Seguridad cuántica: prioridad para minería y energía

Diciembre en Chile suele venir con balances, presupuestos y planes 2026. Y si tu empresa opera en minería o energía, hay un tema que está quedando peligrosamente fuera de la conversación: la seguridad cuántica. No porque los computadores cuánticos ya estén “rompiendo” todo mañana, sino por una realidad más incómoda: la información crítica tiene vida útil larga, y lo que se roba hoy puede descifrarse después.

El 17/12/2025 se anunció un servicio de Evaluación de Seguridad Cuántica orientado a detectar vulnerabilidades criptográficas y construir una hoja de ruta hacia criptografía post-cuántica (PQC). Esa noticia, leída desde nuestra serie “Cómo la IA Está Transformando el Sector Minero y Energético en Chile”, deja un mensaje claro: la digitalización en sectores críticos no se sostiene sin ciberseguridad preparada para la era cuántica. Y la IA, bien aplicada, es parte del “cómo”.

Lo que sigue no es una nota tecnológica para curiosos. Es una guía práctica para líderes de operaciones, TI, ciberseguridad y continuidad operacional en minería y energía: qué cambia con la computación cuántica, por qué importa ahora, y cómo se arma un plan realista (sin gastar a ciegas).

La era cuántica no es un hype: cambia el riesgo criptográfico

La computación cuántica cambia el riesgo porque amenaza los métodos de cifrado más usados para proteger identidad, comunicaciones y datos. El punto no es si “habrá” computación cuántica relevante; el punto es que muchas organizaciones ya están expuestas por su dependencia de criptografía que no fue diseñada para ese escenario.

En industrias como minería y energía, la exposición no se limita a “datos de clientes”. Se trata de:

• Telemetría y control industrial (OT/ICS): señales, comandos, y registros que prueban integridad operacional.
• Modelos geológicos, planes de tronadura, optimización de flota: propiedad intelectual que define ventajas competitivas.
• Contratos, compras, licitaciones y pagos: procesos con impacto directo en caja.
• Identidad y accesos a nubes, redes corporativas, proveedores y equipos en faena.

Frase para llevar a comité: “En infraestructura crítica, el cifrado no es un tema de TI: es continuidad del negocio.”

El riesgo “robar ahora, descifrar después”

Si un atacante captura hoy información cifrada, puede guardarla y descifrarla en el futuro cuando tenga capacidades cuánticas suficientes. Esto es especialmente grave para datos con horizontes largos: documentación de ingeniería, historiales de mantenimiento, trazabilidad ambiental, registros laborales, auditorías y cumplimiento.

En términos simples: no necesitas que el ataque cuántico exista hoy para que tu problema empiece hoy.

Qué aporta una Evaluación de Seguridad Cuántica (y por qué es útil)

Una evaluación cuántica sirve para saber exactamente dónde estás usando criptografía, qué tan crítico es, y cómo migrar por fases a PQC sin parar la operación. El valor está en reemplazar la ansiedad por un mapa: inventario, riesgos priorizados y un plan.

El enfoque descrito en el anuncio apunta a cuatro capacidades que, en sectores críticos, deberían ser estándar.

1) Descubrimiento de cifrado y la “lista de materiales criptográfica” (CBOM)

No se puede migrar a criptografía post-cuántica si no sabes dónde estás cifrando. En minería y energía, el cifrado aparece en lugares que nadie “recuerda”:

• VPN de acceso a faena y a centros de control.
• Certificados en portales de proveedores, APIs, gateways y microservicios.
• Firmas digitales en flujos documentales y sistemas de mantenimiento.
• HSM, llaves en nubes y llaves embebidas en equipos.
• Componentes heredados (incluyendo mainframe o middleware antiguo).

Una CBOM (Cryptographic Bill of Materials) funciona como una BOM industrial: lista algoritmos, librerías, certificados, llaves, vencimientos, dependencias y “dónde vive” el cifrado.

2) Clasificación basada en riesgos (lo crítico primero)

No todo se migra al mismo tiempo; se migra según impacto y exposición. Un buen ranking considera:

• Sensibilidad del dato (seguridad, financiero, PI, personas).
• Exposición (internet, terceros, redes internas, OT).
• Criticidad operacional (parada de planta, riesgo HSE, multas).
• Ventana de cambio (mantenimiento programado vs operación continua).

En la práctica, suelen quedar arriba del backlog:

• pasarelas de pago y facturación,
• bases de datos de clientes y proveedores,
• integraciones con terceros (especialmente en nube),
• entornos con legado que no soportan cambios rápidos.

3) Hoja de ruta de transformación hacia PQC

PQC no es “instalar un parche”; es un plan por fases que combina tecnología, arquitectura y gestión del cambio. Lo sensato es exigir una hoja de ruta con:

1. Quick wins (0–90 días): inventario, políticas, “no más deuda nueva”, pilotos controlados.
2. Migración priorizada (3–12 meses): sistemas expuestos, integraciones externas, identidad.
3. Modernización estructural (12–24 meses): plataformas core, legado, automatización de llaves.
4. Cripto-agilidad: capacidad de cambiar algoritmos/llaves sin rediseñar todo.

La palabra clave es cripto-agilidad: que el negocio pueda adaptarse cuando cambien estándares, proveedores o amenazas.

