Seguridad cuántica e IA en minería y energía en Chile

La computación cuántica todavía suena “de laboratorio”, pero su impacto más concreto ya está en la mesa: la criptografía que protege datos críticos podría quedar expuesta en un horizonte que muchas organizaciones subestiman. De hecho, el Informe de Preparación de Kyndryl 2025 mostró un dato incómodo: solo el 4% de los líderes cree que la tecnología cuántica tendrá el mayor impacto en sus negocios en los próximos tres años. Ese desajuste entre riesgo real y percepción es peligroso, especialmente en industrias donde un incidente no solo cuesta dinero: puede frenar faenas, afectar la continuidad energética o abrir flancos regulatorios.

En esta serie sobre cómo la IA está transformando el sector minero y energético en Chile, suele hablarse de optimización de procesos, automatización, mantenimiento predictivo y analítica avanzada. Todo cierto. Pero hay una pieza que muchas compañías dejan para el final: seguridad. Y la realidad es simple: mientras más IA y más datos operacionales (OT/IT) integremos, más grande es la superficie de ataque. Si a eso le sumamos el salto cuántico, la conversación cambia de “mejorar” a sobrevivir con resiliencia.

A partir del anuncio del servicio de Evaluación de Seguridad Cuántica de Kyndryl (publicado el 17/12/2025), vale la pena aterrizar qué significa esto para minería y energía en Chile: cómo se prioriza el riesgo criptográfico, qué sistemas suelen ser el talón de Aquiles, y cómo se integra una hoja de ruta post-cuántica con programas de IA y marcos como Zero Trust.

Seguridad cuántica: el problema ya no es teórico

La seguridad cuántica es la preparación para un escenario en que ciertos métodos criptográficos actuales pueden volverse vulnerables frente a sistemas cuánticos avanzados. El punto no es “cuándo habrá un computador cuántico perfecto”, sino que los datos robados hoy pueden descifrarse mañana (un riesgo comúnmente asociado a estrategias de “cosechar ahora, descifrar después”).

En minería y energía esto pega donde más duele:

• Telemetría y operación: señales de control, historiales de sensores, parámetros de proceso.
• Identidad y acceso: credenciales, certificados, llaves de API, autenticación entre servicios.
• Datos comerciales y regulatorios: contratos, auditorías, reportes, información de clientes y proveedores.
• Modelos de IA y sus datos: datasets de entrenamiento, features, y resultados de optimización que revelan “cómo operas”.

Una idea que he visto funcionar en terreno: dejar de tratar la seguridad cuántica como un proyecto de criptografía y abordarla como un programa de continuidad operacional. En sectores críticos, el objetivo no es “cumplir con un estándar”, sino mantener producción y suministro con trazabilidad y control.

Por qué la IA amplifica el riesgo (y también la solución)

La IA amplifica el riesgo porque depende de más datos, más integraciones y más automatización. Cada pipeline, cada conector, cada servicio en nube y cada interfaz con terceros es un punto potencial de exposición. Y cuando la IA entra a operación (por ejemplo, optimizando energía, ruteo de camiones, o alertas de seguridad), la presión por disponibilidad hace que se acepten atajos.

Pero también hay una cara positiva: la IA mejora la detección, el priorizado y la respuesta. El error típico es creer que “IA de ciberseguridad” sustituye el orden básico: inventario, clasificación y control criptográfico. No lo sustituye. Lo acelera.

Qué aporta una Evaluación de Seguridad Cuántica (y por qué importa en Chile)

Una Evaluación de Seguridad Cuántica aporta visibilidad: identifica dónde está el cifrado, qué tan crítico es, y qué se rompe si hay que migrarlo. Kyndryl plantea este servicio como un análisis integral del entorno TI para reconocer exposición al riesgo criptográfico y construir una hoja de ruta hacia criptografía post-cuántica (PQC).

En términos prácticos, lo valioso es que no parte por comprar tecnología, sino por responder preguntas incómodas:

• ¿Qué datos deben mantenerse confidenciales por 10–20 años?
• ¿Qué sistemas dependen de algoritmos y llaves que no puedes cambiar rápido?
• ¿Cuántos terceros (proveedores, integradores, plataformas) participan en tus flujos críticos?
• ¿Qué componentes están “olvidados” (mainframe, legados, appliances, túneles VPN antiguos)?

Esto conecta muy bien con el contexto chileno: minería y energía suelen operar con una mezcla compleja de sistemas modernos (nube, analítica, IoT) y legados de larga vida útil. Y esa mezcla suele ser donde se esconde la deuda criptográfica.

Los sistemas que más se repiten como “punto ciego”

El enfoque descrito por Kyndryl menciona componentes típicamente sensibles (pasarelas de pago, bases de datos de clientes, nube, mainframe). En minería y energía, además, suelen aparecer:

• Integraciones OT/IT: puentes entre redes industriales y plataformas corporativas.
• Historians y plataformas SCADA/DCS: bases de datos operacionales con años de información.
• Sistemas de mantenimiento y repuestos: catálogos, órdenes, logística crítica.
• Conectividad remota de proveedores para soporte de equipos.

Si estás empujando IA en operación, el riesgo no es solo “me hackearon”: es me alteraron datos y mi modelo tomó malas decisiones. La integridad se vuelve tan importante como la confidencialidad.

De la teoría a la ejecución: CBOM, riesgo y hoja de ruta post-cuántica

Prepararse para PQC se ejecuta como un programa por fases: inventario criptográfico, clasificación de riesgos y migración planificada. El artículo menciona cuatro capacidades que, bien aplicadas, ordenan el trabajo.

