma.
Para que una conexión negocie criptografía poscuántica, el cliente TLS también debe soportar el algoritmo. Esto incluye navegadores, aplicaciones, SDKs, API y otros consumidores que establecen conexiones TLS 1.3 con soporte a ML-KEM. Siempre que sea posible, estas conexiones deben negociarse usando los algoritmos poscuántica disponibles.
El modelo híbrido es el enfoque correcto para este momento. Protege contra ataques cuánticos futuros sin sacrificar la compatibilidad con sistemas que aún no han migrado. Para el tráfico que pasa por Azion, la protección contra HNDL ya está activa — sin configuración extra, sin cambio de plataforma.
Para verificar si tus dominios ya negocian conexiones con criptografía poscuántica, abre el dominio en Chrome 131+, ve a DevTools → Security y consulta el campo Key Exchange. En entornos protegidos por Azion, la presencia del grupo híbrido X25519MLKEM768 indica que la protección PQC está activa.
Si tu organización está iniciando esta evaluación, consulta la documentación de configuración PQCo habla con un especialista de Azion.











