La ciberseguridad está entrando en una etapa en la que algunas de sus preguntas habituales empiezan a quedarse cortas. Durante años, proteger una organización ha consistido en asegurar infraestructuras, aplicaciones, identidades, comunicaciones y datos frente a amenazas más o menos conocidas. Ese trabajo sigue siendo imprescindible, pero el contexto tecnológico está cambiando.
Por un lado, la evolución de la computación cuántica obliga a revisar los fundamentos criptográficos sobre los que se apoyan muchas comunicaciones digitales. Por otro, la adopción de sistemas de IA cada vez más autónomos introduce nuevas formas de interacción entre software, datos, herramientas y decisiones operativas.
No son dos conversaciones aisladas. Ambas apuntan a una misma necesidad: saber con precisión de qué depende la seguridad de la organización y qué elementos pueden convertirse en un riesgo si no se gestionan con tiempo.
Ciberseguridad poscuántica: prepararse antes de que sea urgente
La criptografía actual protege una parte esencial de la actividad digital: certificados, comunicaciones seguras, navegación HTTPS, VPN, firma digital, intercambio de claves, autenticación y múltiples procesos internos que normalmente no son visibles para el usuario final.
El riesgo asociado a la computación cuántica no consiste en que todos esos mecanismos vayan a dejar de ser seguros de un día para otro. La cuestión es más gradual. El propio NIST recuerda que no se sabe con exactitud cuándo existirá un ordenador cuántico criptográficamente relevante, pero también advierte de que la integración de nuevos algoritmos en productos, servicios e infraestructuras puede llevar años.
A esto se suma un riesgo específico: el conocido como harvest now, decrypt later. Es decir, la posibilidad de capturar hoy datos cifrados y conservarlos hasta que exista capacidad suficiente para descifrarlos en el futuro. El NIST describe este escenario como una de las razones por las que conviene empezar a adoptar técnicas de criptografía poscuántica antes de que los ordenadores cuánticos capaces de romper parte de la criptografía actual estén disponibles.
Es evidente que la criptografía poscuántica ya no es únicamente una línea de investigación. Ya en agosto de 2024, el NIST publicó los tres primeros estándares finales de criptografía poscuántica: FIPS 203, FIPS 204 y FIPS 205. Estos estándares ofrecen una base técnica para empezar a migrar sistemas hacia algoritmos diseñados para resistir ataques de futuros ordenadores cuánticos.
Sin embargo, la existencia de estándares no resuelve por sí sola la transición. La criptografía suele estar distribuida en muchas capas: librerías, sistemas operativos, dispositivos, appliances, aplicaciones propias, servicios cloud, integraciones con terceros, sistemas industriales y productos heredados. En muchos entornos, ni siquiera existe un inventario completo de qué algoritmos, certificados o protocolos se están utilizando.
Por eso el primer ejercicio no es sustituir toda la criptografía de una organización, sino entender qué información se protege, con qué mecanismos, durante cuánto tiempo debe seguir siendo segura y qué dependencias técnicas habrá que actualizar.
El NCSC británico plantea una hoja de ruta de migración a criptografía poscuántica con tres grandes hitos: antes de 2028, definir objetivos, realizar un ejercicio completo de descubrimiento y construir un plan inicial; antes de 2031, abordar las migraciones prioritarias; y antes de 2035, completar la migración en sistemas, servicios y productos.
La Unión Europea también ha situado este asunto en su agenda. En junio de 2025, los Estados miembros, con apoyo de la Comisión Europea, publicaron una hoja de ruta coordinada para la transición a criptografía poscuántica, orientada a avanzar de forma sincronizada ante la amenaza que la computación cuántica representa para la confidencialidad y autenticidad de los datos.
Seguridad posagéntica: cuando la IA empieza a actuar
Mientras la transición poscuántica obliga a revisar cómo se protegen los datos y las comunicaciones, la IA agéntica obliga a revisar cómo se conceden permisos, cómo se ejecutan acciones y cómo se auditan decisiones automatizadas.
Hasta hace poco, muchas organizaciones entendían la IA generativa como una interfaz: una herramienta capaz de responder preguntas, resumir documentos, redactar textos o asistir a una persona en una tarea concreta. La IA agéntica modifica ese esquema. Un agente puede recibir un objetivo, planificar pasos, consultar herramientas, acceder a datos, invocar APIs y ejecutar acciones dentro de un flujo de trabajo.
Ese cambio abre oportunidades evidentes de automatización, pero también amplía la superficie de riesgo. OWASP define la IA agéntica como una evolución de los sistemas autónomos, apoyada en modelos de lenguaje y capacidades de generación, que incrementa tanto las posibilidades funcionales como los riesgos asociados.
La seguridad de estos sistemas no puede limitarse al modelo. También depende de la arquitectura que los rodea: identidades, permisos, límites de acción, herramientas disponibles, datos accesibles, registros de actividad y mecanismos de supervisión.
OWASP incluye entre los riesgos principales de las aplicaciones basadas en modelos de lenguaje aspectos como la inyección de prompts, la divulgación de información sensible, el uso inseguro de plugins o herramientas, y la concesión de una autonomía excesiva a sistemas que pueden actuar sobre otros entornos.
Además, CISA y socios internacionales han publicado una guía sobre la adopción cuidadosa de servicios de IA agéntica, centrada en los riesgos que aparecen cuando estos sistemas operan con permisos, herramientas y capacidad de ejecutar acciones en entornos reales.
