Resumen ejecutivo. La migración de la criptografía bancaria a primitivas post-cuánticas ha dejado de ser una diapositiva de hoja de ruta para convertirse en una obligación con fecha. Dos instrumentos hicieron el trabajo. La Executive Order 14409, firmada el 22 de junio de 2026, pone fechas firmes a la migración federal y de contratistas en EE. UU. La ANSSI cierra la ventana de certificación europea desde 2027. Ninguno deja al consejo la opción de tratar la PQC como una partida de investigación. Este artículo convierte esa presión en un índice medible: cinco capas, cada una puntuada 0–5, ponderadas en un único compuesto que el consejo puede seguir trimestralmente y defender ante un supervisor.
Hace un año un banco podía nombrar FIPS 203 en una revisión de seguridad y llamar a eso una estrategia cuántica. La EO 14409 y ANSSI cambiaron la pregunta de qué algoritmo a qué canales, antes de qué fecha, firmado por quién. El índice que sigue es el instrumento que responde a ello, diseñado para poner las primitivas técnicas, la responsabilidad fiduciaria y el riesgo de balance en la misma página.
01. La amenaza cuántica a la integridad del libro mayor global
Los ordenadores cuánticos amenazan el fundamento matemático de la seguridad digital moderna. RSA y ECC —los algoritmos que protegen las transacciones bancarias— se apoyan en problemas que el algoritmo de Shor colapsa en segundos en cuanto llega suficiente escala cuántica. La exposición del sistema financiero no es uniforme; se concentra donde las colas de confidencialidad son más largas y donde las instrucciones firmadas viven más tiempo.
- SWIFT y compensación interbancaria. La interceptación de sesión y el fallo de no repudio son los riesgos agudos. Una instrucción de liquidación falsificada o reproducible es un evento de balance, no un incidente de registro.
- Registros de depositaría. Unos mecanismos de firma comprometidos podrían permitir inyecciones no autorizadas en el libro mayor: el fallo de integridad que sostiene toda conciliación posterior.
- Almacenar ahora, descifrar después (SNDL). La telemetría financiera se está recolectando hoy para descifrarla en el futuro. Por eso el cifrado de la capa de transporte migra primero: los datos ya en tránsito son los datos que ya están en riesgo.
El horizonte de planificación de cinco años para un CRQC es la hipótesis de trabajo dentro de los bancos de primer nivel. SNDL significa que los adversarios no necesitan esa máquina hoy: necesitan almacenamiento barato y paciencia. Para una obligación de retención de 25 años en custodia o financiación del comercio, la ventana de exposición ya se ha abierto.
02. El Índice de Resiliencia Bancaria Post-Cuántica de 2026
El índice estructura la transición en cinco capas medibles y auditables. Cada una se puntúa 0–5; el total ponderado es la Puntuación Compuesta de Resiliencia Post-Cuántica, seguida trimestralmente y reportada al consejo.
Tabla 1: Arquitectura del índice de resiliencia
| Capa del índice | Métrica de preparación | Modo de fallo | Peso |
|---|---|---|---|
| Inventario y descubrimiento | % de apps con SBOM/CBOM automatizado | Claves heredadas sin descubrir | 30% |
| KEM / Transporte | % de canales que usan ML-KEM híbrido | Descifrado retroactivo (SNDL) | 25% |
| Firmas digitales | % de pipelines con soporte ML-DSA | Autorizaciones falsificadas en el libro mayor | 20% |
| Agilidad criptográfica | Tiempo medio para sustituir primitivas criptográficas | Atrapado en algoritmos vulnerables | 15% |
| Alineamiento regulatorio | Preparación para auditoría; aprobación del consejo | Hallazgos supervisores de DORA | 10% |
La ponderación es deliberada. El inventario domina con un 30% porque toda otra capa es inmedible sin él: no se puede migrar una clave que no se ha encontrado. El transporte se sitúa en el 25% porque SNDL lo convierte en la única capa donde el reloj ya corre contra datos capturados hoy.
