La conversación que debemos extraer no es solo “qué ha fallado”, sino “qué vamos a hacer para llegar a tiempo a la criptografía postcuántica”
Seguir en
El reciente ciberataque sufrido por Iberia, provocado por el acceso no autorizado a los sistemas de uno de sus proveedores tecnológicos, que ha expuesto datos como nombres, apellidos, correos electrónicos, teléfonos y números de tarjetas de fidelización, representa mucho más que un hecho aislado para una aerolínea de gran escala. Es un recordatorio claro de que se están generando enormes repositorios de identidad digital cuyo valor no desaparece con el tiempo.
Aunque la empresa ha asegurado que ni las contraseñas ni la información completa de métodos de pago se han visto comprometidas, y que no existen indicios de usos fraudulentos, el alcance potencial de una base de datos con millones de perfiles de viajeros frecuentes es indudable: constituye una de las imágenes más detalladas sobre quiénes somos, cómo nos desplazamos y con qué frecuencia realizamos esos movimientos.
Es en este punto donde la ciberseguridad cuántica deja de ser un concepto puramente teórico. Actualmente, los ordenadores cuánticos no cuentan con la capacidad para romper los cifrados que resguardan la mayoría de nuestras comunicaciones y transacciones, pero el peligro real radica no en el presente, sino en el “robar ahora para descifrar después”: almacenar datos cifrados hoy para explotarlos cuando la tecnología lo posibilite.
Los ciberataques contra operadores esenciales aumentaron un 43% en España durante 2024 y continúan en ascenso.
Un desafío de gobernanza y talento
Mientras tanto, numerosos datos personales gestionados por actores de sectores críticos (aerolíneas, infraestructuras, administraciones públicas) no prescriben en la práctica: registros de viaje, perfiles de fidelización, patrones de consumo asociados a nuestra identidad. A diferencia de una base de datos comercial convencional, que está sujeta a periodos de conservación más breves y depuraciones frecuentes, muchos historiales vinculados a servicios esenciales y a obligaciones legales, como los registros de viaje y los programas de fidelización, se mantienen durante años. Si un futuro atacante con capacidad cuántica accede a ellos, no se tratará solo de una filtración común, sino de una de las bases de datos más extensas de identidad digital del país.
Por ello, la conversación que debería surgir de este incidente no es únicamente “qué falló”, sino “qué vamos a hacer para adoptar a tiempo la criptografía postcuántica”. La migración de los sistemas críticos a algoritmos resistentes a la computación cuántica va más allá de una cuestión técnica: implica un desafío en términos de gobernanza y talento.

¿Quién liderará estos proyectos dentro de las organizaciones? ¿Cómo se determinará qué migrar primero? Según el último Quantum Poll de ISACA, más del 95% de las organizaciones aún no cuentan con una hoja de ruta definida en este ámbito, a pesar de tratarse de una urgencia futura que debe prepararse desde ahora.
La enseñanza de lo ocurrido en el caso Iberia no es que la crisis ya se haya consumado, sino que aún existe tiempo para impedir que el próximo incidente mayor, junto con la capacidad de un ordenador cuántico, transforme los datos personales más sensibles en un recurso permanente en manos equivocadas.
*Gustavo Frega es Senior Manager Strategy and Business Development, ISACA EMEA
