Qué exige realmente la orden

El 22 de junio de 2026, una orden ejecutiva de EE. UU. fijó calendarios firmes para trasladar la criptografía federal a estándares poscuánticos. Los sistemas federales sensibles, descritos en la orden como activos de alto valor y sistemas de alto impacto, deben migrar al establecimiento de claves poscuántico antes del 31 de diciembre de 2030, con las firmas digitales, el mecanismo que sustenta la autenticación, a finales de 2031. La orden lo plantea como protección frente a un futuro en el que los ordenadores cuánticos a gran escala puedan romper el cifrado de uso generalizado hoy.

La parte que trasciende al gobierno es la contratación pública. La orden encarga al consejo responsable publicar una norma propuesta que exija a los contratistas federales cubiertos cumplir los estándares NIST FIPS pertinentes, incluidos los que incorporan algoritmos poscuánticos, antes del 31 de diciembre de 2030. Esa norma para contratistas sigue en fase de propuesta, por lo que su alcance preciso puede variar antes de ser definitiva. La dirección, sin embargo, es clara: la preparación poscuántica está pasando de ser un tema especializado a una condición para hacer negocios con el gobierno federal de EE. UU.

Por qué un mandato de EE. UU. alcanza a un propietario alemán

Una empresa alemana no está vinculada de forma directa por una orden ejecutiva de EE. UU. El mecanismo que importa es la cadena de suministro. Cuando un requisito se incorpora a los contratos federales estadounidenses, tiende a transmitirse a través de los contratistas principales hacia sus subcontratistas y proveedores, estén donde estén. Un proveedor del Mittelstand, un prestador de servicios o un vehículo de family office que toque un contrato federal de EE. UU. puede encontrarse con que una cláusula poscuántica llega de un cliente en lugar de un regulador, en el calendario del cliente y no en uno que usted haya elegido.

La advertencia de recolectar ahora y descifrar después es la razón por la que esto no puede esperar sin más hasta 2030. La orden afirma con claridad que los adversarios pueden recopilar información cifrada ahora y descifrarla más adelante, una vez que los ordenadores cuánticos sean capaces. Eso convierte los datos protegidos de hoy en datos ya en riesgo si deben permanecer confidenciales durante años. Los contratos, los registros financieros, los datos sanitarios y personales, y todo aquello con una vida de secreto larga son las categorías expuestas, porque todavía deben resistir cuando el cifrado que los rodea quizá ya no lo haga.

Qué conviene hacer ahora y en qué esperar

La respuesta ponderada no es precipitarse a comprar nueva criptografía. Dado que la norma para contratistas sigue siendo una propuesta y los estándares aún se están consolidando, la migración técnica puede seguir el calendario que fija la orden. Lo que no debe esperar es el trabajo de inventario del que depende cada paso posterior. Eso significa saber cuáles de sus flujos de datos son genuinamente sensibles, cuánto tiempo debe permanecer confidencial cada uno y qué relaciones con clientes podrían transmitirle un requisito poscuántico. Nada de eso exige aún decisiones técnicas profundas.

Esta es una cuestión de gobernanza antes que un proyecto de TI, y es una que un propietario está en buena posición para plantear. Tratar 2030 como el plazo minimiza el asunto, porque los datos que usted envía hoy son precisamente los que interesan ahora a un adversario que descifra después. Un mapa corto y honesto de los datos sensibles de larga vida y los contratos expuestos convierte un mandato extranjero lejano en un conjunto de decisiones que puede tomar de forma deliberada, en el orden que convenga a su negocio y no al ciclo contractual de un cliente. Esto es un reporte sobre lo que dice la orden y lo que implica, no asesoramiento legal sobre sus obligaciones concretas.