4) Integración con Zero Trust (sin esto, PQC queda coja)

Zero Trust no es una moda: es el marco práctico para reducir impacto si algo falla. Prepararse para era cuántica funciona mejor si se integra con:

• Identidad fuerte y verificación continua.
• Segmentación (incluida microsegmentación) para evitar movimientos laterales.
• Control de dispositivos (endpoints) y postura de seguridad.
• Protección de datos y monitoreo con contexto.

En minería, esto aterriza en una frase simple: no basta con cifrar; hay que asumir que alguien va a entrar y limitar el daño.

Dónde se cruzan IA, ciberseguridad y cuántica en minería y energía

La IA ya está transformando minería y energía, pero esa transformación aumenta superficie de ataque; por eso IA y seguridad cuántica deben planificarse juntas. Cuando automatizas, conectas y subes datos a la nube, multiplicas integraciones, credenciales, APIs y dependencias criptográficas.

He visto que muchas organizaciones empujan IA por presión de productividad (optimización de flota, predicción de fallas, eficiencia energética) y dejan la seguridad “para después”. Ese orden sale caro.

Casos concretos donde la IA empuja el riesgo criptográfico

• Gemelos digitales y analítica avanzada: mueven datos sensibles entre planta, nube y proveedores.
• Mantenimiento predictivo: integra sensores, gateways y plataformas de IA con credenciales y certificados.
• Optimización de despacho eléctrico: requiere integridad y no repudio en decisiones automatizadas.
• Automatización de reportes ESG y cumplimiento: concentra evidencias; si se exfiltran, el costo reputacional es alto.

Cómo la IA también ayuda a prepararse

Bien usada, la IA reduce tiempos y mejora visibilidad para migrar a PQC. Ejemplos realistas:

• Clasificación automática de activos y datos (CMDB/OT inventory) para acelerar la CBOM.
• Detección de anomalías en tráfico cifrado a partir de metadatos (sin “ver” el contenido).
• Priorización de parches y renovación de certificados con modelos de riesgo.
• Identificación de “shadow IT” y servicios no declarados que usan cifrado obsoleto.

Postura clara: IA sin gobierno de seguridad aumenta velocidad… también para el atacante.

Plan de 90 días: pasos concretos para líderes en Chile

En 90 días puedes pasar de “no sabemos” a un plan ejecutable con presupuesto defendible. La clave es hacer lo suficiente para decidir bien, no intentar “migrar todo” de inmediato.

Semana 1–2: poner el tema en agenda (de verdad)

• Nombrar un sponsor ejecutivo (CIO/CTO/CISO o Gerencia de Operaciones, según estructura).
• Definir alcance: TI + nube + terceros + un primer dominio OT (piloto).
• Acordar criterio de criticidad: seguridad de personas, continuidad, cumplimiento, caja.

Semana 3–6: inventario criptográfico y mapeo de dependencias

• Construir CBOM inicial: certificados, TLS, llaves, librerías, VPN, PKI, firmas.
• Identificar “puntos de dolor”: legado, proveedores, equipos sin soporte.
• Detectar interfaces críticas: pagos, portales, APIs, integraciones con contratistas.

Semana 7–10: ranking de riesgos y quick wins

• Priorizar sistemas “expuestos” y datos de vida larga.
• Congelar deuda nueva: todo proyecto nuevo debe ser “PQC-ready” o al menos “cripto-ágil”.
• Planificar renovación/estandarización de certificados (ordenar la casa ayuda más de lo que suena).

Semana 11–13: hoja de ruta y caso de negocio

• Definir fases, ventanas de mantenimiento y dependencias.
• Costear por dominios (identidad, red, aplicaciones, OT) con hitos claros.
• Alinear con auditoría y compliance (finanzas, datos personales, continuidad).

Si estás en minería o energía, este plan funciona mejor cuando se amarra a un objetivo operativo: menos riesgo de detención, menos exposición con terceros, y más trazabilidad.

Preguntas típicas de gerencias (y respuestas sin humo)

“¿Hay que cambiar todo el cifrado ya?” No. Hay que saber dónde está, priorizar lo crítico y construir cripto-agilidad. Migrar “a ciegas” suele romper integraciones.

“¿Esto es solo para bancos?” No. Minería y energía operan infraestructura crítica y manejan datos sensibles. Además, dependen de terceros y de nube tanto como banca.

“¿PQC reemplaza Zero Trust?” No. PQC fortalece el cifrado; Zero Trust reduce el impacto cuando algo falla. Se complementan.

“¿Qué indicador debería mirar el directorio?” Dos muy útiles:

• % de sistemas críticos con cifrado inventariado (CBOM completo).
• % de integraciones externas priorizadas con plan de migración definido (con fecha y responsable).

Próximo paso: digitalizar sí, pero con seguridad preparada

La señal del mercado es nítida: la preparación cuántica ya entró a la conversación de seguridad corporativa. Y en Chile, donde minería y energía empujan buena parte de la productividad, esa conversación no puede quedarse en el área de TI.

Si tu empresa está invirtiendo en IA para optimización operacional, lo coherente es invertir en paralelo en ciberseguridad y ruta post-cuántica, porque es el mismo mapa: datos, integraciones, nube, terceros y continuidad.

Mi recomendación para cerrar el año es simple: entra a enero con una decisión tomada. ¿Vas a esperar a que tu auditoría o un incidente te obligue, o vas a usar 90 días para ordenar, priorizar y ejecutar?