Tabla 2: Normas criptográficas clave (NIST/FIPS)
| Norma | Primitiva | Función principal |
|---|---|---|
| ML-KEM (FIPS 203) | KEM basado en retículos | Seguridad de transporte (TLS 1.3) |
| ML-DSA (FIPS 204) | Firma basada en retículos | Firma de identidad y transacciones |
| SLH-DSA (FIPS 205) | Firma hash sin estado | Certificados raíz a largo plazo |
Estas tres normas PQC del NIST son la columna vertebral de todo plan de migración creíble en 2026. El par de retículos soporta el transporte y la firma del día a día; la construcción conservadora basada en hash de SLH-DSA se gana su lugar en la raíz de confianza, donde una sola sorpresa criptoanalítica es lo menos tolerable.
03. Manual del consejo: hoja de ruta a 24 meses
El índice mide dónde está el banco. La hoja de ruta fija el orden del trabajo. Cada hito produce un entregable de nivel consejo, no un parte de estado.
| Plazo | Área de foco | Entregable de nivel consejo |
|---|---|---|
| 0–6 meses | Descubrimiento | Completar el CBOM corporativo; identificar los ciclos de vida de datos de alta sensibilidad. |
| 6–12 meses | Piloto | Desplegar ML-KEM + ECDH híbrido para el transporte de cara a internet. |
| 12–18 meses | Integración | Migrar los pipelines de firma a ML-DSA; actualizar el firmware del HSM. |
| 18–24 meses | Optimización | Integrar la puntuación de resiliencia en los cuadros de mando de Basel III / DORA. |
La secuencia no es arbitraria. Descubrimiento primero, porque la capa más pesada del índice es también su requisito previo. Pilotar en el transporte de cara a internet, porque es la primera línea de SNDL y la superficie de menor coordinación para cambiar. El firmware del HSM aterriza en la fase de integración porque la ruta criptográfica de producción pasa por módulos comerciales: la migración se retrasa en cuanto se retrasa la línea de firmware PQC de un solo proveedor.
04. Ingeniería de plataforma: arquitecturas híbridas acotadas
Para evitar el riesgo de código PQC sin verificar, los bancos están adoptando arquitecturas criptográficas híbridas acotadas. El enfoque envuelve un componente clásico ECDH dentro de un sobre ML-KEM normalizado por el NIST, de modo que el canal sigue siendo seguro aunque uno de los algoritmos se rompa más adelante. El banco no apuesta a que una sola primitiva sobreviva al criptoanálisis durante 25 años; ejecuta ambas, lo registra todo y conserva la opción de retirar la pata clásica una vez que las implementaciones PQC acumulen horas de campo.
El híbrido es la decisión correcta. No es gratis. Un handshake híbrido de TLS 1.3 lleva en torno a un kilobyte más que su equivalente clásico, y una firma ML-DSA ocupa kilobytes frente a las decenas de bytes de ECDSA. En los canales de compensación mayorista, donde las decisiones de liquidación ocurren en ventanas de un solo dígito de milisegundos, ese coste no es un error de redondeo. Modélelo en la planificación de capacidad y nómbrelo en el SLA: el informe al consejo debe publicar el impacto esperado en rendimiento y en la latencia de cola en cada hito, no solo la elección de algoritmo.
05. Deber fiduciario y suficiencia de capital
Bajo el Artículo 5 de DORA, el consejo asume una responsabilidad directa e indelegable sobre la gestión del riesgo de las TIC. Los "pasos razonables" exigen un plan de migración documentado y auditable, no una intención. Mantener una infraestructura sin inventariar y cifrada de forma clásica es un riesgo operativo no mitigado, y los supervisores pueden trasladarlo directamente al marco de capital por riesgo operativo de Basel III como un multiplicador más alto.
