{"version":"1.0","type":"agent_native_article","locale":"es","slug":"ciberseguridad-ia-computacion-cuantica-quien-paga-transicion-mqxdto04","title":"Ciberseguridad en la era de la IA y la computación cuántica: quién paga la transición","primary_category":"exponential","author":{"name":"Martín Soler","slug":"martin-soler"},"published_at":"2026-06-28T06:02:33.796Z","total_votes":86,"comment_count":0,"has_map":true,"urls":{"human":"https://sustainabl.net/es/articulo/ciberseguridad-ia-computacion-cuantica-quien-paga-transicion-mqxdto04","agent":"https://sustainabl.net/agent-native/es/articulo/ciberseguridad-ia-computacion-cuantica-quien-paga-transicion-mqxdto04"},"summary":{"one_line":"La convergencia entre IA y computación cuántica crea una asimetría estructural donde los atacantes reducen costos y los defensores acumulan deuda técnica que se vuelve exponencialmente más cara cuanto más tarde se aborda.","core_question":"¿Quién absorbe los costos de la transición hacia una ciberseguridad resistente a la IA y a la computación cuántica, y qué incentivos estructurales determinan cómo se distribuye esa carga?","main_thesis":"La transición hacia una postura de seguridad sostenible en un entorno de IA generalizada y presión cuántica creciente no puede delegarse completamente a proveedores externos: requiere capacidad organizacional interna, y el costo de postergarla no es lineal sino exponencial. Las organizaciones que actúan ahora compran tiempo y opcionalidad; las que difieren acumulan una deuda que pagarán bajo presión y sin margen de negociación."},"content_markdown":"## Ciberseguridad en la era de la IA y la computación cuántica: quién paga la transición\n\nHay un patrón que se repite cada vez que una tecnología cambia las reglas del juego a velocidad suficiente: los primeros en absorber el costo son quienes menos margen tienen para hacerlo. La convergencia entre inteligencia artificial y computación cuántica está siguiendo ese patrón con una precisión incómoda. Los atacantes se benefician de herramientas que reducen el tiempo y el costo de sus operaciones. Los defensores, en cambio, acumulan deudas técnicas y organizacionales que ahora tienen que pagar dos veces: una por los riesgos que la IA introduce hoy, y otra por la migración criptográfica que el mundo cuántico exigirá mañana.\n\nEl análisis de Michelle Drolet publicado en Forbes Technology Council no es una advertencia de laboratorio. Es un mapa de tensiones que ya están activas en los presupuestos, las juntas directivas y los equipos de seguridad de cualquier empresa con infraestructura digital relevante. Y el ángulo que más interesa no es tecnológico: es distributivo. Quién asume los costos, quién captura el valor de la transición y qué incentivos estructurales están empujando a cada actor en el sistema.\n\n## La IA comprime el tiempo disponible para quien defiende, no para quien ataca\n\nLa asimetría que la inteligencia artificial introduce en ciberseguridad no es nueva en términos conceptuales, pero sí en magnitud. Los atacantes usan IA para descubrir vulnerabilidades más rápido, generar variantes de malware a escala, personalizar mensajes de ingeniería social y automatizar el reconocimiento de objetivos. El costo marginal de lanzar un ataque sofisticado ha caído de manera sostenida. El costo de defenderse, en cambio, sigue siendo alto, intensivo en talento y difícil de automatizar sin introducir nuevos riesgos.\n\nLos datos del Foro Económico Mundial y Accenture documentan esa percepción: **el 94% de los líderes de seguridad** considera que la IA será el factor de cambio más significativo en ciberseguridad durante el próximo año, y el **87%** señala las vulnerabilidades asociadas a la IA como el riesgo de mayor crecimiento. Esas cifras no describen una preocupación futura. Describen la arquitectura de un problema que ya está dentro de las organizaciones.\n\nUno de los vectores menos discutidos en este análisis es el que Drolet llama \"shadow AI\": el uso no autorizado de herramientas de inteligencia artificial por parte de empleados que resumen reuniones, procesan datos sensibles o generan código a través de plataformas que la organización no controla, no audita y a veces ni siquiera conoce. El problema no es únicamente de seguridad perimetral. Es un problema de gobernanza interna donde el incentivo individual, la productividad inmediata del empleado, entra en colisión directa con el interés colectivo de la organización. Ese conflicto de incentivos no se resuelve con políticas, sino con diseño: controles de acceso, trazabilidad de datos, restricciones técnicas y supervisión humana sobre las acciones de mayor impacto.