Archivo del Autor: inza

Avatar de Desconocido

Acerca de inza

Presidente de EAD TRUST, Prestador Cualificado de Servicios Electrónicos de Confianza EIDAS del Grupo Garrigues. Director del Laboratorio de Identidad Digital del Observatorio Legaltech y Newlaw Garrigues - ICADE. Miembro del Grupo de Expertos ENISA Ad Hoc Working Group on EU Digital Identity Wallets Cybersecurity Certification, Presidente de la Comisión Blockchain de AMETIC. Colaboró con la DGTDAJ y el CTEAJE (Justicia) a través de Procesia. Fue Auditor Jefe en TCAB, organismo de Evaluación de Conformidad EIDAS. Pionero de la certificación digital y de la banca electrónica. Fue Vicepresidente de Mobipay (entidad de pagos móviles de BBVA), Director General de Camerfirma y de FESTE (CA de los Notarios) y Director de Redes Distribuidas en Banesto EFT y en Banesto. Fue el primer presidente de AECODI, Asociación del Sector de los Servicios de Confianza Digital.

Retos de adecuación a las normas NIS2, CRA, CER y DORA

Deja un comentario

Las empresas enfrentan riesgos de ciberseguridad, que se complementan con un marco regulatorio que obliga a tomar medidas frente a ellos.

Una de las dimensiones de la actividad de las empresas es ahora, por tanto, el cumplimiento normativo del marco regulatorio de la Unión Europea, que exige conocimientos especializados que es difícil tener en nómina y que hace recomendable tener localizados a especialistas que colaboren con la empresa como consultores externos.

Uno de los primeros pasos es navegar por el laberinto regulatorio, en base a normas ya publicadas y en vigor, otras publicadas que entrarán en vigor más adelante, y otras normas anunciadas, pero cuyos principios ya son conocidos.

En un mundo en el que los ciberataques cuestan miles de millones al año, regulaciones como NIS2, CRA, CER y DORA no son solo «buenas prácticas», sino obligaciones que pueden evitar multas de hasta el 2% de la facturación global.

En este artículo se comentan someramente sus similitudes y diferencias para poder entender el panorama completo.

Resumen de las normas citadas:

  • NIS2 (Directiva (UE) 2022/2555 de Ciberseguridad): Impulsa la ciberseguridad en infraestructuras críticas y servicios digitales esenciales. Aplica a entidades «esenciales» e «importantes» en sectores como energía, transporte, salud e ICT, con énfasis en gestión de riesgos y respuesta a incidentes. Implementación obligatoria desde octubre de 2024. En España existe un Anteproyecto de Ley, ya que la Directiva se tiene que transponer al ordenamiento legal español
  • CRA (Reglamento (UE) 2024/2847 de Ciberresiliencia): Asegura que productos digitales (software, IoT, hardware conectado) sean seguros «por diseño» durante todo su ciclo de vida. Dirigida a fabricantes, importadores y distribuidores; excluye sectores regulados como dispositivos médicos. Plena aplicación en diciembre de 2027.
  • CER (Directiva (UE) 2022/2557 de Resiliencia de Entidades Críticas): Protege infraestructuras críticas contra disrupciones amplias (ciber, físicas, operativas). Cubre 11 sectores clave como energía, banca, salud y transporte; las entidades designadas deben cumplir también con NIS2. Identificación de entidades críticas hasta julio de 2026.
  • DORA (Reglamento (UE) 2022/2554 de Resiliencia Operativa Digital): Enfocada en el sector financiero (bancos, aseguradoras, fintech) y proveedores ICT críticos, para resistir interrupciones digitales. Incluye pruebas de resiliencia y gestión de terceros. Cumplimiento desde enero de 2025. Implica la adecuación de las entidades proveedoras de banca que serán auditadas por las propias entidades financieras.

Estas regulaciones forman un ecosistema complementario, pero su solapamiento puede generar confusión si no se abordan de forma integrada. Todas buscan elevar la resiliencia digital de la UE frente a amenazas crecientes, promoviendo una armonización transfronteriza. Aquí un resumen:

AspectoDescripción Común
Objetivo PrincipalMejorar la ciberseguridad y resiliencia operativa contra riesgos digitales y disrupciones.
Enfoque en RiesgosObligan a evaluaciones de riesgos, gestión de cadena de suministro/terceros y controles técnicos/organizativos.
Reporte de IncidentesRequerimiento de notificación rápida (e.g., 24-72 horas) a autoridades nacionales o europeas.
GobernanzaResponsabilidad de la alta dirección; auditorías regulares y pruebas de vulnerabilidades.
SancionesMultas elevadas (hasta 2% de ingresos globales) y medidas correctivas; obligatorias para entidades en cada ámbito.
ComplementariedadSe solapan (e.g., entidades CER deben cumplir NIS2); alineadas con ISO 27001 para ~80% de medidas.

Estas similitudes significan que una empresa en sectores críticos (como finanzas o energía) podría tener que cumplir varias a la vez.

Desde el punto de vista del consultor, una aportación muy valorada es la realización conjunta con la entidad de un «gap analysis» unificado, lo que ahorra tiempo y recursos!Diferencias: Lo que las Distingue (y por qué Necesita Asesoría Personalizada)Las variaciones radican en alcance sectorial, enfoque y plazos, lo que complica el cumplimiento si no se mapea correctamente. Por ejemplo, un fabricante de IoT cae en CRA, pero un banco en DORA + NIS2 + CER.