Eso convierte el índice en un instrumento de gobernanza, no solo de ingeniería. La puntuación compuesta es el artefacto que un consejero independiente sénior puede interrogar: ¿el inventario criptográfico está completo o muestreado?; ¿el plan de migración tiene fecha contra un horizonte CRQC de cinco años?; ¿los instrumentos firmados de largo plazo están cubiertos hoy por un esquema de doble firma?; ¿y de quién es el nombre que figura junto al programa en la declaración de responsabilidades? Un banco que pueda responder a esas cuatro preguntas con una sola puntuación trimestral ha convertido un mandato regulatorio en un riesgo gestionado.
Anexo: rúbrica de puntuación (0–5)
Cada capa del índice se puntúa contra la misma escala de madurez, de modo que el compuesto es comparable entre capas y entre trimestres.
- 0 — No conforme. Sin inventario; sistemas vulnerables a lo cuántico sin supervisar.
- 1 — Inicial. Descubrimiento manual en marcha.
- 2 — Fundacional. Inventario automatizado (SBOM/CBOM) en producción.
- 3 — Avanzado. Pilotos PQC híbridos fuera de producción.
- 4 — Gestionado. PQC híbrido en producción para el tráfico externo.
- 5 — Optimizado. Integración completa; pruebas automatizadas; reporte continuo alineado con DORA.
Conclusión
Las primitivas existen. FIPS 203, 204 y 205 están publicadas; las bibliotecas están en producción; las fechas límite son ya ley en dos continentes. La pregunta abierta es si un banco puede ejecutar un programa plurianual, criptoágil y guiado por CBOM bajo DORA, la EO 14409 y el corte de certificación de ANSSI, y demostrarlo con una cifra que el consejo pueda defender. Los bancos que adopten el índice en 2026 y empiecen el despliegue híbrido en 2027 explicarán una migración limpia en 2030. Los que traten la EO 14409 como la fecha límite de otro explicarán otra cosa.
Empiece por el inventario. Pondere la capa de transporte. Puntúela trimestralmente. Firme con su nombre.
Preguntas frecuentes
¿Qué exige realmente la Executive Order 14409? Firmada el 22 de junio de 2026, la EO 14409 ordena a las agencias federales migrar los sistemas sensibles al cifrado PQC antes del 31 de diciembre de 2030 y a la autenticación antes del 31 de diciembre de 2031. Los contratistas federales deben cumplir las normas FIPS del NIST antes de finales de 2030. Para los bancos, la presión operativa es la cadena de suministro: toda entidad que venda a, o compense para, entidades federales estadounidenses hereda el calendario.
¿Por qué importa más la fecha de 2027 de ANSSI que la de 2030? Porque 2027 es cuando se rompe la adquisición. A partir de 2027 ANSSI deja de certificar productos de seguridad que carezcan de cifrado resistente a lo cuántico, de modo que un banco que compre hardware o software no PQC después de ese punto está comprando algo que no podrá certificar para infraestructura crítica. La fecha límite de 2030 es el destino; 2027 es cuando se cierra el camino hacia ella.
¿Qué es "Almacenar ahora, descifrar después" y por qué priorizar el transporte? SNDL es la práctica de interceptar y archivar tráfico cifrado hoy para descifrarlo en cuanto exista un CRQC. Cualquier sesión TLS o transferencia interbancaria protegida solo por RSA o ECC es candidata al descifrado retrospectivo. Por eso la capa KEM / Transporte tiene un peso del 25% y migra antes que las firmas: los datos en tránsito hoy ya están expuestos.
¿Cómo se calcula la Puntuación Compuesta de Resiliencia Post-Cuántica? Puntúe cada una de las cinco capas 0–5 contra la rúbrica del anexo, multiplique por el peso de la capa (Inventario 30%, Transporte 25%, Firmas 20%, Agilidad criptográfica 15%, Regulatorio 10%) y sume. El resultado es una única cifra trimestral que se asigna directamente al reporte de DORA y a los cuadros de mando de riesgo operativo de Basel III.
