Volver a página de inicio

I. Horizonte de eventos cuánticos

A escala muy pequeña, el mundo se comporta de manera muy diferente a lo que percibimos, por lo que la ciencia cuántica se centró principalmente en comprender las reglas y principios que rigen la realidad física a escala subatómica (1) , creando tecnologías cuánticas de primera generación (1G) (2) . En los tiempos que corren, las innovaciones sobrevivientes generaron la posibilidad recurrir a nuevas formas de medir, controlar y utilizar las propiedades cuánticas de la luz y la materia, permitiendo dar un gran salto cualitativo en el diseño de productos basados en tecnología cuántica, haciéndonos transitar una segunda revolución cuántica, ya que se han creado artefactos culturales (3) de Segunda Generación (2G).

Esta generación de tecnologías se sirve directamente de los fenómenos propios e inherentes a la mecánica cuántica (4) , permitiendo avizorar el potencial de la ciencia de la información cuántica para desarrollar tecnologías de esta naturaleza en diversos ámbitos (5) . Las aplicaciones de tecnología cuántica de Segunda Generación (2G), han posibilitado la resolución de problemas matemáticos y computacionales que van más allá del alcance de la computación clásica, mientras que el mundo en general (6) y la Unión Europea en particular no resulta ajenos a este fenómeno (7) .

A la luz de la «Declaración Europea de Derechos y Principios Digitales» (8) , los estados signatarios de la «European Declaration on Quantum Technologies», revelaron el objetivo de convertir a Europa en el «Valle Cuántico» del mundo, plasmando como objetivo en el «Reglamento de Chips (LA LEY 25225/2023)» (9) , acelerar el desarrollo innovador de chips cuánticos de vanguardia en el marco de una frenética carrera hacia la supremacía cuántica; razón por la que la Asamblea General de las Naciones Unidas ha declarado 2025 como el Año Internacional de la Ciencia y la Tecnología Cuánticas (10) . Ello plantea un haz de retos, oportunidades y desafíos tecnológicos, axiológicos, éticos, jurídicos, sociales, económicos y geopolíticos que obligan a efectuar un enfoque interdisciplinario, extrayendo multifacéticas perspectivas desde las ciencias, la tecnología, la geopolítica, el derecho, las políticas públicas, la ética y —fundamentalmente— la ciberseguridad, planteando interrogantes ciberjurídicos originados en contradicciones sistémicas que muy probablemente estemos conminados a responder autobiográficamente.

En este contexto de humanidad ampliada (11) , signado por esta tecnología que empleada con fines desviados puede erigirse en una nueva arma de destrucción matemática (12) , debemos encontrar soluciones a las contradicciones sistémicas que esta formulando la segunda revolución cuántica, obligados a navegar por el arte de la duda (13) , vislumbrando que será necesario recurrir a un ecosistema legal que incluya marcos horizontales y específicos de la industria, como una Ley de Gobernanza Cuántica o un Tratado Global Cuántico (14) producto de las ramificaciones de poder y tensiones geopolíticas (15) que este tema genera y teniendo en cuenta que ello constituye una alta prioridad para la soberanía de la UE como se destaca en la recientemente publicada Estrategia Europea de Seguridad Económica (16) .

II. Dimensión técnica: ¿Que es la Computación Cuántica?

Tratar de responder este interrogante, nos sumerge en el análisis —cuando menos superficial— de pequeños fenómenos con enormes implicancias para nuestra vida cotidiana. La mecánica y las ciencias de la información, son campos que forman parte de la Ciencia de la Información Cuántica (CIC), disciplina que consiste en la fusión de la cuántica y la teoría de la información (17) . Los tres conceptos más importantes de la Ciencia de la Información Cuántica (18) y con base en los cuáles se ha desarrollado toda las tecnología cuánticas son: el principio de incertidumbre, el de entrelazamiento y de superposición; a los que debe adicionarse la dosis de decoherencia siempre presente en ecosistemas cuánticos.

Una de las particularidades de esta disruptiva tecnología, reside en la utilización del bit cuántico -conocido como qubit (19) —, que es la unidad fundamental de información dentro de una computadora cuántica. El qubit (20) comparte algunas similitudes con el bit, pero a diferencia de los bits clásicos, que solo pueden existir en uno de dos estados (0 o 1), los qubits (21) pueden existir simultáneamente en una superposición de los múltiples estados (22) habidos entre los krets cero y uno; a través de un concepto —la incertidumbre— y tres principios o propiedades: la superposición, el entrelazamiento y la interferencia cuánticos (23) , que permiten a las computadoras cuánticas realizar ciertos cálculos exponencialmente más rápido y de modo increíblemente más eficiente que las computadoras clásicas siendo esta posibilidad lo que hipertrofia exponencialmente su eficacia, multiplica su velocidad y genera un inimaginable y alarmante poder de cálculo (24) .