AspectoNIS2CRACERDORA
Ámbito/SectorInfraestructuras críticas (energía, salud, ICT); entidades >50 empleados o €10M facturación.Productos digitales (IoT, software); fabricantes/importadores (excluye médicos/vehículos).11 sectores críticos (banca, transporte, agua); entidades designadas por Estados.Sector financiero (bancos, seguros, fintech) + proveedores ICT críticos.
Enfoque ClaveCiberseguridad en redes/sistemas; cooperación UE.Seguridad «por diseño» en ciclo de vida del producto; actualizaciones obligatorias.Resiliencia amplia (ciber + física/operativa); planes de continuidad.Resiliencia operativa digital; pruebas de estrés y riesgos ICT.
Requisitos EspecíficosAuditorías, supply chain, accountability directiva.Manejo de vulnerabilidades, conformidad (propia o por terceros).Estrategias nacionales, evaluaciones cada 4 años, respuesta a incidentes.Framework ICT, testing avanzado, gestión proveedores estricta.
Plazos de CumplimientoOctubre 2024 (ya en vigor en muchos países).Diciembre 2027 (reportes desde 2026).Octubre 2024; identificación hasta 2026.Enero 2025.
Impacto PrincipalAmplio para servicios digitales; ~80% overlap con ISO 27001.Mercado: productos no conformes no se venden en UE.Físico-digital: cubre riesgos no cibernéticos.Financiero: fines hasta €5M para proveedores ICT.

Como se puede apreciar, NIS2 y CER son «hermanas» en infraestructuras (CER es más amplia en riesgos), mientras CRA está «centrada en producto» y DORA tiene clara orientación «financiera».

Hay diferencias en plazos (e.g., NIS2 ya obliga hoy, aunque no esté aprobado el anteproyecto de ley) por lo que es conveniente realizar una evaluación de impacto lo antes posible, teniendo en cuenta las diferentes normas y las peculiaridades de cada empresa.

Planificar la preparación de la empresa a todos estos cambios regulatorios de forma agrupada ayuda a optimizar esfuerzos y a dar un tratamiento unificado, sobre todo al asignar recursos humanos para su gestión, lo que supone ahorro de costes.

Puede contactar con EADtrust si necesita valorar el impacto de la normativa en su empresa y en su industria. Nuestra división de Servicios Profesionales es especialista en Ciberseguridad y ha contribuido a que la propia EADTrust esté certificada en la exigente normativa EIDAS y en diferentes normativas de seguridad certificables : ENS, ISO 27001, ISO 20000-1,…

Es posible ahorrar un 30-50% en costes al integrar el compliance (con un roadmap que cubra NIS2 + DORA en 6 meses). Recuerde que aunque DORA se orienta a entidades financieras, afecta a todos su proveedores.

Si su empresa pertenece a sectores regulados —ya sea fabricando dispositivos, operando infraestructuras o gestionando finanzas— conviene no esperar para pasar a la acción.

iContáctennos llamando al 917160555 para tener un primer diagnóstico del posible impacto regulatorio! Nuestros especialistas pueden ayudarle a transformar obligaciones en oportunidades de innovación segura.

Pioneros de la física cuántica al cómputo cuántico

1 respuesta

Al principio de la formación organizada por EADTrust sobre computación cuántica y criptoagilidad se hace un ejercicio para situar cronológicamente figuras claves del desarrollo de la física cuántica y presentar el debate entre expertos al que dieron lugar estos pioneros. Aquí presento una breve reseña de algunos de los físicos precursores de esta ciencia que tiene algo «mágica»:

  • Max Planck (1858–1947): Introdujo el concepto de cuantización de la energía en 1900 al resolver el problema de la radiación del cuerpo negro, proponiendo que la energía se emite en paquetes discretos llamados «cuantos». Esto sentó las bases de la mecánica cuántica.
  • Arnold Sommerfeld (1868-1951): A veces llamado «el maestro de la cuántica». Aunque su modelo atómico fue superado, fue el mentor directo de Heisenberg, Pauli, Debye y Bethe. Introdujo el segundo número cuántico (azimutal) y la constante de estructura fina. Es el gran «padrino» que conecta a la generación anterior (Planck/Einstein) con la joven (Heisenberg/Pauli).
  • Albert Einstein (1879–1955): En 1905, explicó el efecto fotoeléctrico postulando que la luz se comporta como partículas (fotones) con energía cuantizada, lo que le valió el Nobel en 1921. También criticó aspectos de la interpretación cuántica (paradoja EPR en 1935), impulsando debates sobre la completitud de la teoría.
  • Niels Bohr (1885–1962): Desarrolló el modelo atómico cuántico en 1913, incorporando cuantos de energía para explicar los espectros atómicos. Fundador de la interpretación de Copenhague, enfatizó el principio de complementariedad (onda-partícula) y mentorizó a generaciones de físicos cuánticos.
  • Louis de Broglie (1892–1987): En 1924, propuso la dualidad onda-partícula para la materia (hipótesis de De Broglie), sugiriendo que las partículas como electrones tienen propiedades ondulatorias, verificado experimentalmente y base para la mecánica ondulatoria.
  • Satyendra Nath Bose (1894-1974): Su trabajo dio pie a la estadística de Bose-Einstein y al concepto de «bosón». Sin él, la mitad de las partículas del universo (los bosones, portadores de fuerza) no tendrían nombre. Einstein expandió su trabajo, pero la chispa fue de Bose.
  • Werner Heisenberg (1901–1976): Formuló la mecánica matricial en 1925 y el principio de incertidumbre en 1927, que establece límites fundamentales al conocimiento simultáneo de posición y momento. Pionero de la mecánica cuántica no conmutativa.
  • Erwin Schrödinger (1887–1961): Desarrolló la mecánica ondulatoria en 1926 con su ecuación de onda (ecuación de Schrödinger), equivalente a la de Heisenberg, describiendo la evolución temporal de sistemas cuánticos. Introdujo el famoso «gato de Schrödinger» para ilustrar superposiciones.
  • Max Born (1882–1970): Interpretó la función de onda de Schrödinger como una densidad de probabilidad en 1926, fundamentando la interpretación probabilística de la cuántica. Colaboró con Heisenberg en la mecánica matricial y ganó el Nobel en 1954.
  • Wolfgang Pauli (1900–1958): Enunció el principio de exclusión en 1925, explicando la estructura electrónica de los átomos y la tabla periódica. Predijo el neutrino en 1930 y contribuyó a la teoría cuántica de campos con el teorema de espín-estadística.
  • Paul Dirac (1902–1984): Formuló la ecuación relativista del electrón en 1928 (ecuación de Dirac), prediciendo la antimateria (positrones, confirmados en 1932). Unificó cuántica y relatividad especial, y desarrolló la notación de bra-ket en mecánica cuántica.
  • John von Neumann (1903–1957): Matemático húngaro-estadounidense que estableció las bases matemáticas rigurosas de la mecánica cuántica en 1932, formalizando la teoría con espacios de Hilbert y operadores lineales. Introdujo la matriz densidad para estados mixtos y demostró la imposibilidad de variables ocultas deterministas. Su trabajo fue fundamental para la teoría de la medición cuántica y la información cuántica posterior.
  • Eugene Wigner (1902–1995): Físico húngaro-estadounidense que aplicó la teoría de grupos y simetrías a la mecánica cuántica, demostrando cómo las leyes de conservación derivan de simetrías fundamentales. Contribuyó a la teoría de reacciones nucleares y planteó la paradoja del «amigo de Wigner» sobre el rol del observador en la medición cuántica. Nobel en 1963.
  • Enrico Fermi (1901–1954): Contribuyó a la teoría cuántica de la radiación y la desintegración beta (interacción débil) en los años 1930. Desarrolló la estadística de Fermi-Dirac para partículas con espín semientero, clave en física de partículas y condensados.
  • Ettore Majorana (1906–1938?): Físico teórico italiano, miembro del grupo de Fermi en Roma. En 1937 propuso los fermiones de Majorana (partículas neutras que son su propia antipartícula), idea que anticipó propiedades del neutrino y hoy es clave en computación cuántica topológica. Su ecuación describe partículas relativistas sin masa y contribuyó a fuerzas nucleares de intercambio. Desaparecido misteriosamente en 1938 a los 31 años, sus ideas inspiran los qubits más estables del futuro.
  • Richard Feynman (1918–1988): Propuso la integral de caminos en 1948 como formulación alternativa de la mecánica cuántica, y desarrolló los diagramas de Feynman para electrodinámica cuántica (QED) en los 1940-1950, renormalizando la teoría. Nobel en 1965. En 1982: propuso usar sistemas cuánticos para simular otros sistemas cuánticos de manera eficiente, idea seminal que inspiró directamente la computación cuántica práctica.
  • Roy Glauber (1925–2018): Fundador de la óptica cuántica moderna con su teoría de coherencia cuántica de 1963. Introdujo los estados coherentes que describen matemáticamente el láser en términos cuánticos, esenciales para información y comunicación cuántica con fotones. Nobel en 2005 por su contribución a la teoría cuántica de la coherencia óptica.
  • Murray Gell-Mann (1929–2019): Propuso el modelo de quarks en 1964, revolucionando la física de partículas al identificar las partículas fundamentales que componen protones y neutrones. Desarrolló la cromodinámica cuántica (QCD) que describe la fuerza nuclear fuerte. Nobel en 1969 por sus contribuciones a la clasificación de partículas elementales mediante el «camino óctuple».
  • John Bell (1928–1990): Demostró las desigualdades de Bell en 1964, probando experimentalmente la no localidad cuántica y refutando variables ocultas locales, impulsando tests de la mecánica cuántica vs. teorías clásicas.
  • Alain Aspect  (1947-): ​Físico experimental, de nacionalidad francesa, laureado con el Premio Nobel de Física en 2022 junto con Anton Zeilinger y John Clauser por sus experimentaciones con fotones entrelazados. Aspect realizó experimentos que confirmaron el teorema de Bell.

Cabría citar también a

  • Pascual Jordan (coautor con Born y Heisenberg de la mecánica matricial).
  • Wolfgang Heitler, Paul Ehrenfest (formaron y consolidaron junto con Arnold Sommerfeld la primera generación cuántica).
  • Julian Schwinger y Sin-Itiro Tomonaga (pioneros de la QED junto a Feynman).