¿Adoptar criptografía híbrida crea su propio riesgo? El patrón híbrido acotado reduce el riesgo algorítmico —el canal sobrevive si se rompe cualquiera de las dos patas—, pero añade una sobrecarga medible: handshakes más grandes, firmas más grandes, CPU por transacción aproximadamente duplicada. En los canales de compensación sensibles a la latencia esto debe modelarse en la planificación de capacidad y nombrarse en el SLA, no descubrirse durante una revisión de incidente.
Referencias
- Executive Order 14409 — migración post-cuántica federal (memorandos de la OMB)
- ANSSI — postura sobre la transición a la criptografía post-cuántica
- NIST — las primeras tres normas finalizadas de cifrado post-cuántico
- Programa de Criptografía Post-Cuántica del NIST
- Artículo 5 de DORA — Reglamento (UE) 2022/2554
- Basel III — marco regulatorio internacional para bancos
- BIS Project Leap — blindaje cuántico del sistema financiero
Última revisión .
Última revisión .
Republicar este artículo
Copiar formato para Medium
# El Índice de Resiliencia Bancaria Post-Cuántica en 2026: EO 14409, fechas límite globales y agilidad criptográfica fiduciaria — Sebastien Rousseau > Originally published at [https://sebastienrousseau.com/es/2026-06-26-post-quantum-banking-resilience-index-eo-14409-fiduciary-crypto-agility-2026/](https://sebastienrousseau.com/es/2026-06-26-post-quantum-banking-resilience-index-eo-14409-fiduciary-crypto-agility-2026/) EO 14409, la fecha límite de 2030 de ANSSI y el Artículo 5 de DORA convierten la migración post-cuántica en un índice de resiliencia: un baremo de madurez 0–5 para bancos. Read the full article on sebastienrousseau.com: https://sebastienrousseau.com/es/2026-06-26-post-quantum-banking-resilience-index-eo-14409-fiduciary-crypto-agility-2026/
Copiar formato para Mastodon
El Índice de Resiliencia Bancaria Post-Cuántica en 2026: EO 14409, fechas límite globales y agilidad criptográfica fiduciaria — Sebastien Rousseau EO 14409, la fecha límite de 2030 de ANSSI y el Artículo 5 de DORA convierten la migración post-cuántica en un índice de resiliencia: un baremo de madurez 0–5 para bancos. https://sebastienrousseau.com/es/2026-06-26-post-quantum-banking-resilience-index-eo-14409-fiduciary-crypto-agility-2026/
Copiar formateado para LinkedIn
El Índice de Resiliencia Bancaria Post-Cuántica en 2026: EO 14409, fechas límite globales y agilidad criptográfica fiduciaria — Sebastien Rousseau EO 14409, la fecha límite de 2030 de ANSSI y el Artículo 5 de DORA convierten la migración post-cuántica en un índice de resiliencia: un baremo de madurez 0–5 para bancos. Estos son los puntos estratégicos clave: - 01. La amenaza cuántica a la integridad del libro mayor global. Los ordenadores cuánticos amenazan el fundamento matemático de la seguridad digital moderna. - 02. El Índice de Resiliencia Bancaria Post-Cuántica de 2026. El índice estructura la transición en cinco capas medibles y auditables. - 03. Manual del consejo: hoja de ruta a 24 meses. El índice mide dónde está el banco. - 04. Ingeniería de plataforma: arquitecturas híbridas acotadas. Para evitar el riesgo de código PQC sin verificar, los bancos están adoptando arquitecturas criptográficas híbridas acotadas. ¿Cuál es el enfoque de su organización ante los desafíos descritos en este artículo? → https://sebastienrousseau.com/es/2026-06-26-post-quantum-banking-resilience-index-eo-14409-fiduciary-crypto-agility-2026/ #CriptografíaPostCuántica #Pqc #Eo14409 #ExecutiveOrder14409 #FechaLímite2030Anssi Sebastien Rousseau | CC-BY-4.0
Citar este artículo
El Índice de Resiliencia Bancaria Post-Cuántica en 2026: EO 14409, fechas límite globales y agilidad criptográfica fiduciaria — Sebastien Rousseau
EO 14409, la fecha límite de 2030 de ANSSI y el Artículo 5 de DORA convierten la migración post-cuántica en un índice de resiliencia: un baremo de madurez 0–5 para bancos.
