La agencia francesa de ciberseguridad ANSSI ha anunciado que desde 2027 dejará de certificar productos de seguridad que no incluyan cifrado resistente a ordenadores cuánticos. Como la certificación de ANSSI es requisito obligatorio para operar en organismos gubernamentales e infraestructuras críticas francesas, la política equivale de facto a una eliminación progresiva del cifrado tradicional en los sistemas más sensibles del país.

Samih Souissi, jefe de gabinete de ANSSI, lo anunció en la conferencia France Quantum celebrada el 16 de junio en París, según recoge Reuters. ANSSI no ha publicado todavía un comunicado oficial en su web sobre el anuncio. Las empresas deberían comprar únicamente productos resistentes a la cuántica a partir de 2030, y los ministerios franceses tendrán que desplegar cifrado poscuántico para los sistemas que manejen información sensible antes de finales de ese año.

Por qué Francia va más rápido que el resto

ANSSI invoca «un contexto de amenazas generalmente crecientes y una situación geopolítica deteriorada» para justificar la urgencia. La medida refleja la preocupación por el riesgo conocido como «harvest now, decrypt later»: atacantes que almacenan datos cifrados ahora para descifrarlos cuando los ordenadores cuánticos sean suficientemente potentes.

El calendario francés es más agresivo que el de la mayoría de sus vecinos europeos. La UE, a través de ENISA, apunta a 2030 para sectores críticos y 2035 para el resto. Francia está forzando la misma fecha de 2030 pero con una herramienta más concreta: si tu producto no está listo, no consigue la certificación y no entra en la administración pública ni en infraestructuras críticas.

El problema de cumplimiento doble

Fanny Bouton, responsable de cuántica en OVHcloud, explicó a Reuters el problema que esto genera para las empresas europeas: «Nos enfrentamos a dos retos: auditar nuestros productos y asegurar todos los datos que tenemos para cumplir con los requisitos de ANSSI. Como actor francés y europeo, nos enfrentamos a aún más restricciones, ya que tendremos que alinearnos con todos estos estándares», refiriéndose a ANSSI, la Comisión Europea y los requisitos del NIST estadounidense.

Para los grandes proveedores que venden a gobiernos, defensa, servicios públicos, banca, telecomunicaciones e infraestructuras críticas, el cifrado está integrado en redes, sistemas de identidad, software, bases de datos, plataformas de pago, servicios en la nube y dispositivos conectados. El reto no es simplemente sustituir una tecnología por otra.

Los próximos movimientos

Esta decisión de ANSSI no llega sola. Se produce la misma semana en que el NIST ha avanzado nueve nuevos algoritmos de firma poscuántica a la tercera ronda de su proceso de estandarización, y en un contexto en que la inversión global en computación cuántica creció 6,3 veces en 2025.

Francia está enviando una señal clara al mercado: el plazo para prepararse es 2030, y el mecanismo de presión es la certificación. Cualquier empresa que quiera vender productos de seguridad al sector público francés o a sus infraestructuras críticas tiene ahora una fecha concreta sobre la mesa, no una recomendación.

¿Te interesa la ciberseguridad y el derecho digital?Añade Derecho de la Red como fuente preferida en Google.