El 22 de junio, Trump firmó una orden ejecutiva sobre criptografía poscuántica que establece plazos vinculantes para toda la administración federal estadounidense.

La justificación es la misma que venimos viendo en las hojas de ruta de otros países: los atacantes ya están recopilando datos cifrados ahora para descifrarlos cuando los ordenadores cuánticos sean suficientemente potentes, el llamado ataque “harvest now, decrypt later”.

Los plazos concretos

La orden fija cuatro fechas clave. En 30 días, cada agencia federal tiene que designar un responsable de migración poscuántica. En 90 días, la Oficina de Gestión y Presupuesto tiene que emitir instrucciones vinculantes para que las agencias inventaríen sus sistemas de alto valor.

Dos fechas límite: criptografía poscuántica para establecimiento de claves antes del 31 de diciembre de 2030, y para firmas digitales antes del 31 de diciembre de 2031. El NIST tiene 180 días para lanzar un proyecto piloto en sus propios sistemas, a completar antes de finales de 2027.

Los contratistas también tienen que cumplir

La orden instruye al Consejo de Regulación de Adquisiciones Federales para modificar el Reglamento de Adquisición Federal en dos direcciones: los contratistas que vendan al gobierno federal tienen que cumplir los estándares FIPS poscuánticos del NIST antes del 31 de diciembre de 2030, y sus programas de divulgación de vulnerabilidades tendrán que incluir explícitamente vulnerabilidades criptográficas.

El “cryptographic bill of materials”

En 270 días, CISA tiene que publicar guía pública sobre los elementos mínimos de un “cryptographic bill of materials”: un inventario automatizable de todos los activos criptográficos que usa un sistema. Es el equivalente poscuántico del SBOM que ya se está imponiendo en la cadena de suministro de software.

El contexto que lo hace urgente

Esta orden no llega en el vacío. El NIST publicó sus primeros estándares poscuánticos en 2024 y avanzó nueve nuevos algoritmos a tercera ronda en mayo de 2026. Francia anunció la semana pasada que dejará de certificar productos sin cifrado poscuántico a partir de 2027. Los plazos de 2030 y 2031 que fija esta orden son los mismos que están marcando otras potencias occidentales.

Qué implica para empresas europeas y españolas

La fuerza legal de esta orden se detiene en las fronteras de EE.UU., pero sus implicaciones prácticas van más allá. Como señala quantumsecurity.blog en su análisis, los requisitos para contratistas federales van a presionar hacia arriba en las cadenas de suministro de las agencias estadounidenses, muchas de las cuales incluyen empresas tecnológicas europeas.

Si proporcionas infraestructura cloud, herramientas de seguridad o servicios gestionados a un contratista del gobierno federal americano, espera que los requisitos PQC lleguen a tus contratos en los próximos dos o tres años.

El precedente regulatorio estadounidense también tiende a influir en la dirección europea.

Los estándares PQC del NIST ya tienen autoridad global de facto. Una orden ejecutiva con plazos legales vinculantes refuerza la posición de los reguladores europeos que quieren impulsar calendarios similares bajo NIS2 y DORA. Y el hecho de que la rama ejecutiva de EE.UU. nombre públicamente el ataque “harvest now, decrypt later” como amenaza activa es un argumento que cualquier CISO puede usar ante su consejo para justificar inversiones urgentes en migración PQC.