BibTeX
@online{rousseau2026el,
author = {Rousseau, Sebastien},
title = {{El Índice de Resiliencia Bancaria Post-Cuántica en 2026: EO 14409, fechas límite globales y agilidad criptográfica fiduciaria — Sebastien Rousseau}},
year = {2026},
url = {https://sebastienrousseau.com/es/2026-06-26-post-quantum-banking-resilience-index-eo-14409-fiduciary-crypto-agility-2026/},
urldate = {2026}
}RIS
TY - GEN AU - Rousseau, Sebastien TI - El Índice de Resiliencia Bancaria Post-Cuántica en 2026: EO 14409, fechas límite globales y agilidad criptográfica fiduciaria — Sebastien Rousseau PY - 2026 UR - https://sebastienrousseau.com/es/2026-06-26-post-quantum-banking-resilience-index-eo-14409-fiduciary-crypto-agility-2026/ ER -
Vancouver
Rousseau S. El Índice de Resiliencia Bancaria Post-Cuántica en 2026: EO 14409, fechas límite globales y agilidad criptográfica fiduciaria — Sebastien Rousseau. sebastienrousseau.com. 2026 Jun 26. Available from: https://sebastienrousseau.com/es/2026-06-26-post-quantum-banking-resilience-index-eo-14409-fiduciary-crypto-agility-2026/
Chicago
Rousseau, Sebastien. "El Índice de Resiliencia Bancaria Post-Cuántica en 2026: EO 14409, fechas límite globales y agilidad criptográfica fiduciaria — Sebastien Rousseau." sebastienrousseau.com. June 26, 2026. https://sebastienrousseau.com/es/2026-06-26-post-quantum-banking-resilience-index-eo-14409-fiduciary-crypto-agility-2026/.
APA
Rousseau, S. (2026, June 26). El Índice de Resiliencia Bancaria Post-Cuántica en 2026: EO 14409, fechas límite globales y agilidad criptográfica fiduciaria — Sebastien Rousseau. sebastienrousseau.com. https://sebastienrousseau.com/es/2026-06-26-post-quantum-banking-resilience-index-eo-14409-fiduciary-crypto-agility-2026/
Volver a publicar este artículo
El Índice de Resiliencia Bancaria Post-Cuántica en 2026: EO 14409, fechas límite globales y agilidad criptográfica fiduciaria — Sebastien Rousseau
EO 14409, la fecha límite de 2030 de ANSSI y el Artículo 5 de DORA convierten la migración post-cuántica en un índice de resiliencia: un baremo de madurez 0–5 para bancos.
Este artículo se publica bajo Creative Commons Attribution 4.0 International. La republicación requiere atribución a la URL canónica.
El Índice de Resiliencia Bancaria Post-Cuántica en 2026: EO 14409, fechas límite globales y agilidad criptográfica fiduciaria — Sebastien Rousseau EO 14409, la fecha límite de 2030 de ANSSI y el Artículo 5 de DORA convierten la migración post-cuántica en un índice de resiliencia: un baremo de madurez 0–5 para bancos. Originally published at https://sebastienrousseau.com/es/2026-06-26-post-quantum-banking-resilience-index-eo-14409-fiduciary-crypto-agility-2026/ by Sebastien Rousseau. Licensed under CC-BY-4.0.