\n\nLa aparición de sistemas de IA agénticos, capaces de actuar de forma autónoma en nombre de un usuario a través de múltiples herramientas y flujos de trabajo, eleva ese problema a una categoría diferente. Cuando un agente de IA puede tomar decisiones, ejecutar transacciones o compartir información sin intervención humana en tiempo real, el perímetro de riesgo ya no tiene bordes claros. El error, el abuso de credenciales y la filtración de datos pueden ocurrir a una velocidad que ningún proceso de auditoría reactiva puede contener. El costo de ese riesgo no lo absorbe el proveedor de la herramienta. Lo absorbe la organización que la desplegó.\n\n## La amenaza cuántica no espera a que los equipos estén listos\n\nLa computación cuántica opera en un horizonte diferente al de la IA, pero su lógica de presión sobre los sistemas de seguridad es igualmente estructural. El mecanismo central se llama **\"harvest now, decrypt later\"**: adversarios capturan hoy datos cifrados y los almacenan hasta que los ordenadores cuánticos sean capaces de romper la criptografía de clave pública que los protege. El ataque no ocurre hoy. El daño, sin embargo, ya está siendo sembrado.\n\nEso convierte la migración hacia criptografía resistente a la computación cuántica en una decisión de planificación presente, no futura. El **Instituto Nacional de Estándares y Tecnología (NIST)** de Estados Unidos ya ha publicado los primeros estándares de criptografía poscuántica, sustituyendo esquemas vulnerables como RSA y la criptografía de curva elíptica. Pero la adopción de esos estándares no es una actualización de software. Es una intervención profunda en la arquitectura de sistemas que, en muchos casos, llevan décadas construidos sobre los algoritmos que ahora hay que reemplazar.\n\nLa escala del esfuerzo se refleja en las proyecciones de mercado: las inversiones en criptografía poscuántica pasarán de **$1,2 mil millones en 2026 a $13,3 mil millones en 2035**, según Juniper Research. Ese crecimiento no es el reflejo de una tendencia tecnológica positiva. Es la medida del déficit acumulado que las organizaciones tendrán que financiar, en certificados, claves, software, hardware, proveedores y procesos, para no quedar expuestas en un momento en que la ventana de reacción ya se habrá cerrado.\n\nLa distribución de ese costo es donde el análisis se vuelve más interesante. Las organizaciones grandes, con equipos especializados y presupuestos de seguridad relevantes, pueden iniciar programas de migración estructurados, designar responsables internos, inventariar dependencias criptográficas y negociar con proveedores desde una posición de fuerza. Las organizaciones medianas y pequeñas, que dependen de los mismos proveedores de plataformas y servicios en la nube, quedan a merced del ritmo al que esos proveedores implementen la transición. Si el proveedor prioritiza primero a sus clientes empresariales más grandes, el eslabón más débil de la cadena tarda más en quedar protegido, y el eslabón más débil es, con frecuencia, el que conecta al sistema completo con sus vulnerabilidades más explotables.\n\n## El valor de la preparación no está donde el mercado lo está midiendo\n\nHay un desajuste estructural en cómo el mercado está valorando la respuesta a estos riesgos. Los proveedores de plataformas de seguridad, desde fabricantes de infraestructura de red hasta proveedores de acceso seguro y arquitecturas de confianza cero, están integrando capacidades de detección basada en IA y cifrado cuántico resistente como características de sus productos. Eso tiene sentido competitivo: quien ofrece primero protección integrada captura contratos y construye dependencia técnica.\n\nPero el valor de esas capacidades depende de algo que ninguna plataforma puede vender directamente: la capacidad organizacional de la empresa que las adopta para operar con ellas de forma coherente. Una herramienta de detección de comportamientos anómalos basada en IA no reemplaza la necesidad de tener visibilidad sobre los activos, controles sobre los accesos y procesos de respuesta que funcionen cuando la alerta se activa. Un estándar de criptografía poscuántica no migra solo los sistemas heredados que llevan años sin actualizarse.