En la lista de físicos merece la pena relacionar a los que con sus investigaciones han supuesto avances en la computación cuántica:

  • Paul Benioff (1930-2022): En 1980 demostró que una computadora clásica teórica (Máquina de Turing) podía describirse mecánicamente de forma cuántica sin disipar energía. A menudo se le atribuye el primer modelo teórico reconocible de un ordenador cuántico, incluso antes de la famosa charla de Feynman de 1981.
  • Yuri Manin (1937-2023): En su libro Computable and Uncomputable (1980), expresó la idea de la simulación cuántica casi al mismo tiempo que Feynman. Es interesante para mostrar que la idea estaba «en el aire» en la comunidad matemática soviética y occidental simultáneamente.
  • Stephen Wiesner (1942-2021): Es el «padre intelectual» de Bennett y Brassard (BB84). En los 60 (aunque publicado en los 80) inventó la «codificación conjugada», que es la base directa de la criptografía cuántica y del dinero cuántico. Bennett y Brassard se basaron explícitamente en sus ideas para crear el protocolo BB84.
  • Rainer Blatt (1952–): Líder mundial en computación cuántica con iones atrapados, director del instituto en Innsbruck. Ha logrado récords de fidelidad en puertas cuánticas (>99.9%) y demostró los primeros algoritmos cuánticos con iones. Sus técnicas son estándar en empresas como Alpine Quantum Technologies (AQT).
  • David Deutsch (1953–): Considerado el «padre de la computación cuántica». En 1985, propuso el modelo universal de computadora cuántica (basado en qubits y puertas cuánticas), demostrando que puede simular cualquier proceso físico con eficiencia superior a las computadoras clásicas. Fundamentó la ventaja cuántica teórica.
  • Peter Shor (1959–): En 1994, desarrolló el algoritmo de Shor, que factoriza números enteros grandes en tiempo polinomial en una computadora cuántica, rompiendo criptosistemas como RSA. Esto impulsó la inversión global en hardware cuántico y la criptografía post-cuántica.
  • Seth Lloyd (1960–): Profesor en MIT, propuso en los años 1990 modelos de computadores cuánticos universales basados en interacciones locales. Pionero en algoritmos cuánticos para simulación de sistemas químicos y físicos, demostrando ventajas exponenciales. Desarrolló protocolos de comunicación cuántica y contribuyó a la termodinámica cuántica
  • Lov Grover (1961–): Creó el algoritmo de Grover en 1996, que ofrece aceleración cuadrática en búsquedas no estructuradas (de (O(N)) a O(N)O(\sqrt{N})O(\sqrt{N})). Aplicado en optimización, machine learning cuántico y bases de datos.
  • Charles Bennett (1943–): Además de co-inventar con Charles Bennett el protocolo BB84 para criptografía cuántica (distribución segura de claves usando polarización de fotones)., lideró en 1993 el descubrimiento teórico de la teleportación cuántica, demostrando que estados cuánticos pueden transferirse usando entrelazamiento sin violar la no-clonación. IBM Fellow, sus trabajos en teoría de información cuántica sentaron bases conceptuales del campo desde los años 1970.
  • Gilles Brassard (1955–): Nacido en Montreal, Brassard es un científico de la computación y matemático. Obtuvo su doctorado en la Universidad de Cornell y ha sido profesor en la Université de Montréal durante décadas. Mientras Bennett aportaba la intuición física, Brassard aportaba el rigor de la criptografía y la teoría de la complejidad. Ambos son fundadores de la información cuántica, demostraron que la mecánica cuántica habilita comunicación incondicionalmente segura.
  • Artur Ekert (1961–): Propuso en 1991 la criptografía cuántica basada en entrelazamiento (protocolo E91), usando violaciones de desigualdades de Bell para detectar espionaje. Amplió el campo más allá de la polarización a estados entrelazados.
  • Juan Ignacio Cirac (1965–) y Peter Zoller (1952–): En 1995, diseñaron el modelo teórico de computación cuántica con iones atrapados (puertas lógicas usando vibraciones y láseres). Base para los procesadores cuánticos de iones de empresas como IonQ y Honeywell.
  • David Wineland (1944–): Experimentalista que en 2012 ganó el Nobel por manipulación individual de iones para computación cuántica. Demostró puertas cuánticas de alta fidelidad y teletransportación cuántica (2004), pionero en hardware cuántico práctico.
  • Michel Devoret (1953–) y Robert Schoelkopf (1964–): Pioneros en superconductividad cuántica. Desarrollaron circuitos superconductores (qubits transmon) en los 2000, base de los procesadores de IBM Quantum y Google. Lograron coherencia prolongada y corrección de errores.
  • John Preskill (1953–): Acuñó el término «supremacía cuántica» en 2012. Líder en teoría de corrección de errores cuánticos y simulaciones cuánticas. En 2019, Google citó su definición al lograr supremacía con Sycamore (53 qubits).
  • Umesh Vazirani (1959–) y Scott Aaronson (1981–): Teóricos en complejidad computacional cuántica. Vazirani contribuyó a algoritmos y criptografía; Aaronson formalizó clases como BQP y demostró límites de la computación cuántica (e.g., no resuelve NP-completo).
  • Edward Witten (1951–): sus trabajos en teoría de cuerdas y dualidades (especialmente AdS/CFT junto a Maldacena) son hoy herramientas clave para códigos de corrección de errores topológicos y límites fundamentales de la computación cuántica. Único físico con Medalla Fields (1990).
  • Seth Lloyd (1960–): Profesor en MIT, propuso en los años 1990 modelos de computadores cuánticos universales basados en interacciones locales. Pionero en algoritmos cuánticos para simulación de sistemas químicos y físicos, demostrando ventajas exponenciales. Desarrolló protocolos de comunicación cuántica y contribuyó a la termodinámica cuántica.
  • Alexei Kitaev (1963–): Físico ruso-estadounidense, pionero de la computación cuántica topológica. En 1997 propuso códigos topológicos de corrección de errores resistentes a perturbaciones locales y desarrolló la teoría de anyones no abelianos como qubits protegidos. Sus ideas inspiran el proyecto de Microsoft con fermiones de Majorana.
  • Hartmut Neven (1964–): fundador y director de Google Quantum AI desde 2006. Lideró los experimentos Sycamore (2019, primera supremacía cuántica) y Willow (2024–2025), el procesador de 105 qubits con corrección de errores activa. Google Quantum AI es hoy el laboratorio corporativo más avanzado en superconductores.
  • Michelle Simmons (1967–): líder mundial en computación cuántica de silicio atómico. Directora de CQC²T (Australia) y fundadora de Silicon Quantum Computing. Su equipo coloca átomos de fósforo individuales con precisión atómica y en 2023–2025 logró qubits con coherencia récord (>30 s) y fidelidad >99,9 %. Ruta más prometedora para chips cuánticos compatibles con fábricas actuales.
  • Christopher Monroe (1965–): cofundador y chief scientist de IonQ (la empresa de iones atrapados más valuada). Ex-perimentador de NIST, logró en 2023–2025 los primeros algoritmos útiles con corrección de errores en iones y sistemas de hasta 56 qubits físicos con alta conectividad.
  • Juan Maldacena (1968–): propuso en 1997 la correspondencia AdS/CFT, la idea más citada de la física teórica del siglo XXI. Desde 2015 se usa para simular sistemas cuánticos complejos, diseñar códigos holográficos y estudiar caos y complejidad cuántica.
  • Daniel Gottesman (1971–): Desarrolló en 1996 el formalismo de códigos estabilizadores, base matemática para la corrección de errores cuánticos moderna. Unificó familias como códigos de superficie, permitiendo corrección eficiente mediante mediciones. Su trabajo es fundamental en todas las plataformas con corrección de errores activa.
  • Krysta Svore (1976–): directora de Quantum Systems en Microsoft. Lidera el proyecto de computación cuántica topológica basada en fermiones de Majorana. En 2024–2025 Microsoft presentó los primeros qubits topológicos estables y un “logical qubit” con tasa de error 1000 veces menor que los físicos. Ruta que promete millones de qubits con mínima sobrecarga.
  • Rebecca Krauthamer (1991-): fundadora y CPO de QuSecure, líder mundial en criptografía post-cuántica empresarial. Forbes 30 Under 30, miembro del WEF Global Future Council on Quantum Computing. Acelera la adopción real de soluciones híbridas cuántico-clásicas en finanzas, defensa y salud.