Descubrimiento de cifrado: CBOM para dejar de adivinar

El descubrimiento de cifrado busca identificar todos los métodos criptográficos en servicios, aplicaciones, redes y datos, construyendo una Cryptographic Bill of Materials (CBOM). En la práctica, una CBOM sirve para algo muy concreto: saber qué debes cambiar sin romper producción.

En minería y energía, la CBOM no debería quedarse en “TI corporativa”. Debe incluir, al menos:

• Certificados y TLS entre aplicaciones (incluyendo integraciones con nube).
• VPNs, túneles site-to-site y enlaces de faenas remotas.
• Firmas y cifrado en respaldos (on-premise y nube).
• Llaves y módulos HSM (si existen) y su dependencia con aplicaciones.

Un principio útil: si no puedes listar dónde está tu cifrado, no puedes migrarlo. Y si no puedes migrarlo, tu “plan cuántico” es un PDF.

Clasificación basada en riesgos: priorizar por impacto operacional

La clasificación basada en riesgos ordena qué proteger primero según sensibilidad de datos e impacto empresarial. En sectores críticos, yo priorizaría con una matriz simple:

1. Impacto en continuidad (¿puede parar planta, mina, transmisión, distribución?)
2. Tiempo de remediación (¿cuánto tardas en cambiar llaves, algoritmos o dispositivos?)
3. Exposición a terceros (¿cuántas integraciones dependen de ese cifrado?)
4. Vida útil del dato (¿debe permanecer confidencial por muchos años?)

Aquí suele aparecer una conclusión incómoda: lo más crítico no siempre es lo más moderno. A veces es el componente legacy que “nadie toca” porque funciona.

Hoja de ruta de transformación: migración por fases, no por moda

Una hoja de ruta post-cuántica define el orden de migración hacia estándares resistentes a computación cuántica y hacia agilidad criptográfica. Esa “agilidad” es clave: no se trata de migrar una vez, sino de quedar preparado para rotar algoritmos, llaves y certificados sin proyectos eternos.

Un plan realista para minería y energía suele incluir:

• Fase 1 (0–90 días): CBOM + clasificación de riesgos + definición de “datos de larga vida”.
• Fase 2 (3–9 meses): pilotos PQC en dominios acotados (por ejemplo, PKI interna o ciertos canales críticos).
• Fase 3 (9–18 meses): escalamiento a integraciones con terceros, respaldos, y sistemas legados de alta criticidad.

No se trata de “cambiar todo a la vez”. Se trata de migrar donde el retorno de resiliencia es mayor y el riesgo de caída es menor.

Integración con Zero Trust: seguridad que no depende de la red

Integrar la preparación cuántica con Zero Trust es una decisión práctica: reduce el daño cuando (no si) ocurre una intrusión. En minería y energía, Zero Trust aterriza en cuatro frentes que se sienten de inmediato:

• Identidad fuerte para personas, máquinas y servicios.
• Segmentación y control de movimiento lateral entre entornos.
• Políticas por contexto (dispositivo, ubicación, rol, riesgo).
• Protección de datos con control fino de acceso y cifrado administrable.

Cuando sumas IA (que automatiza decisiones) y conectividad (faenas, subestaciones, proveedores), Zero Trust deja de ser “tendencia” y se vuelve higiene operativa.

Preguntas que hoy sí conviene hacer (tipo “People Also Ask”)

¿La seguridad cuántica reemplaza la ciberseguridad tradicional?

No. La seguridad cuántica es una capa adicional enfocada en riesgos criptográficos. Si hoy tienes brechas básicas (inventario incompleto, parches atrasados, accesos sin MFA, redes planas), PQC no te salva. Primero orden, después migración.

¿Cuándo debería una minera o eléctrica en Chile empezar?

Ahora, si tus datos deben ser confidenciales por muchos años o si dependes de terceros y nube. La preparación temprana reduce costo porque convierte la migración en un ciclo planificado, no en un incendio.

¿Qué relación tiene esto con proyectos de IA?

Directa: la IA necesita datos confiables y canales seguros. Si tu pipeline de datos se compromete, tu modelo aprende mal o decide mal. En entornos industriales eso se traduce en pérdidas reales: energía, productividad, seguridad de personas.

Un camino práctico para empezar en 2026 sin paralizar la operación

Diciembre en Chile suele ser época de cierres, auditorías y planificación del año siguiente. Si estás armando el roadmap 2026, estas acciones suelen ser un buen punto de partida (y no requieren prometer “cuántico” para mañana):

1. Define “datos de larga vida”: qué información no puede exponerse en 10–20 años (contratos, propiedad intelectual, geología, trazabilidad operacional).
2. Levanta una CBOM inicial con foco en sistemas críticos y enlaces con terceros.
3. Alinea seguridad con IA: cada caso de uso de IA debe tener requisitos de integridad, trazabilidad y control de acceso.
4. Prioriza 3–5 migraciones de alto impacto y baja fricción (por ejemplo, PKI interna, ciertos canales TLS, respaldos).
5. Exige readiness a proveedores: si un tercero no tiene plan criptográfico, estás heredando su riesgo.

Frase para llevar a comité: “La seguridad cuántica no es un proyecto de TI; es un seguro de continuidad operacional para la era de la automatización.”

La minería y la energía en Chile están avanzando fuerte en analítica e IA para ser más eficientes y competitivas. Buenísimo. Pero si esa transformación no considera riesgo criptográfico, Zero Trust y una hoja de ruta post-cuántica, se construye sobre arena.

Si tu organización ya está aplicando IA en procesos críticos (optimización energética, mantenimiento predictivo, planificación, seguridad industrial), este es un buen momento para evaluar exposición criptográfica, priorizar y diseñar un plan por fases. La pregunta que dejaría sobre la mesa es directa: ¿tu estrategia de IA está preparada para operar con confianza cuando el cifrado actual empiece a quedar atrás?