La seguridad posagéntica, por tanto, no consiste únicamente en validar prompts o filtrar respuestas. Ese enfoque puede ser necesario, pero no suficiente. Cuando un sistema puede actuar, la organización debe tratarlo como un actor operativo más dentro de su arquitectura.
Esto implica responder a preguntas que hasta ahora no siempre formaban parte de los proyectos de IA: con qué identidad opera cada agente, qué permisos tiene asignados, qué herramientas puede invocar, qué datos puede consultar, qué acciones puede ejecutar sin intervención humana, qué decisiones quedan registradas y cómo se puede revocar, limitar o detener su capacidad de acción.
El NCSC recomienda que la seguridad se incorpore durante todo el ciclo de vida de los sistemas de IA, desde el diseño hasta el despliegue y la operación. Aplicado a agentes de IA, esto se traduce en controles como identidades no humanas diferenciadas, mínimo privilegio, segmentación de herramientas y APIs, supervisión humana en acciones sensibles, trazabilidad de llamadas a sistemas externos y capacidad de contención ante comportamientos inesperados.
La autonomía no elimina la responsabilidad. La desplaza hacia el diseño de la arquitectura, la gestión de permisos y la capacidad de auditoría.
Regulación, trazabilidad y control
El contexto regulatorio también avanza en esa dirección. El AI Act europeo, en vigor desde el 1 de agosto de 2024, establece un marco basado en riesgos y obligaciones diferenciadas según el tipo de sistema. Para los sistemas de alto riesgo, la Comisión Europea contempla requisitos relacionados con gestión de riesgos, calidad de los datos, documentación, transparencia, supervisión humana, precisión, robustez y ciberseguridad.
No todos los agentes de IA serán sistemas de alto riesgo bajo el AI Act. Pero la dirección del marco regulatorio es relevante: cuanto mayor sea el impacto de un sistema sobre personas, servicios públicos, procesos críticos o decisiones sensibles, más importante será demostrar control, supervisión y trazabilidad.
Esta idea conecta con una reflexión que ya hemos abordado en Irontec al hablar de IA conversacional en la Administración Pública: implantar IA no es, por sí mismo, innovar. Innovar implica hacerlo manteniendo control sobre los datos, la arquitectura, la trazabilidad y la experiencia que se ofrece a las personas usuarias.
Con la IA agéntica ocurre algo similar, pero con una consecuencia adicional. Cuando un sistema no solo responde, sino que actúa, no basta con revisar lo que dice. Hay que controlar lo que puede hacer.
Cómo empezar sin sobrerreaccionar
La criptografía poscuántica y la IA agéntica pertenecen a ámbitos técnicos diferentes, pero desde el punto de vista de la ciberseguridad comparten un punto de partida: la necesidad de visibilidad. Prepararse para este escenario no exige sustituir toda la infraestructura de golpe ni desplegar soluciones inmaduras. Exige empezar por acciones concretas y progresivas.
- Construir un inventario criptográfico. Certificados, protocolos, librerías, aplicaciones, dispositivos, mecanismos de firma, canales cifrados e integraciones críticas deben estar identificados y clasificados. El NCSC insiste en que la migración a PQC debe apoyarse en buena gestión de activos, visibilidad sobre sistemas y servicios, e identificación de dependencias en la cadena de suministro.
- Priorizar datos por sensibilidad y vida útil. La preparación poscuántica tiene especial sentido cuando la información protegida hoy seguirá siendo valiosa dentro de años.
- Revisar proveedores y cadena de suministro. Muchas dependencias criptográficas y muchos futuros agentes estarán integrados en productos o servicios externos, por lo que la transición dependerá también de terceros.
- Avanzar hacia arquitecturas criptoágiles, capaces de incorporar nuevos algoritmos o recomendaciones sin depender de rediseños complejos.
- Aplicar seguridad posagéntica desde el diseño: identidades específicas para agentes, permisos mínimos, límites de acción, registros auditables, supervisión humana y capacidad de contención.
Nuestro enfoque
En Irontec trabajamos desde hace años en la intersección entre infraestructura, ciberseguridad, software abierto e innovación aplicada. La computación cuántica no la entendemos como un concepto abstracto, sino como una evolución tecnológica que debe traducirse en decisiones de arquitectura, preparación y casos de uso concretos.
Un ejemplo es MultiQuantum, nuestra plataforma de optimización híbrida cuántico-clásica, diseñada para abordar problemas de optimización discreta en escenarios industriales reales como movilidad, logística o salud. Esta línea de trabajo forma parte de una visión más amplia: aplicar tecnologías avanzadas cuando aportan valor real, manteniendo siempre criterios de control, soberanía y viabilidad técnica.
En paralelo, desde nuestra unidad de Cybersecurity ayudamos a las organizaciones a detectar, prevenir y contener amenazas que puedan comprometer la continuidad del negocio. Esto incluye ciberseguridad defensiva y ofensiva, monitorización, arquitectura segura, evaluación de riesgos y acompañamiento experto.
La ciberseguridad poscuántica y posagéntica no requiere anticipar escenarios extremos, sino empezar a hacer visible aquello que después será difícil improvisar: dependencias criptográficas, datos de larga vida, identidades no humanas, agentes autónomos, permisos, acciones automatizadas y trazabilidad.
La seguridad que viene no protegerá solo servidores, redes o aplicaciones. También tendrá que proteger decisiones, dependencias y sistemas capaces de actuar dentro de la organización. Cuanto antes se ordene ese mapa, más control tendrá la organización sobre su propia transición tecnológica.
