Un total de 100 millones de empresas habrán incorporado sistemas de criptografía poscuántica para 2035, según las previsiones que la consultora Juniper Research hace públicas este lunes. La cifra dibuja un mercado que se multiplicará por diez en menos de una década y que ya mueve fichas en los consejos de administración de las grandes cotizadas.
Claves de la operación
- 100 millones de organizaciones rompen la barrera de la criptografía clásica. La previsión de Juniper Research anticipa una transición masiva desde los actuales sistemas RSA y de curva elíptica a algoritmos resistentes a los ataques de un ordenador cuántico. La facturación global del segmento rozará los 4.500 millones de dólares en 2030.
- La regulación se convierte en el acelerador definitivo. Tras la selección de los primeros estándares por el NIST, la Comisión Europea ultima su propio esquema. Las entidades financieras y los operadores de infraestructuras críticas serán los primeros en recibir plazos vinculantes.
- La migración es una cuestión de coste y de tiempo. Renovar la raíz criptográfica de miles de aplicaciones y dispositivos exigirá inversiones multimillonarias. El riesgo de no hacerlo, sin embargo, es quedar expuesto a la estrategia de ‘cosechar ahora, descifrar después’ que ya aplican actores estatales.
Un relevo silencioso que mueve miles de millones
El informe de Juniper Research aterriza unas cifras que durante años habían sido solo hipótesis académicas. El parque de empresas que utilizará criptografía poscuántica alcanzará los 100 millones a cierre de 2035, una explosión que la consultora vincula a la maduración de los chips cuánticos y, sobre todo, a la constatación de que los criptosistemas actuales quedarán obsoletos mucho antes de lo que se creía. La industria de la ciberseguridad cuántica, que hoy apenas factura, se encamina a convertirse en un pilar de la transformación digital de los grandes corporates.
El despliegue exigirá reescribir pilas completas de software, actualizar módulos hardware de seguridad y, en no pocos casos, cambiar la arquitectura de confianza de las redes empresariales. AWS, Google y Microsoft aceleran el desarrollo de módulos híbridos que combinan criptografía clásica y poscuántica, mientras los fabricantes de sistemas embebidos negocian contratos de integración multianuales. Los grandes actores del cloud están siendo, de hecho, los primeros prescriptores de la migración, adelantándose a una regulación que aún no tiene fecha de entrada en vigor.
El ritmo del proceso, no obstante, está lejos de ser homogéneo. Juniper Research advierte de que la masa crítica de adopción se concentrará a partir de 2030. Hasta entonces, el mercado será un goteo impulsado por los sectores financiero, energético y de telecomunicaciones. El tejido de pymes, en cambio, solo se moverá cuando los grandes integradores o las exigencias contractuales le obliguen a ello.
Europa y el sprint regulatorio que acelera la transición
El factor que marcará la velocidad de la adopción no es solo tecnológico. Bruselas ha convertido la criptografía poscuántica en un pilar del Reglamento de Ciberresiliencia y de la futura directiva de infraestructuras críticas. La Agencia de Ciberseguridad de la UE (ENISA) ya trabaja en guías que los estados miembro deberán trasponer antes de que termine la década. España ha sido uno de los países más activos: el Centro Criptológico Nacional lleva dos años impulsando laboratorios de evaluación con empresas como Indra y GMV.
La pregunta que sobrevuela ahora los despachos de Bruselas es si los plazos son realistas. La migración completa de una entidad financiera mediana puede durar entre cuatro y seis años, según estiman ingenieros de ciberseguridad consultados. Si el regulador fija como meta 2030 para los primeros sectores, las licitaciones deberían estar en marcha en el próximo ejercicio. Algo a lo que no todos los países están preparados.
La transición hacia la criptografía poscuántica no es un capricho técnico: es una carrera contra un agujero de seguridad en el que ya se acumulan datos que serán descifrables en menos de diez años.
Indra y la posición española ante el estándar cuántico
El caso español ilustra bien las tensiones que Juniper Research describe. Desde que el NIST publicó sus primeros algoritmos poscuánticos en 2024, la industria nacional de ciberseguridad ha buscado acomodo en un ecosistema que, hasta hace poco, estaba dominado por los grandes integradores europeos como Thales o Atos. Indra, presente en el IBEX 35, ha incluido la criptografía poscuántica en su división de cyber, pero el contrato más visible hasta ahora —un piloto para la red SARA de la Administración General del Estado— apenas moviliza cinco millones de euros. La mayoría de los expertos coincide en que la pyme española no está preparada para abordar la transformación sola.
El contraste con otros mercados es evidente. Mientras Estados Unidos ya ha pilotado redes bancarias enteras con éxito, en Europa la fragmentación regulatoria ralentiza las inversiones. Bruselas quiere que todos los Estados miembros tengan un plan nacional de migración en 2027, pero hoy solo Alemania, Francia y Países Bajos han publicado hojas de ruta vinculantes. España, que coordina sus esfuerzos a través del CNI, espera tener listo un documento preliminar a finales de este año. El ritmo, en todo caso, es más lento de lo que el mercado descuenta.
La lectura de esta redacción es que la cifra de 100 millones de empresas en 2035 es alcanzable solo si la regulación se endurece antes de 2030. De lo contrario, el número de organizaciones protegidas será sensiblemente inferior y el mercado se concentrará en manos de los gigantes tecnológicos que ya están construyendo las pasarelas poscuánticas. El tiempo dirá si la presión de los estados logra imponerse a la inercia del tejido empresarial.
