Arturo TrenardFrancia dejará de certificar productos sin cifrado post-cuántico en 2027: ANSSI endurece requisitos de seguridad criptográfica
París, Francia – La Agencia Nacional de Seguridad de Sistemas de Información de Francia (ANSSI) dejará de certificar productos de seguridad que carezcan de cifrado resistente a la computación cuántica a partir de 2027, según anunció la entidad durante la Cumbre France Quantum 2026. La medida obligará a las empresas proveedoras a implementar criptografía post-cuántica (PQC) para mantener el acceso a contratos gubernamentales y la certificación necesaria para su uso en infraestructuras críticas francesas.
Samih Souissi, jefe de gabinete de ANSSI, declaró en el evento que la certificación de productos sin protección cuántica cesará en 2027, mientras que las empresas del sector deberán adquirir exclusivamente productos cuántico-seguros para 2030. «No es solo un problema técnico», afirmó Souissi. «Es una cuestión de gobernanza, planificación industrial, regulación y soberanía».
Marin Ivezic, fundador de Applied Quantum, señaló que «ANSSI ha estado telegrafiando este movimiento durante años. Lo que cambió ayer es que el jefe de gabinete de ANSSI lo dijo públicamente en una conferencia importante, frente al ecosistema cuántico francés, con Reuters en la sala. La guía se convirtió en un compromiso».
Alineamiento con estándares internacionales
La decisión de Francia se produce en paralelo a los requisitos establecidos por la Agencia de Seguridad Nacional de Estados Unidos (NSA), que exige la implementación del estándar CNSA 2.0 para todos los sistemas de seguridad nacional a partir de 2027. Según la normativa estadounidense, las nuevas adquisiciones deben soportar algoritmos aprobados desde el 1 de enero de 2027, los sistemas no conformes deben eliminarse gradualmente para finales de 2030, y todos los sistemas de seguridad nacional deben usar CNSA 2.0 para finales de 2031.
«Dos de las autoridades de certificación criptográfica más exigentes del mundo, que sirven a dos de los mercados de tecnología gubernamental y defensa más grandes del mundo, han convergido independientemente en el mismo año para hacer de PQC un requisito de aprobación/rechazo», explicó Ivezic.
Esta convergencia regulatoria refleja una creciente preocupación gubernamental por la amenaza que representa la computación cuántica para los sistemas criptográficos actuales. La computación cuántica, que avanza rápidamente en su desarrollo teórico y práctico, podría romper los algoritmos de cifrado que actualmente protegen desde comunicaciones gubernamentales hasta transacciones financieras.
Impacto en la industria de criptomonedas
El endurecimiento de los requisitos de seguridad criptográfica también tiene implicaciones significativas para el sector de las criptomonedas. La firma de análisis Glassnode estimó en mayo que aproximadamente el 10% del suministro total de Bitcoin, equivalente a unos 1,92 millones de BTC, es «estructuralmente inseguro» ante un posible avance cuántico.
Coinbase, por su parte, advirtió que las blockchains proof-of-stake como Ethereum y Solana podrían estar en mayor riesgo, ya que los esquemas de firma que utilizan los validadores representan un punto vulnerable. Algunas redes ya están tomando medidas preventivas: Algorand se convirtió en la primera blockchain en implementar criptografía diseñada específicamente para ser segura contra computación cuántica, y la red describe su enfoque como una «hoja de ruta escalonada hacia preparación cuántica completa». Aptos también se considera «bien posicionada para la transición a transacciones post-cuánticas seguras», mientras que Solana y Ethereum tienen hojas de ruta claras para abordar estas amenazas, incluyendo la actualización de sus sistemas de firmas.
Perspectivas futuras
Los plazos establecidos por ambas agencias gubernamentales configuran un cronograma claro para la transición hacia la criptografía post-cuántica. En Francia, la certificación de productos sin PQC finalizará en 2027, y para 2030 las empresas solo podrán adquirir productos cuántico-seguros. En Estados Unidos, los nuevos sistemas de seguridad nacional deberán soportar CNSA 2.0 desde el 1 de enero de 2027, los sistemas no conformes deberán eliminarse para finales de 2030, y todos los sistemas deberán cumplir con CNSA 2.0 para finales de 2031.
Investigadores del sector han señalado que las computadoras cuánticas podrían, en teoría, estar listas para 2030, lo que añade urgencia a estos plazos regulatorios. La convergencia de las fechas límite entre Francia y Estados Unidos refleja una percepción compartida de que la amenaza cuántica no es un problema del futuro lejano, sino un desafío inminente que requiere acción inmediata por parte de gobiernos, proveedores de tecnología y la industria en su conjunto.