III. Diferencias entre clásicas y cuánticas

La primer diferencia entre un tipo de ordenador y otro, radica en su método de cálculo. En las computadoras cuánticas, la superposición de un qubit, les permite realizar cálculos sobre un número exponencial a la vez, una propiedad conocida como paralelismo cuántico. Otra diferencia clave reside en la forma en que se procesa la información, las cuánticas, pueden emplear algoritmos probabilísticos, que pueden producir diferentes salidas con ciertas probabilidades. También hay diferencias en la utilización de puertas lógicas. Una computadora cuántica opera de manera similar pero utiliza puertas lógicas cuánticas como CNOT, Pauli, Hadamard, Toffoli y SWAP (25) , entre otras.

A medida que el hardware cuántico continúa mejorando en número de qubits físicos y lógicos, otorgando mayor conectividad y disminuyendo las tasas de error y se desarrollan lenguajes de programación cuánticos (26) -por caso, en FJQuantum,ProjectQ, pyQuil, Qiskit, BlackBird, QuantumOptics, OpenQl,Silq-, sumado al desarrollo de arquitectura de computación cuántica en la nube (27) accesible para cualquier sujeto, incrementan los riesgos que se avizoran en el cercano horizonte de eventos cuánticos.

IV. El «Q» Day

Este término se ha utilizado para referirse a una fecha futura hipotética en la que una computadora cuántica criptográficamente relevante será capaz de descifrar los algoritmos criptográficos que se utilizan para proteger cifrando gran parte de las comunicaciones y datos digitales actuales (28) . Casi todas las comunicaciones de Internet hoy en día utilizan criptografía de clave pública (PKC), donde el reconocido algoritmo asimétrico RSA, es la base de cada sesión web segura con HTTPS o cifrado de mensajería instantánea, sustentado en la dificultad de resolver problemas matemáticos de factorización de enteros y cálculo de logaritmos discretos (29) . Si bien el cifrado existente puede parecer robusto, sería fácil de sortear para una gran computadora cuántica criptográficamente relevante (CRQC), lo que representa un riesgo significativo para la seguridad de los sistemas y datos que se almacenan, por lo que los esfuerzos en el desarrollo de criptografía resistente a la computación cuántica buscan mitigar estos riesgos que tendrán un gran impacto en la ciberseguridad (30) .

V. Riesgo actual: «Steal Now, Decrypt Later»

En esta frenética carrera por la supremacía cuántica, es sabido que los estados nación están construyendo computadoras cuánticas que podrían llegar a ser utilizadas como armas de destrucción matemáticas (31) . En otras palabras, el primer estado que logre poner en línea una computadora cuántica criptográficamente relevante y con suficiente potencia para crackear el cifrado podría tener un control global sin precedentes al alcance de su mano. Toda la información privada y secreta que viaja a través de Internet estará disponible para cualquier sujeto que tenga este poder. Esto incluye secretos nacionales, datos de atención médica, información financiera y bancaria, así como acceso a infraestructura como redes de energía, comunicaciones por satélite y suministro de agua.

Algunas naciones se están apoderando de grandes cantidades de datos encriptados, que se descifrarán cuando se disponga de una computadora cuántica con suficiente potencia (32) . Este estado de peligro latente, denominado «Steal Now, Decrypt Later» (SNDL) (33) , describe el apoderamiento y almacenamiento de datos por la grandes potencias, para una fecha futura cuando cuenten con sistema que puedan descifrar, ver y utilizar esos datos e implementar algoritmos de descifrado eficientes que permitan descifrar los criptosistemas generalizados (34) .

VI. Preguntas, no respuestas

Convencido de que la labor científica consiste esencialmente en tener buenas dudas, cuestionarse y generar preguntas de calidad, porque el científico es parte del sector de la humanidad que tiene preguntas, no respuestas; que mejor estrategia que transitar los desafíos ciberjurídicos que el tránsito por la era post cuántica nos depara, en un decálogo de preguntas aún sin respuestas.

El primer interrogante que asoma, al atravesar el horizonte de eventos cuánticos, consiste en preguntarnos ¿habrá un modelo de buen cibersujeto cuánticamente resiliente como estándar de conducta? Recordemos que el Código Civil Español ha construido el sistema de responsabilidad civil, con fundamento en la culpa (35) y con base en la arquitectura que le proporciona los artículos 1902, 1104 y 1105 es posible afirmar con Acevedo Prada que el referido sistema requiere «…aparte de la previsibilidad a la imputación subjetiva o culpa, una evitabilidad que previsto un posible resultado dañino para un tercero derivado de su conducta activa u omisiva, el sujeto no empleó todos los medios posibles para evitarlo…» (36) .

