La computación cuántica no romperá las leyes fiscales, romperá la arquitectura que las sostiene
El sistema tributario global no opera sobre papel. Hace al menos dos décadas que opera sobre firmas digitales, certificados de dispositivos, cadenas de hash y transmisiones cifradas hacia autoridades fiscales. Esa infraestructura, invisible para la mayoría de los directivos de retail, es la que hoy está técnicamente expuesta a una presión que no viene de reguladores ni de competidores: viene de una transformación en la potencia de cómputo que podría hacer inútiles los fundamentos criptográficos sobre los que descansa la confianza fiscal de todo el sistema.
No es una amenaza abstracta ni de ciencia ficción. Es una transición material con una estructura de tiempos que los equipos de tecnología ya no pueden ignorar. Y el retail, por su escala, su velocidad transaccional y su exposición regulatoria simultánea en decenas de jurisdicciones, es el sector donde esa presión se va a sentir con mayor brutalidad operativa.
La fiscalización es un problema de criptografía antes que un problema de política
La fiscalización, en su sentido técnico y regulatorio, es el conjunto de controles electrónicos que obligan a los minoristas a registrar transacciones de forma íntegra, verificable e inalterada, generalmente en tiempo real o con transmisión periódica hacia la autoridad fiscal. Funciona así en mercados tan distintos como Brasil, Serbia, Italia, Polonia, Marruecos o Kenia. El mecanismo de fondo es siempre el mismo: una firma digital que certifica que lo que se registró no fue alterado, un certificado que valida que el dispositivo que lo emitió está autorizado por el Estado, y un canal cifrado que protege la transmisión hacia el fisco.
Lo que hace posible esa arquitectura son los algoritmos de clave pública: RSA, ECDSA, Diffie-Hellman. Son los mismos que protegen el comercio electrónico, la banca y las comunicaciones corporativas globales. Y son exactamente los que el algoritmo de Shor, ejecutado sobre una computadora cuántica de escala suficiente, puede romper con una eficiencia que los sistemas clásicos no pueden igualar.
El problema no es que la computación cuántica sea poderosa en abstracto. El problema es que la curva de progreso se aceleró de forma medible. Google redujo la estimación de qubits físicos necesarios para comprometer la criptografía de curva elíptica, que protege activos como Bitcoin y Ethereum, de aproximadamente diez millones a menos de quinientos mil. D-Wave anunció arquitecturas de más de siete mil qubits. El CEO de Google situó la utilidad práctica de estas máquinas dentro de una ventana de cinco a diez años. Eso, en términos de ciclos de renovación tecnológica para grandes retailers con flotas de terminales en múltiples países, no es "el futuro". Es el próximo ciclo de inversión.
Lo que cambia estructuralmente no es que llegue una máquina que "hackee todo". Lo que cambia es que el fundamento de confianza sobre el que reposa la evidencia fiscal deja de ser técnicamente sólido. Una firma digital comprometida no solo implica una vulnerabilidad de seguridad: implica que el recibo que un auditor fiscal toma como evidencia legal podría haber sido falsificado sin dejar rastro verificable. Y eso no es un problema de TI. Es un problema de derecho tributario, de responsabilidad corporativa y de exposición a sanciones que en muchos mercados son acumulativas por transacción.
Cinco puntos de quiebre que el retail no tiene en su mapa de riesgo
Hay una diferencia entre saber que la computación cuántica existe y entender dónde específicamente quiebra la lógica de un sistema fiscal. La literatura técnica identifica al menos cinco zonas de exposición, y ninguna de ellas aparece todavía en los informes de riesgo estándar de los grandes operadores de retail.
La primera es la integridad de la transacción. Los regímenes fiscales más sofisticados exigen que cada recibo, cada asiento contable y cada factura lleve una firma digital que acredite su autenticidad. Si la criptografía de clave pública que sostiene esa firma se vuelve vulnerable, el sistema pierde su capacidad de distinguir entre un documento auténtico y uno fabricado. No es un escenario de ataque masivo inmediato: es una degradación gradual de la confiabilidad del estándar que los auditores y los tribunales usan como referencia.
La segunda es la identidad del dispositivo. Muchos sistemas de fiscalización no solo validan el documento, sino también el origen: el terminal que lo emitió debe estar certificado por la autoridad fiscal mediante un certificado de dispositivo. Si esa cadena de certificación puede ser comprometida, no se trata ya de falsificar un recibo, sino de impersonar un dispositivo autorizado. Un terminal no registrado podría operar como si estuviera fiscalizado. Eso abre la puerta a fraude fiscal sistémico que la arquitectura actual simplemente no está diseñada para detectar.
La tercera es la transmisión hacia el fisco. Los sistemas de clearance en tiempo real, que son la dirección hacia la que va la fiscalización global, dependen de canales cifrados y autenticación de APIs. Una computadora cuántica capaz de romper los algoritmos de intercambio de claves en uso podría interceptar o manipular esa transmisión. La hoja de ruta del Centro Nacional de Ciberseguridad del Reino Unido ya establece como objetivo completar la migración a criptografía poscuántica antes de 2035, con un proceso de descubrimiento iniciado en 2028.