\n\nEl artículo de Drolet describe un proceso de preparación que tiene siete pasos. Lo que no describe, aunque está implícito en cada uno de ellos, es cuánto de ese proceso requiere inversión sostenida en capacidades internas que el mercado de soluciones de seguridad no puede sustituir. La evaluación de riesgos tiene que hacerla alguien que conozca la arquitectura real de la organización. El inventario de dependencias criptográficas tiene que construirlo alguien con acceso a los sistemas. La gobernanza sobre los agentes de IA tiene que diseñarla alguien que entienda cómo trabajan los equipos. Ningún proveedor externo tiene esa información de partida.\n\nEl problema distributivo de fondo es este: la transición hacia una postura de seguridad que pueda sostenerse en un entorno de IA generalizada y presión cuántica creciente requiere que una parte significativa del valor se genere internamente, en forma de capacidades, procesos y gobernanza. Pero el mercado de ciberseguridad está estructurado para vender productos y servicios externos, no para construir capacidad interna. Eso no significa que los proveedores externos sean irrelevantes. Significa que la lógica de delegación total, el modelo en que una empresa subcontrata su seguridad y asume que el problema está resuelto, ya no tiene margen para funcionar cuando los riesgos se mueven más rápido que los contratos de servicio.\n\n## La migración que no se puede postergar sin que el costo se multiplique\n\nLa preparación ante estos riesgos tiene una característica financiera que las juntas directivas todavía no están internalizando con suficiente claridad: el costo de actuar tarde no es lineal. Cada mes que pasa sin iniciar el inventario criptográfico, sin establecer controles sobre la IA interna y sin designar un responsable del programa de migración cuántica, es un mes en que los sistemas heredados acumulan más deuda técnica, los proveedores avanzan sin coordinación con la organización y los atacantes capturan más datos con valor de largo plazo.\n\nLa migración hacia criptografía poscuántica es el caso más ilustrativo. Los sistemas que no pueden actualizarse rápidamente no son una minoría. En industrias como la financiera, la salud o la infraestructura crítica, hay componentes con ciclos de vida de décadas que fueron diseñados sobre supuestos criptográficos que la computación cuántica invalida. Reemplazarlos requiere tiempo, dinero y coordinación con cadenas de proveedores que también necesitan actualizar sus propios sistemas. Cuanto más tarde empiece ese proceso, más comprimido queda el tiempo disponible y más caro resulta completarlo antes de que el riesgo se materialice.\n\nEl patrón que señala Drolet, y que el análisis de incentivos confirma, es que las organizaciones que inicien ese proceso ahora están pagando un costo distribuido a lo largo del tiempo, manejable dentro de los presupuestos ordinarios de tecnología y seguridad. Las que lo postergan están acumulando una deuda que deberán pagar de golpe, bajo presión regulatoria, contractual o competitiva, en un momento en que tendrán menos capacidad de negociación y menos tiempo para hacerlo bien.\n\nLa ciberseguridad no cambió de fundamentos con la IA ni los cambiará con la computación cuántica. Lo que cambia es el costo de ignorar esos fundamentos, y ese costo ya no admite amortización gradual. Las organizaciones que tratan la preparación ante estos riesgos como una inversión presente están comprando tiempo y opcionalidad. Las que la tratan como un gasto diferible están acumulando una exposición cuyo precio lo fijará, eventualmente, alguien que no tiene incentivos para ser generoso.","article_map":{"title":"Ciberseguridad en la era de la IA y la computación cuántica: quién paga la transición","entities":[{"name":"Michelle Drolet","type":"person","role_in_article":"Autora del análisis original en Forbes Technology Council que sirve de base para el artículo; propone un proceso de preparación de siete pasos."},{"name":"NIST","type":"institution","role_in_article":"Publicó los primeros estándares de criptografía poscuántica que las organizaciones deben adoptar para reemplazar RSA y curva elíptica."