Frente al horizonte de eventos cuánticos que se avecina, es evidente que el sujeto que empleo todos los medios posibles para poder evitar las consecuencias derivadas de un ciberataque cuántico, podría ser caracterizado como un cibersujeto cuánticamente diligente o resiliente, remitiendo a uno de los estándares de conducta (37) que han sido objeto de minucioso estudio por la doctrina.

En esta senda, muy recientemente la sala de lo penal del Tribunal Supremo, destacó una conclusión que ineludiblemente debe ser compartida, habida cuanta que sostuvo que «…Estas personas, naturales o jurídicas, han de ser conscientes del deber de velar por la observancia de las prescripciones reglamentarias o de consagrado uso que regulan las actividades que tienen lugar en el seno de los establecimientos o empresas de su pertenencia o titularidad. La omisión o desentendimiento, aparte de guardar relación con el lamentable suceso, tienen que ser de probada significación en la suscitación del "hecho punible cometido, de modo que éste no se hubiera producido sin dicha infracción". Relación causal que de no alcanzar necesariamente un grado de exclusividad, bastando llegar a una conclusión de propiciación y razonabilidad en la originación del daño…» (38) .

El interrogante que surge a continuación es donde hallar las pautas a las que debe ceñirse el referido estándar de conducta. Las respuestas podría ser halladas, en los estándares de cifrado post-cuántico diseñados por NIST (39) o las recomendaciones condensadas en «Special Publication 800» (40) o bien, los estándares legales cuánticos resilientes contenidos en frameworks como ISO/IEC 23837 (41) .

De acuerdo a estas consideraciones, es evidente que el interrogante ¿Deben adoptarse estándares legales cuánticos resilientes como ISO/IEC 23837 o NIST SP 800-227? debe ser respondido positivamente, máxime si se tiene en cuenta que la adopción de cualquiera de los algoritmos resistentes a la criptografía post quántica (42) que son ejes centrales de los FIPS 203, 204 y 205, únicos disponibles en la actualidad; permitiría concluir a cualquier Magistrado que el sujeto ciberatacado —en los términos del artículo 1105 del Código Civil (LA LEY 1/1889) Español— empleó todos los medios posibles para evitarlo (43) .

El tercer interrogante que se plantea, nos conduce a plantear como hipótesis, si ¿debe repensarse la fuerza mayor tecnológica como eximente de responsabilidad? Esta problemática, que ya se ha planteado en el ámbito del derecho laboral (44) y en materia de prescripción (45) , ha arrojado como conclusión que los ciberataques son cada vez más frecuentes, descartando que pueda configurarse la imprevisibilidad que exige el artículo 1105 del Código Civil (LA LEY 1/1889) Español (46) , pero si reconociendo el Tribunal Supremo que pueda configurarse el supuesto de inevitabilidad o irresistibilidad (47) .

Si se repara en que recién a partir del año 2024 (48) existe criptografía post cuántica que podría resistir un ataque de esta naturaleza y que inclusive con estos recursos, cualquier sujeto podría ser víctima de un ataque del tipo «steal now decrypt later» (49) mediante información recogida y almacenada antes de la disponibilidad de criptografía post cuántica; tal vez, esta institución —la fuerza mayor— debería ser repensada en clave cuántica.

Desde la perspectiva de la protección de los usuarios y consumidores ¿nos encontraremos ante la gestación de una obligación de ciberseguridad cuántica? Si se tiene en cuenta la reformulación que la obligación de seguridad ha tenido en materia de protección de usuarios y consumidores (50) producto de la sanción de la Ley 4/2022 (LA LEY 3148/2022) de protección de los consumidores y usuarios frente a situaciones de vulnerabilidad social y económica (51) ; ninguna duda cabe que los proveedores de bienes y servicios deberá adoptar mecanismo de criptografía post cuántica para que los bienes que generen y los servicios que presten, resulten seguros desde la perspectiva cuántica o quantum safe.

Ante el panorama normativo generado por frameworks legales como la Cyber Resilience Act (CRA) (52) , la Digital Operational Resilience Act (DORA) (LA LEY 26819/2022) (53) y NIS2 (54) , el interrogante vinculado a si ¿seráposible exigir certificaciones de resiliencia cuántica a proveedores?, debe ser respondido positivamente.

