Ciberseguridad en la era de la IA y la computación cuántica: quién paga la transición
Hay un patrón que se repite cada vez que una tecnología cambia las reglas del juego a velocidad suficiente: los primeros en absorber el costo son quienes menos margen tienen para hacerlo. La convergencia entre inteligencia artificial y computación cuántica está siguiendo ese patrón con una precisión incómoda. Los atacantes se benefician de herramientas que reducen el tiempo y el costo de sus operaciones. Los defensores, en cambio, acumulan deudas técnicas y organizacionales que ahora tienen que pagar dos veces: una por los riesgos que la IA introduce hoy, y otra por la migración criptográfica que el mundo cuántico exigirá mañana.
El análisis de Michelle Drolet publicado en Forbes Technology Council no es una advertencia de laboratorio. Es un mapa de tensiones que ya están activas en los presupuestos, las juntas directivas y los equipos de seguridad de cualquier empresa con infraestructura digital relevante. Y el ángulo que más interesa no es tecnológico: es distributivo. Quién asume los costos, quién captura el valor de la transición y qué incentivos estructurales están empujando a cada actor en el sistema.
La IA comprime el tiempo disponible para quien defiende, no para quien ataca
La asimetría que la inteligencia artificial introduce en ciberseguridad no es nueva en términos conceptuales, pero sí en magnitud. Los atacantes usan IA para descubrir vulnerabilidades más rápido, generar variantes de malware a escala, personalizar mensajes de ingeniería social y automatizar el reconocimiento de objetivos. El costo marginal de lanzar un ataque sofisticado ha caído de manera sostenida. El costo de defenderse, en cambio, sigue siendo alto, intensivo en talento y difícil de automatizar sin introducir nuevos riesgos.
Los datos del Foro Económico Mundial y Accenture documentan esa percepción: el 94% de los líderes de seguridad considera que la IA será el factor de cambio más significativo en ciberseguridad durante el próximo año, y el 87% señala las vulnerabilidades asociadas a la IA como el riesgo de mayor crecimiento. Esas cifras no describen una preocupación futura. Describen la arquitectura de un problema que ya está dentro de las organizaciones.
Uno de los vectores menos discutidos en este análisis es el que Drolet llama "shadow AI": el uso no autorizado de herramientas de inteligencia artificial por parte de empleados que resumen reuniones, procesan datos sensibles o generan código a través de plataformas que la organización no controla, no audita y a veces ni siquiera conoce. El problema no es únicamente de seguridad perimetral. Es un problema de gobernanza interna donde el incentivo individual, la productividad inmediata del empleado, entra en colisión directa con el interés colectivo de la organización. Ese conflicto de incentivos no se resuelve con políticas, sino con diseño: controles de acceso, trazabilidad de datos, restricciones técnicas y supervisión humana sobre las acciones de mayor impacto.
La aparición de sistemas de IA agénticos, capaces de actuar de forma autónoma en nombre de un usuario a través de múltiples herramientas y flujos de trabajo, eleva ese problema a una categoría diferente. Cuando un agente de IA puede tomar decisiones, ejecutar transacciones o compartir información sin intervención humana en tiempo real, el perímetro de riesgo ya no tiene bordes claros. El error, el abuso de credenciales y la filtración de datos pueden ocurrir a una velocidad que ningún proceso de auditoría reactiva puede contener. El costo de ese riesgo no lo absorbe el proveedor de la herramienta. Lo absorbe la organización que la desplegó.
La amenaza cuántica no espera a que los equipos estén listos
La computación cuántica opera en un horizonte diferente al de la IA, pero su lógica de presión sobre los sistemas de seguridad es igualmente estructural. El mecanismo central se llama "harvest now, decrypt later": adversarios capturan hoy datos cifrados y los almacenan hasta que los ordenadores cuánticos sean capaces de romper la criptografía de clave pública que los protege. El ataque no ocurre hoy. El daño, sin embargo, ya está siendo sembrado.
Eso convierte la migración hacia criptografía resistente a la computación cuántica en una decisión de planificación presente, no futura. El Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos ya ha publicado los primeros estándares de criptografía poscuántica, sustituyendo esquemas vulnerables como RSA y la criptografía de curva elíptica. Pero la adopción de esos estándares no es una actualización de software. Es una intervención profunda en la arquitectura de sistemas que, en muchos casos, llevan décadas construidos sobre los algoritmos que ahora hay que reemplazar.
La escala del esfuerzo se refleja en las proyecciones de mercado: las inversiones en criptografía poscuántica pasarán de $1,2 mil millones en 2026 a $13,3 mil millones en 2035, según Juniper Research. Ese crecimiento no es el reflejo de una tendencia tecnológica positiva. Es la medida del déficit acumulado que las organizaciones tendrán que financiar, en certificados, claves, software, hardware, proveedores y procesos, para no quedar expuestas en un momento en que la ventana de reacción ya se habrá cerrado.