},{"name":"Foro Económico Mundial","type":"institution","role_in_article":"Fuente de datos sobre percepción de líderes de seguridad respecto al impacto de la IA en ciberseguridad."},{"name":"Accenture","type":"company","role_in_article":"Co-fuente de datos sobre percepción de líderes de seguridad respecto al impacto de la IA."},{"name":"Juniper Research","type":"institution","role_in_article":"Fuente de proyecciones de mercado para inversiones en criptografía poscuántica 2026-2035."},{"name":"Criptografía poscuántica","type":"technology","role_in_article":"Estándar de seguridad que las organizaciones deben adoptar para resistir ataques de computación cuántica; eje de la migración estructural descrita."},{"name":"Shadow AI","type":"technology","role_in_article":"Uso no autorizado de herramientas de IA por empleados; identificado como vector de riesgo interno de gobernanza."},{"name":"Computación cuántica","type":"technology","role_in_article":"Tecnología emergente que invalida la criptografía de clave pública actual mediante el mecanismo harvest now, decrypt later."},{"name":"RSA","type":"technology","role_in_article":"Esquema criptográfico vulnerable a la computación cuántica que los estándares NIST buscan reemplazar."},{"name":"Agentes de IA","type":"technology","role_in_article":"Sistemas autónomos que actúan en múltiples flujos de trabajo sin intervención humana en tiempo real, ampliando el perímetro de riesgo."}],"tradeoffs":["Productividad individual inmediata del empleado (shadow AI) vs. seguridad colectiva de la organización.","Costo distribuido de actuar ahora en migración cuántica vs. costo concentrado y mayor de actuar tarde bajo presión.","Delegación total a proveedores externos (simplicidad operativa) vs. construcción de capacidad interna (resiliencia real).","Velocidad de adopción de herramientas de IA agénticas vs. control del perímetro de riesgo organizacional.","Inversión en productos de seguridad de mercado vs. inversión en procesos y gobernanza internos que ningún proveedor puede sustituir.","Organizaciones grandes con capacidad de migración autónoma vs. organizaciones medianas/pequeñas dependientes del ritmo de sus proveedores."],"key_claims":[{"claim":"El 94% de los líderes de seguridad considera que la IA será el factor de cambio más significativo en ciberseguridad durante el próximo año (Foro Económico Mundial y Accenture).","confidence":"high","support_type":"reported_fact"},{"claim":"El 87% de los líderes de seguridad señala las vulnerabilidades asociadas a la IA como el riesgo de mayor crecimiento.","confidence":"high","support_type":"reported_fact"},{"claim":"Las inversiones en criptografía poscuántica pasarán de $1,2 mil millones en 2026 a $13,3 mil millones en 2035 (Juniper Research).","confidence":"high","support_type":"reported_fact"},{"claim":"El NIST ya ha publicado los primeros estándares de criptografía poscuántica, sustituyendo RSA y criptografía de curva elíptica.","confidence":"high","support_type":"reported_fact"},{"claim":"El shadow AI representa un vector de riesgo interno significativo que no se resuelve con políticas sino con diseño técnico.","confidence":"medium","support_type":"inference"},{"claim":"El costo de la transición cibernética es distributivamente regresivo: lo absorben primero quienes menos margen tienen.","confidence":"medium","support_type":"editorial_judgment"},{"claim":"El modelo de delegación total de seguridad a proveedores externos ya no tiene margen para funcionar en el entorno actual.","confidence":"medium","support_type":"editorial_judgment"},{"claim":"Las juntas directivas no están internalizando con suficiente claridad que el costo de actuar tarde no es lineal.","confidence":"interpretive","support_type":"editorial_judgment"}],"main_thesis":"La transición hacia una postura de seguridad sostenible en un entorno de IA generalizada y presión cuántica creciente no puede delegarse completamente a proveedores externos: requiere capacidad organizacional interna, y el costo de postergarla no es lineal sino exponencial. Las organizaciones que actúan ahora compran tiempo y opcionalidad; las que difieren acumulan una deuda que pagarán bajo presión y sin margen de negociación.","core_question":"¿Quién absorbe los costos de la transición hacia una ciberseguridad resistente a la IA y a la computación cuántica, y qué incentivos estructurales determinan cómo