Este año 2025 de ha otorgado el Premio Nobel de Física a tres pioneros de la física cuántica aplicada y precursores de la computación cuántica: John Clarke (UC Berkeley), Michel H. Devoret (Yale/Google) y John M. Martinis (UC Santa Barbara). Estos físicos han sido galardonados con el Premio Nobel de Física 2025 “por el descubrimiento del túnel mecánico cuántico macroscópico y la cuantización de la energía en un circuito eléctrico”. El anuncio se realizó el 7 de octubre de 2025 por la Real Academia Sueca de Ciencias.

Durante los años 80, el equipo demostró que circuitos superconductores del tamaño de un chip (uniones Josephson) pueden comportarse cuánticamente como una sola entidad física:

  • Túnel cuántico macroscópico: observaron que la “carga colectiva” del circuito puede atravesar una barrera aislante sin suficiente energía clásica, validando el efecto túnel a escala visible.
  • Cuantización de la energía: mostraron que el circuito solo absorbe o emite energía en niveles discretos (cuantos), igual que un átomo; de facto, un “átomo artificial” fabricado en el laboratorio.

Este resultado resolvió una pregunta histórica: los sistemas macroscópicos también pueden presentar fenómenos cuánticos, si se diseñan y aíslan adecuadamente.

Este premio sigue al Premio de Física 2024 otorgado a Geoffrey Hinton y John Hopfield por su trabajo en redes neuronales y aprendizaje autónomo.

Todavía quedan retos importantes para el desarrollo de la computación cuántica, por lo que veremos que la lista se amplía con nuevos investigadores. Algunas de las líneas de trabajo identificadas son:

  1. Decoherencia Cuántica y Estabilidad de Qubits
    Uno de los desafíos más persistentes es la decoherencia, donde los qubits —las unidades básicas de información cuántica— pierden su estado superpuesto o entrelazado debido a interacciones mínimas con el entorno, como vibraciones, cambios de temperatura o ruido electromagnético. Esto ocurre en milisegundos o menos, limitando la duración de los cálculos cuánticos. En 2025, los sistemas NISQ (Noisy Intermediate-Scale Quantum) operan con 50-1.000 qubits, pero la coherencia promedio es de solo microsegundos, lo que hace imposible ejecutar algoritmos complejos sin errores masivos.
    Impacto: Requiere entornos ultrafríos (cerca del cero absoluto) y aislamiento perfecto, lo que complica el diseño de hardware. Empresas como IBM y Google están experimentando con qubits superconductoros y de iones atrapados para extender la coherencia, pero el progreso es gradual.
    Progreso reciente: En noviembre de 2025, un equipo de Harvard-MIT demostró corrección de errores mediante «teleportación cuántica», transfiriendo estados cuánticos sin contacto físico, un paso hacia arquitecturas escalables.
  2. Corrección de Errores Cuánticos
    La corrección de errores es un cuello de botella crítico, ya que los qubits son inherentemente ruidosos y propensos a fallos (tasas de error del 0,1-1% por operación). A diferencia de los bits clásicos, que se corrigen fácilmente con redundancia simple, los qubits requieren códigos complejos como el Surface Code, que demandan miles de qubits físicos para simular un solo qubit lógico estable.
    En 2025, el umbral de corrección (donde los errores se reducen al escalar) se ha alcanzado en prototipos como Willow de Google, pero implementar esto a gran escala sigue siendo un «desafío de tres décadas».
    Impacto: Sin corrección robusta, los computadores cuánticos solo sirven para demostraciones, no para aplicaciones prácticas. Esto limita su utilidad en simulaciones químicas o optimización.
    Progreso reciente: PsiQuantum planea un computador de 1 millón de qubits fotónicos con corrección integrada para 2025, aunque expertos dudan de su viabilidad inmediata.
  3. Escalabilidad y Fabricación de Hardware
    Escalar de cientos a millones de qubits es un reto exponencial: cada qubit adicional aumenta la complejidad de interconexiones, control y refrigeración. Los qubits actuales son «escasamente conectados», lo que dificulta circuitos profundos con múltiples puertas cuánticas.
    En 2025, IBM apunta a 4.000 qubits para un «supercomputador cuántico-centrado», pero la integración de componentes con tasas de error variables (ruido, defectos en materiales) sigue siendo un obstáculo.
    Impacto: La diversidad de tecnologías (superconductores de Google/IBM, iones atrapados de IonQ, átomos neutros de QuEra) fragmenta el ecosistema, complicando la estandarización.
    Progreso reciente    : Avances en qubits «cat» (Alice & Bob) y fotónicos (Xanadu) prometen mayor estabilidad, pero la fabricación precisa y la minimización de defectos requieren innovaciones en materiales.
  4. Implicaciones en Criptografía y Seguridad
    La computación cuántica amenaza algoritmos clásicos como RSA y ECC mediante algoritmos como el de Shor, que podrían descifrar claves en minutos. Esto genera el riesgo de «harvest now, decrypt later» (cosecha datos ahora para descifrarlos después).
    En 2025, el NIST ha lanzado estándares post-cuánticos (PQC) adicionales en marzo, pero la transición a criptografía «crypto-ágil» requiere años para organizaciones grandes.
    Impacto: Es la preocupación más urgente para industrias como finanzas y gobiernos, requiriendo mapeo de inventarios criptográficos y actualizaciones de protocolos.
    Progreso reciente: Bain destaca que el PQC se integra en stacks IT, pero el 70% de las empresas no tienen planes de adopción.
  5. Desarrollo de Algoritmos y Software
    Aunque el hardware avanza, faltan algoritmos maduros para casos prácticos más allá de demostraciones. La madurez algorítmica es clave para aplicaciones en IA, simulación y optimización, pero requiere avances en software cuántico.
    En 2025, lenguajes como Q# (Microsoft) y compiladores adaptados existen, pero la depuración y el formateo de datos para QPUs (Quantum Processing Units) son complejos.
    Impacto: La experimentación toma 6-9 meses por caso de uso, retrasando la adopción empresarial.
    Progreso reciente: Avances en algoritmos para simulación molecular (McKinsey), pero la integración híbrida (cuántico-clásico) es esencial.
  6. Talentos, Costos y Adopción Empresarial
    La demanda de talento cuántico es aguda: se necesitan expertos en física, ingeniería y software, pero la formación es limitada. Los costos son prohibitivos —hardware, cadenas de suministro y mantenimiento superan millones por sistema— y la adopción comercial depende de equilibrar inversión y madurez.
    En 2025, ela financiación del estado impulsa el crecimiento, pero la demanda comercial es baja, enfocada en inteligencia competitiva.
    Impacto: Pequeñas empresas no pueden competir; la armonización de tecnologías diversas (CPU/GPU/QPU) es un reto ecosistémico.
    Progreso reciente: Iniciativas como las de la UE y EE.UU. invierten en educación, pero McKinsey prevé brechas hasta 2030.

Aunque 2025 marca un año de hitos —como roadmaps de IBM hacia 2033 y avances en corrección de errores—, los retos técnicos como decoherencia y escalabilidad dominan, junto con barreras prácticas en seguridad y adopción.

ARF 2.7.2 Arquitectura y Marco de Referencia de la cartera IDUE

Deja un comentario

Hace pocos días se ha publicado la versión 2.7.2 del documento «ARF Architecture and Reference Framework» de la EUDI Wallet por lo que traigo aquí su traducción al español en línea con otras traducciones del ARF que he ido produciendo.

ARF-Español-Arquitectura-y-marco-de-referencia-V2-7-2-ESDescarga

La Cartera IDUE (Cartera de Identidad Digital de la Unión Europea, por sus siglas en español, o European Digital Identity Wallet en inglés, conocida como EUDI Wallet) es una solución digital desarrollada en el marco del Reglamento eIDAS 2.0 de la Unión Europea. Su objetivo principal es permitir a los ciudadanos europeos gestionar de forma segura y privada sus credenciales asociadas a la identidad digital (declaraciones de atributos), como documentos electrónicos (DNI digital, pasaportes, diplomas o certificados), en un dispositivo móvil o similar. Esto facilita transacciones transfronterizas, como abrir una cuenta bancaria en otro país o acceder a servicios públicos, sin necesidad de documentos físicos. La Cartera IDUE se basa en principios de identidad centrada en el usuario, que impulsan un enfoque en el que el usuario controla sus datos y decide qué compartir, garantizando privacidad y seguridad mediante estándares comunes.