La cuarta es el archivo de largo plazo. Los datos fiscales en la mayoría de las jurisdicciones deben conservarse entre cinco y diez años. Eso activa el problema que los especialistas denominan "harvest now, decrypt later": actores maliciosos que hoy no tienen capacidad para descifrar los archivos capturados, pero que los almacenan sabiendo que en algún punto de los próximos años sí la tendrán. No es una amenaza futura: es una práctica activa documentada por organismos de inteligencia y agencias de ciberseguridad. Los archivos fiscales que se generan hoy ya son susceptibles de este tipo de ataque.
La quinta es la verificación por códigos QR. Varios sistemas de fiscalización, especialmente en mercados emergentes, exponen la cadena de confianza directamente al consumidor o al auditor a través de un código QR que enlaza con una firma verificable. Si esa firma descansa en un algoritmo comprometido, el QR pierde su valor legal, no su existencia física. El código sigue legible, pero la verificación que produce ya no es confiable.
Ninguno de estos cinco puntos implica que el sistema fiscal colapse mañana. Lo que implican es que la arquitectura que hoy sostiene la validez legal de millones de transacciones diarias tiene una fecha de caducidad técnica que se acorta a medida que el hardware cuántico avanza.
La migración que nadie está planificando todavía
El Instituto Nacional de Estándares y Tecnología de Estados Unidos publicó en 2024 sus tres primeros estándares finalizados de criptografía poscuántica. Eso significa que los algoritmos de reemplazo existen, están listos y pueden implementarse. La pregunta ya no es si hay alternativas técnicas: las hay. La pregunta es quién va a absorber el costo, la complejidad y el tiempo de una migración que para el retail global significa algo muy específico.
Los grandes operadores de retail no enfrentan una migración. Enfrentan muchas. Cada jurisdicción donde operan tiene su propio cuerpo regulatorio de fiscalización, sus propios requisitos de certificación de dispositivos, sus propios organismos de validación y sus propios plazos de transición que todavía no existen porque ningún gobierno ha emitido mandato de migración poscuántica para sistemas fiscales. Eso significa que cuando llegue el mandato, no llegará sincronizado. Llegará escalonado, con diferentes plazos en Brasil, en Italia, en Serbia, en México, en Nigeria. Y los fabricantes de terminales, los proveedores de software fiscal y los integradores de sistemas tendrán que responder a todas esas exigencias en paralelo.
La carga operativa de esa situación es desproporcionada para los operadores que tienen presencia en muchos mercados simultáneamente. Un retailer con operaciones en veinte países deberá coordinar la renovación de certificados de dispositivos, la actualización de librerías criptográficas, la validación ante autoridades fiscales locales y la migración de archivos históricos, todo dentro de ventanas regulatorias que no estarán alineadas entre sí.
Lo que técnicamente se llama "agilidad criptográfica", la capacidad de un sistema para cambiar de algoritmo sin reemplazar toda la infraestructura subyacente, deja de ser un concepto de arquitectura avanzada y se convierte en una necesidad operativa básica. Los sistemas fiscales que hoy están construidos como bloques monolíticos, donde la lógica de negocio y la capa de confianza criptográfica están acopladas, van a ser significativamente más difíciles y costosos de migrar. Los que tienen una separación limpia entre ambas capas tendrán una ventaja estructural que no se ve en ningún KPI actual pero que en un horizonte de ocho a doce años puede representar la diferencia entre una migración manejable y una crisis de cumplimiento.
Hay un factor adicional que agrava la situación para el retail en particular: los algoritmos poscuánticos generan firmas y certificados de mayor tamaño que sus equivalentes actuales. En sistemas de alto volumen transaccional, eso no es un detalle técnico menor. Puede afectar la latencia de los terminales, el ancho de banda de transmisión hacia el fisco y la capacidad de almacenamiento de archivos de largo plazo. El costo de la migración no se mide solo en horas de ingeniería: se mide también en rediseño de infraestructura y posiblemente en hardware de nueva generación para terminales certificados.
Lo que se rompe antes que la ley fiscal
La observación más precisa que surge de este análisis no es que la computación cuántica vaya a cambiar las leyes tributarias. Las leyes no operan en el nivel de los algoritmos. Lo que opera en ese nivel es la arquitectura técnica que hace que las leyes sean ejecutables y verificables.
Y esa arquitectura tiene una característica que la hace particularmente frágil frente a esta transición: fue diseñada bajo el supuesto implícito de que la criptografía de clave pública que la sostiene es prácticamente inviolable en horizontes de tiempo relevantes. Ese supuesto está siendo revisado. No por capricho regulatorio ni por innovación de producto, sino porque la física cuántica avanza sobre una curva que los sistemas de certificación fiscal no anticiparon y para la que no tienen mecanismos de adaptación establecidos.
El punto de inflexión no será el momento en que una computadora cuántica rompa una firma fiscal en un ataque espectacular. Será el momento en que un organismo regulatorio, un tribunal o una agencia de auditoría decida que los estándares criptográficos en uso ya no son suficientes para garantizar la integridad de la evidencia fiscal. Ese momento podría llegar antes que la tecnología que lo justifica, porque la regulación frecuentemente anticipa riesgos cuando los costos de no hacerlo se vuelven políticamente insostenibles.
Para los directivos de retail con exposición fiscal en múltiples mercados, la pregunta estratégica no es cuándo llegará la computadora cuántica suficientemente potente. La pregunta es si su arquitectura de cumplimiento fiscal puede cambiar de capa criptográfica sin colapsar operativamente. Esa respuesta, hoy, la mayoría no la tiene.
