Las grandes aerolíneas y la próxima gran filtración: por qué la era cuántica convierte los datos personales en un riesgo permanente

El reciente ciberataque a Iberia, originado en el acceso no autorizado a los sistemas de uno de sus proveedores tecnológicos, que ha expuesto datos sensibles como nombres, apellidos, correos electrónicos, teléfonos y números de tarjetas de fidelización, es mucho más que un incidente aislado en una gran aerolínea. Es un recordatorio incómodo de que estamos construyendo gigantescos repositorios de identidad digital cuyo valor no caduca con el tiempo.

Aunque la compañía ha dejado claro que ni las contraseñas ni los datos completos de medios de pago se han visto comprometidos y que no hay evidencias de usos fraudulentos, el alcance potencial de una base de datos con millones de perfiles de viajeros frecuentes es evidente: se trata de una de las fotografías más completas de quiénes somos, cómo nos movemos y con qué frecuencia lo hacemos.

Es en situaciones como esta, la ciberseguridad cuántica pasa de ser una abstracción académica a una importante preocupación. En la práctica, los ordenadores cuánticos aún no tienen capacidad para romper los cifrados que protegen la mayoría de nuestras comunicaciones y transacciones, pero el verdadero riesgo no está en el presente, sino en el medio y largo plazo: “Cosechar ahora, descifrar después”. Esta estrategia basada en el almacenamiento a largo plazo de datos cifrados con la perspectiva de avances en la computación cuántica que permitirá su descifrado en el futuro es ya una realidad.

Un reto de gobernanza y talento

A pesar de que habrá datos que prescriban (como numeraciones de tarjetas de crédito), muchos de los datos personales que gestionan estos actores de sectores críticos (aerolíneas, infraestructuras, administraciones públicas, etc.) no prescriben en la práctica: historiales de viaje, perfiles de fidelización, patrones de consumo vinculados a nuestra identidad.

A diferencia de una base de datos comercial típica, sometida a plazos de conservación más cortos y a una depuración más frecuente, muchos historiales vinculados a servicios esenciales y a obligaciones legales, como los registros de viaje y los programas de fidelización, pueden prolongarse durante años. Si un futuro atacante con capacidad cuántica accede a ellos, no estará ante una filtración más, sino ante una de las mayores bases de datos de identidad digital de un país.

Por eso la conversación que deberíamos extraer de este incidente no es solo “qué ha fallado”, sino “qué estrategia vamos a seguir para llegar a tiempo a la criptografía postcuántica”. Migrar los sistemas críticos a algoritmos resistentes a la computación cuántica no es un ejercicio puramente técnico: es un reto de gobernanza y talento.

Cuál es la lección

¿Quién va a liderar estos proyectos en las organizaciones? ¿Cómo se va a priorizar qué migrar primero? Porque, según el último Quantum Poll de ISACA, más del 95% de las organizaciones aún no tienen una hoja de ruta clara en este ámbito, cuando hablamos de una urgencia del futuro que hay que preparar hoy.

La lección es que cualquier organización, incluso las más maduras y bien preparadas, puede verse afectadas por un incidente similar. Y cuando los datos personales son tan valiosos y duraderos, el impacto de una brecha no termina el día que se notifica.

Las compañías necesitan concienciarse y reconocer que la amenaza es transversal y que el momento para reforzar nuestras defensas es ahora. De ahí la urgencia de fortalecer habilidades, gobernanza y preparación para llegar a tiempo a la criptografía postcuántica. La ventana para actuar sigue abierta, pero no lo estará para siempre.

*Gustavo Frega es Senior Manager Strategy and Business Development, ISACA EMEA