El «Architecture and Reference Framework» (ARF), o Marco de Arquitectura y Referencia en español, es un documento técnico clave que define la estructura, componentes y especificaciones para el ecosistema de la Cartera IDUE.

Fue impulsado por la Recomendación de la Comisión Europea de junio de 2021 (COMMISSION RECOMMENDATION (EU) 2021/946), que insta a los Estados miembros a colaborar en una «caja de herramientas» común para la identidad digital europea.

El ARF actúa como guía para el desarrollo de implementaciones interoperables, asegurando que las Carteras IDUE funcionen de manera uniforme en toda la UE, independientemente del país.

El propósito principal del ARF es:

  • Explicar la arquitectura del ecosistema: Describe cómo interactúan los componentes de la Cartera IDUE para garantizar la seguridad, privacidad y usabilidad. Incluye diagramas, flujos de datos y requisitos de alto nivel.
  • Servir como referencia técnica: Proporciona estándares comunes, especificaciones técnicas y mejores prácticas para que los proveedores (como Estados miembros o entidades privadas) desarrollen soluciones compatibles. No es un reglamento vinculante, pero se usa para actualizar actos de ejecución del Reglamento eIDAS 2.0.
  • Apoyar el desarrollo y pruebas: Facilita la creación de una implementación de referencia (open-source en GitHub) y pilots nacionales/transfronterizos por parte de los Proveedores de Servicios de Cartera («Large Scale Pilots» o LSP).

El ARF detalla un ecosistema modular con los siguientes elementos principales:

ComponenteDescripciónRol en la Cartera IDUE
Cartera IDUE (Wallet)Aplicación en el dispositivo del usuario (móvil o PC) para almacenar y gestionar declaraciones de atributos.Permite al usuario autenticarse, firmar documentos y compartir datos (entre otros «zero-knowledge proofs»).
Emisores cualificados, no cualificados y estatales, de declaraciones de atributos a partir de «Fuentes auténticas»Entidades que emiten documentos digitales (ej. gobiernos, bancos, universidades) en especial a través de Prestadores Cualificados que emiten Declaraciones de Atributos Cualificadas.Generan declaraciones de atributos compatibles con estándares como ISO/IEC 18013-7 para carnets de conducir.
Prestadores de Servicios de Confianza PSC que gestionan la confianza en el ecosistema (ej. firma cualificada remota, o certificados de participantes en el ecosistema).Aseguran la interoperabilidad y cumplimiento normativo.
Partes usuarias (o informadas)Plataformas que solicitan y reciben la información de las declaraciones de atributos (ej. bancos, administraciones).Solicitan información para proporcionar algún servicio a petición del usuario de la Cartera sin acceder a datos innecesarios.
Datos de Identificación Personal (DIP/PID)La identidad original del usuario con la que empieza a funcionar la cartera para permitir otros usos. La incorpora a la cartera un organismo del Estado miembroFacilitan la autenticación del usuario y la obtención y presentación de declaraciones de atributos.

Algunos aspectos claves del ARF son:

  • El ARF se actualiza con frecuencia para adaptarse a avances tecnológicos y a las publicaciones de «Actos de Ejecución» que desarrollan el Reglamento (UE) 1183/2024 (eIDAS2).
  • Está disponible en el repositorio de GitHub del proyecto EUDI Wallet y en documentos traducidos al español, euskera, gallego y catalán en este blog.
  • Se integra con el citado Reglamento de Identidad Digital Europe (eIDAS2), que obliga a los Estados miembros a ofrecer al menos una Cartera IDUE gratuita para finales de 2026-2027 y a entidades privadas de varios sectores (transporte, energía, banca, servicios financieros, seguridad social, sanidad, agua potable, servicios postales, infraestructura digital, educación o telecomunicaciones) a aceptarlas a finales de 2027.

En resumen, el ARF es el documento técnico que detalla la estructura e interfaces de la Cartera y hace posible una identidad digital europea unificada, que promueve la innovación y enfatiza la protección de la privacidad del usuario.

Otras versiones que he traducido:

Otros enlaces relacionados:

Aprendiendo computación cuántica y criptoagilidad

3 respuestas

Los días 12 y 13 de noviembre de 2025, EADTrust organizó un evento formativo para que los alumnos puedan entender la forma en que el desarrollo de la física cuántica nos ha permitido llegar a programar ordenadores cuánticos que, entre otras muchas aplicaciones, permiten obtener las claves privadas a partir de las públicas en los sistemas de criptografía de clave pública más utilizados (con el afamado algoritmo de Shor). Hice un recordatorio hace unos días.

Todavía falta algún tiempo para el criptocalipsis pero es muy recomendable iniciar la transición a la criptografía postcuántica lo antes posible, especialmente a la vista de la amenaza «Harvest now, decrypt later».