La distribución de ese costo es donde el análisis se vuelve más interesante. Las organizaciones grandes, con equipos especializados y presupuestos de seguridad relevantes, pueden iniciar programas de migración estructurados, designar responsables internos, inventariar dependencias criptográficas y negociar con proveedores desde una posición de fuerza. Las organizaciones medianas y pequeñas, que dependen de los mismos proveedores de plataformas y servicios en la nube, quedan a merced del ritmo al que esos proveedores implementen la transición. Si el proveedor prioritiza primero a sus clientes empresariales más grandes, el eslabón más débil de la cadena tarda más en quedar protegido, y el eslabón más débil es, con frecuencia, el que conecta al sistema completo con sus vulnerabilidades más explotables.
El valor de la preparación no está donde el mercado lo está midiendo
Hay un desajuste estructural en cómo el mercado está valorando la respuesta a estos riesgos. Los proveedores de plataformas de seguridad, desde fabricantes de infraestructura de red hasta proveedores de acceso seguro y arquitecturas de confianza cero, están integrando capacidades de detección basada en IA y cifrado cuántico resistente como características de sus productos. Eso tiene sentido competitivo: quien ofrece primero protección integrada captura contratos y construye dependencia técnica.
Pero el valor de esas capacidades depende de algo que ninguna plataforma puede vender directamente: la capacidad organizacional de la empresa que las adopta para operar con ellas de forma coherente. Una herramienta de detección de comportamientos anómalos basada en IA no reemplaza la necesidad de tener visibilidad sobre los activos, controles sobre los accesos y procesos de respuesta que funcionen cuando la alerta se activa. Un estándar de criptografía poscuántica no migra solo los sistemas heredados que llevan años sin actualizarse.
El artículo de Drolet describe un proceso de preparación que tiene siete pasos. Lo que no describe, aunque está implícito en cada uno de ellos, es cuánto de ese proceso requiere inversión sostenida en capacidades internas que el mercado de soluciones de seguridad no puede sustituir. La evaluación de riesgos tiene que hacerla alguien que conozca la arquitectura real de la organización. El inventario de dependencias criptográficas tiene que construirlo alguien con acceso a los sistemas. La gobernanza sobre los agentes de IA tiene que diseñarla alguien que entienda cómo trabajan los equipos. Ningún proveedor externo tiene esa información de partida.
El problema distributivo de fondo es este: la transición hacia una postura de seguridad que pueda sostenerse en un entorno de IA generalizada y presión cuántica creciente requiere que una parte significativa del valor se genere internamente, en forma de capacidades, procesos y gobernanza. Pero el mercado de ciberseguridad está estructurado para vender productos y servicios externos, no para construir capacidad interna. Eso no significa que los proveedores externos sean irrelevantes. Significa que la lógica de delegación total, el modelo en que una empresa subcontrata su seguridad y asume que el problema está resuelto, ya no tiene margen para funcionar cuando los riesgos se mueven más rápido que los contratos de servicio.
La migración que no se puede postergar sin que el costo se multiplique
La preparación ante estos riesgos tiene una característica financiera que las juntas directivas todavía no están internalizando con suficiente claridad: el costo de actuar tarde no es lineal. Cada mes que pasa sin iniciar el inventario criptográfico, sin establecer controles sobre la IA interna y sin designar un responsable del programa de migración cuántica, es un mes en que los sistemas heredados acumulan más deuda técnica, los proveedores avanzan sin coordinación con la organización y los atacantes capturan más datos con valor de largo plazo.
La migración hacia criptografía poscuántica es el caso más ilustrativo. Los sistemas que no pueden actualizarse rápidamente no son una minoría. En industrias como la financiera, la salud o la infraestructura crítica, hay componentes con ciclos de vida de décadas que fueron diseñados sobre supuestos criptográficos que la computación cuántica invalida. Reemplazarlos requiere tiempo, dinero y coordinación con cadenas de proveedores que también necesitan actualizar sus propios sistemas. Cuanto más tarde empiece ese proceso, más comprimido queda el tiempo disponible y más caro resulta completarlo antes de que el riesgo se materialice.
El patrón que señala Drolet, y que el análisis de incentivos confirma, es que las organizaciones que inicien ese proceso ahora están pagando un costo distribuido a lo largo del tiempo, manejable dentro de los presupuestos ordinarios de tecnología y seguridad. Las que lo postergan están acumulando una deuda que deberán pagar de golpe, bajo presión regulatoria, contractual o competitiva, en un momento en que tendrán menos capacidad de negociación y menos tiempo para hacerlo bien.
La ciberseguridad no cambió de fundamentos con la IA ni los cambiará con la computación cuántica. Lo que cambia es el costo de ignorar esos fundamentos, y ese costo ya no admite amortización gradual. Las organizaciones que tratan la preparación ante estos riesgos como una inversión presente están comprando tiempo y opcionalidad. Las que la tratan como un gasto diferible están acumulando una exposición cuyo precio lo fijará, eventualmente, alguien que no tiene incentivos para ser generoso.