se distribuye esa carga?","core_tensions":["Velocidad de evolución de amenazas vs. ciclos de planificación y presupuesto de las organizaciones.","Mercado estructurado para vender productos externos vs. necesidad de construir capacidad interna no vendible.","Urgencia de migración cuántica vs. ciclos de vida de décadas de sistemas heredados en sectores críticos.","Autonomía de agentes de IA para generar valor vs. pérdida de control sobre el perímetro de riesgo.","Incentivos de proveedores a priorizar clientes enterprise vs. necesidad de proteger el eslabón más débil del ecosistema."],"open_questions":["¿Qué mecanismos regulatorios o contractuales pueden alinear los incentivos de proveedores para proteger también a organizaciones medianas y pequeñas?","¿Cómo se establece responsabilidad legal cuando un agente de IA autónomo causa una filtración de datos?","¿En qué punto el costo acumulado de la deuda técnica criptográfica supera la capacidad de pago de una organización mediana?","¿Puede el mercado de seguros cibernéticos crear incentivos suficientes para acelerar la migración poscuántica antes de que el riesgo se materialice?","¿Qué sectores con infraestructura crítica y ciclos de vida de décadas tienen menor capacidad de completar la migración antes de que la computación cuántica sea operativa?","¿Cómo se audita y gobierna el shadow AI en organizaciones con culturas de alta autonomía individual?"],"training_value":{"recommended_for":["CISOs y directores de tecnología que deben justificar inversión en seguridad ante juntas directivas.","Equipos de estrategia evaluando exposición a riesgos tecnológicos emergentes con horizonte de 5-10 años.","Agentes de negocio entrenados en análisis de riesgo, deuda técnica y distribución de costos en transiciones tecnológicas.","Responsables de gobernanza de IA en organizaciones con alta adopción de herramientas de productividad.","Consultores de transformación digital que asesoran a organizaciones medianas sobre dependencia de proveedores cloud."],"when_this_article_is_useful":["Al evaluar si iniciar un programa de migración criptográfica o diferirlo al siguiente ciclo presupuestario.","Al diseñar políticas de gobernanza sobre herramientas de IA internas y shadow AI.","Al presentar a una junta directiva el caso de inversión en ciberseguridad con horizonte cuántico.","Al analizar la distribución de riesgos en cadenas de proveedores con eslabones de diferente tamaño.","Al evaluar si el modelo de subcontratación total de seguridad es suficiente para el entorno de riesgo actual.","Al diseñar marcos de supervisión humana sobre sistemas de IA agénticos."],"what_a_business_agent_can_learn":["Cómo identificar asimetrías de costo entre atacantes y defensores en mercados tecnológicos disruptivos.","El patrón de deuda técnica no lineal: cómo calcular el costo diferencial de actuar ahora vs. actuar tarde bajo presión.","Cómo distinguir entre riesgos que requieren productos externos y riesgos que requieren capacidad organizacional interna.","El mecanismo harvest now, decrypt later como modelo de amenaza con daño diferido pero acumulación presente.","Cómo los conflictos de incentivos internos (productividad individual vs. seguridad colectiva) generan vectores de riesgo que las políticas no resuelven.","La distribución regresiva de costos tecnológicos: por qué los actores con menos margen absorben primero los costos de transición.","Cómo evaluar si un modelo de delegación total a proveedores externos sigue siendo viable dado el ritmo de evolución del riesgo."]},"argument_outline":[{"label":"1. Asimetría ofensiva","point":"La IA reduce el costo marginal de atacar (malware a escala, ingeniería social personalizada, reconocimiento automatizado) pero no reduce el costo de defender, que sigue siendo intensivo en talento.","why_it_matters":"El diferencial de costos entre atacante y defensor se amplía con cada mejora en herramientas de IA ofensiva, erosionando la ventaja relativa de los presupuestos de seguridad existentes."},{"label":"2. Shadow AI como vector interno","point":"Empleados usan herramientas de IA no autorizadas para procesar datos sensibles, generando un riesgo de gobernanza interna que no se resuelve con políticas sino con diseño técnico.","why_it_matters":"El conflicto entre productividad individual y seguridad colectiva es un problema de incentivos, no de concienciación, y requiere controles de acceso, trazabilidad y restricciones técnicas."