Habrá ¿que adoptar protocolos de respuesta específicos ante data breach cuánticos? A medida que se desarrolla la computación cuántica generando hardware mas estable y software adecuado, también ha evolucionado el Quantum Hacking (55) . De modo tal que, debe reparase en que los gobiernos han comenzado a abordar las tecnologías cuánticas como parte de una infraestructura crítica, lo que significa no sólo invertir en la protección de estos sistemas contra el espionaje y el sabotaje, sino también el diseño de protocolo de respuesta específicos ante el acaecimiento de un data breach cuántico (56) .

Dos interrogantes íntimamente vinculados, también merecen una respuesta positiva. En efecto, preguntarse si ¿los Smart contracts deberían ser objeto de auditorías cuánticas obligatorias? o ¿Una iniciativa en blockchain debería contar con una evaluación de riesgos cuánticos? implica reparar en que más allá del clickbait (57) de la noticia, se puede avizorar el horizonte donde es muy factible que pueda quebrarse la infraestructura de criptografía empleado por la arquitectura blockchain; de modo tal que algunos estudios interesantes como «Project Leap: quantum-proofing the financial system» (58) recomiendan auditorias o estudios de evaluación de riesgos para sistemas basados en tecnología DLT.

Si se repara en la fisonomía de los contratos de seguros de riesgos cibernéticos (59) y nos preguntamos si ¿se deben actualizar las pólizas de ciberriesgo para incluir amenazas cuánticas como siniestros?, seguramente sea una cuestión a debatir en nuestras coordenadas de tiempo y lugar (60) . Aunque cada vez existe una mayor concienciación y prevención en lo que se refiere a los ciberriesgos, las empresas no deberían pensar que son capaces de llevar a cabo esta labor completamente por sí solas, pues hay contingencias que no podrán ser controladas y que terminarán teniendo un impacto que deberá ser cubierto para que este tenga la menor repercusión posible (61) . En base a ello, en los últimos años ha sido también notable el auge de los ciberseguros (62) como herramienta de protección contra eventos no esperados que derivan en grandes impactos para las empresas y que —inexorablemente— deberán tener en cuenta las amenazas cuánticas en ciernes (63)

Tal vez ante el exponencial desarrollo de esta tecnología y las obligaciones que puedan surgir para los proveedores de bienes y servicios el interrogante vinculado a si ¿surgiráuna nueva profesión: el Oficial Responsable de Criptografía Post Cuántica (PQC)?, de paso a la gestación de una nueva figura jurídica relevante, en el proceso de prevención, mitigación y reparación de un eventual ciberataque cuántico.

VII. El Imperativo Cuántico

En la construcción de las bases y puntos de partida éticos que permitan elaborar un ordenamiento jurídico cuántico, no deberían ser soslayados los postulados que dimanan del Imperativo Cuántico. Esa es la denominación con la que un grupo de investigadores de la Universidad de Lund (64) en Suecia, ha individualizado al haz de principios que debe guiar la labor de los desarrolladores de la computación cuántica y de las naciones que se disputan la supremacía cuántica; esto es, el llamado Imperativo Cuántico.

Este pretendido imperativo categórico, implica que los organismos reguladores, los desarrolladores y las naciones que disputan la supremacía cuántica, deben asegurarse de que la computación basada en esta tecnología: no sea creadora ni exacerbe la desigualdad, que no menoscabe la autonomía individual de la personalidad y que repare en la opinión de aquellos cuyos intereses puedan verse afectados al aplicar tecnologías cuánticas (65) ; necesariamente complementados con otros principios que surgen del análisis de fuentes extranjeras (66) y de contextos del derecho comparado (67) , que tengan como norte fortalecer la solidaridad internacional (68) ; como lo plantea la COMEST de la Unesco, en un documento titulado «Sobre la Ética de la Computación Cuántica» (69) .

VIII. Cerrando sesión

De algún modo, los requerimientos que los pliegues y repliegues de una intensa trayectoria vital ofrecen, indican que es tiempo de cerrar sesión soltando este pequeño aporte; no porque esté terminado, sino porque su autor se ha cansado de corregirlo. A medidas que estas líneas pierden el pulso, la interminable secuencia de interrogantes que genera el arte de la duda (70) , al vislumbrar el cúmulo de ciberdesafíos que plantea el horizonte de eventos cuánticos que se avecina, nos obligan a replantearnos algunas ideas y preguntarnos: ¿hemos comenzado el tránsito hacia un ordenamiento jurídico de tono cuántico?

A la sombra de esa duda, solo cabe recordar que el avance en el desarrollo de cualquier ciencia, no depende tanto de encontrar las respuestas correctas (71) , sino —en todo caso— de formularse las preguntas adecuadas (72) ; toda vez que es probable que dicho ejercicio nos conduzca a lograr adoptar una particular visión y forma de pensar, que permita ubicar a la tecnología quántica como una aliada y no convertirla en la puerta de ingreso a una distópica versión del presente anhelado.