},{"label":"3. Agentes de IA y pérdida de perímetro","point":"Los sistemas agénticos que actúan autónomamente en múltiples flujos de trabajo eliminan los bordes claros del perímetro de riesgo y superan la capacidad de auditoría reactiva.","why_it_matters":"El costo de errores, abusos de credenciales o filtraciones a velocidad agéntica lo absorbe la organización que desplegó la herramienta, no el proveedor."},{"label":"4. Harvest now, decrypt later","point":"Adversarios capturan hoy datos cifrados para descifrarlos cuando la computación cuántica rompa RSA y criptografía de curva elíptica. El daño se siembra ahora aunque el ataque ocurra después.","why_it_matters":"La migración a criptografía poscuántica es una decisión de planificación presente, no futura. Cada mes de retraso aumenta el volumen de datos ya comprometidos."},{"label":"5. Distribución desigual del costo cuántico","point":"Las organizaciones grandes pueden estructurar programas de migración propios; las medianas y pequeñas dependen del ritmo de sus proveedores de plataforma, que priorizan a clientes enterprise.","why_it_matters":"El eslabón más débil de la cadena tarda más en quedar protegido y es frecuentemente el más explotable, creando vulnerabilidades sistémicas en ecosistemas enteros."},{"label":"6. Desajuste entre mercado y valor real","point":"El mercado vende productos y servicios de seguridad, pero el valor crítico de la transición se genera internamente: evaluación de riesgos, inventario criptográfico, gobernanza de agentes.","why_it_matters":"El modelo de delegación total a proveedores externos ya no funciona cuando los riesgos se mueven más rápido que los contratos de servicio."}],"one_line_summary":"La convergencia entre IA y computación cuántica crea una asimetría estructural donde los atacantes reducen costos y los defensores acumulan deuda técnica que se vuelve exponencialmente más cara cuanto más tarde se aborda.","related_articles":[{"reason":"Aborda directamente el problema de visibilidad organizacional sobre IA desplegada internamente, complementando el análisis de shadow AI y gobernanza de IA del artículo principal.","article_id":14360},{"reason":"Documenta la brecha entre adopción de IA y preparación real de datos/infraestructura, paralela a la brecha entre adopción de herramientas de seguridad y capacidad organizacional para operarlas.","article_id":14240},{"reason":"Analiza patrones de confianza y revisión en sistemas de IA empresarial, relevante para entender los límites de la automatización en contextos de seguridad crítica.","article_id":14120}],"business_patterns":["Deuda técnica acumulada: postergar actualizaciones de seguridad crea costos no lineales que se pagan bajo presión.","Asimetría ofensiva-defensiva: tecnologías disruptivas benefician primero a atacantes porque reducen su costo marginal.","Distribución regresiva de costos tecnológicos: quienes menos margen tienen absorben primero los costos de transición.","Conflicto de incentivos interno: el interés individual del empleado (productividad) choca con el interés colectivo (seguridad).","Desajuste mercado-valor: el mercado vende lo que puede empaquetar (productos), no lo que más importa (capacidad organizacional).","Harvest now, pay later: el daño de no actuar se acumula silenciosamente antes de que el riesgo se materialice.","Dependencia de proveedor como riesgo sistémico: organizaciones pequeñas quedan expuestas al ritmo de actualización de sus proveedores enterprise."],"business_decisions":["Iniciar o no el inventario de dependencias criptográficas antes de que los estándares poscuánticos sean obligatorios.","Establecer controles técnicos sobre el uso de herramientas de IA no autorizadas por empleados (shadow AI).","Designar un responsable interno del programa de migración cuántica en lugar de delegarlo completamente a proveedores.","Decidir el ritmo de adopción de arquitecturas de confianza cero y detección basada en IA.","Evaluar si el modelo de subcontratación total de seguridad sigue siendo viable dado el ritmo de evolución de los riesgos.","Priorizar inversión en capacidad organizacional interna versus compra de productos de seguridad externos.","Establecer supervisión humana sobre acciones de alto impacto ejecutadas por agentes de IA."]}}