Y de eso iba la segunda parte del evento: identificar las directivas y reglamentos europeos que establecen obligaciones en la mejora de la seguridad de las organizaciones, interpretando como cumplirlas, entre otras acciones llevando a cabo la adopción de la criptografía postcuántica, siguiendo las recomendaciones de diferentes organizaciones, incluyendo el Centro Criptológico Nacional.

Los alumnos procedían de diferentes sectores: despachos de abogados , organismos de la administración pública, empresa consultoras especializadas en ámbitos legales, prestadores de servicios de confianza,…

Y tuvieron ese efecto «Wow» que he ido anunciando a todos los que les comenté sobre la organización de este evento en las semanas previas a su realización.

Porque sin conocimientos previos de física se llegan a entender conceptos como la «superposición» y «entrelazamiento» de los qubits y como se utiliza la notación de Dirac al definir algoritmos cuánticos utilizando puertas simbólicas como la de Hadamard en el Quantum Composer de IBM.

La clave de este aprendizaje es la metodología ENSAR (Experience Name, Speak, Apply and Repeat) de Jorge Christen y las actividades de construcción de modelos representativos de conceptos cuánticos, como la esfera de Bloch, haciendo uso del IQC Kit de Jorge.

Ya estamos preparando la siguiente edición de este evento formativo, que tendrá lugar la última semana de febrero de 2026.

Actualización urgente para las administraciones públicas en relación con las firmas electrónicas

Deja un comentario

Cambios de algoritmos criptográficos y tamaños de clave exigidos por el Organismo Supervisor de los Prestadores Cualificados de Servicios de Confianza requerirán la adaptación de las administraciones públicas en un plazo muy corto para admitir los nuevos certificados en sus sedes electrónicas, lo que hace recomendable considerar la inversión requerida en los presupuestos de las entidades y organismos para el próximo año.

Recientemente el Organismo Supervisor de los Prestadores de Servicios de Certificación en España ha difundido una circular destinada a estas entidades, disponible en la sección de Notas informativas relativas a los Servicios electrónicos de confianza de su web.

En la nota lacónicamente titulada Nota Migración RSA se establece lo siguiente:

Este órgano de supervisión establece que los prestadores de servicios de confianza, cualificados y no cualificados, que emplean algoritmos RSA para la prestación de servicios de confianza, deben cumplir con lo establecido por el Centro Criptológico Nacional, en el Anexo 1- Prestadores de Servicios de Confianza que acompaña a la Guía de Seguridad de las TIC CCN STIC 807 Criptología de Empleo en el Esquema Nacional de Seguridad.

(…) este órgano supervisor determina que el impacto en la migración del algoritmo
RSA con longitud de claves inferiores a 3000 bits es significativo, requiriéndose por tanto que (…)

los prestadores de servicios de confianza cualificados que hayan desplegado jerarquías de certificación con claves RSA con longitud de claves inferiores a 3000 bits, generen nuevas jerarquías de certificación con tamaños de clave mayor. Y deberán

(…) aportar como mínimo la evidencia del hito de celebración de la ceremonia de generación de claves criptográficas.

Hay ciertas referencias a plazos en relación con los Informes de Evaluación de Conformidad, de los prestadores que realicen estos cambios de tamaño de claves RSA en su infraestructura, pero son plazos muy cortos. Por otro lado, el citado Anexo 1 del CCN también detalla plazos en los que deberán dejar de usarse claves RSA con longitud de claves inferiores a 3000 bits y establece que

(…) A partir del 1 de enero de 2027, si aún se emiten certificados basados en RSA, se deberán emitir con módulos de al menos 3000 bits.

El documento del CCN a su vez hace referencia al documento de ENISA: ECCG Agreed Cryptographic Mechanisms – version 2 que también recomienda dejar de usar claves RSA de tamaños menores a 3000 bits. Concluye el CCN con esta recomendación:

No obstante, en virtud del principio de mejora continua de la ciberseguridad y de las recomendaciones técnicas emitidas por organismos internacionales y del propio Centro Criptológico Nacional, se insta a los organismos responsables a proceder a la implementación de mecanismos más robustos para mecanismos de clave asimétrica (RSA de mayor longitud y algoritmos postcuánticos) a la mayor brevedad posible.

Entre las entidades afectadas está la FNMT que ya ha generado una nueva jerarquía de certificación con tamaños RSA mayores de 3000 bits (lo que se ha actualizado en la TSL) y está avisando a las todos los organismos públicos de los cambios que se avecinan. Los certificados que ha estado emitiendo hasta ahora eran de 2048 bits.

A EADTrust no le ha afectado esta circular del Organismo Supervisor porque desde el primer momento ha estado gestionando PKIs de diferentes algoritmos y tamaños de clave: RSA 4096, RSA 8192, ECC 256 y ECC 384 (con la posibilidad de emitir certificados RSA 2048 por compatibilidad en proyectos críticos).

Sin embargo, el reto que tienen por delante las administraciones públicas, es el de adaptar sus portales, sus sedes electrónicas y sus sistemas de firma electrónica para que admitan los nuevos certificados, con diferentes algoritmos y tamaños de clave. Y capaces de validar la TSL europea. Y ya casi no queda tiempo. Conviene que reserven una partida para ello en los presupuestos de 2026.

Para que puedan valorar el reto, EADTrust ofrece sin coste a las entidades públicas juegos de certificados de prueba de todo tipo de perfiles y con los algoritmos y tamaños de clave siguientes: RSA 4096, RSA 8192, ECC 256 y ECC 384.

Por ejemplo, estos son los perfiles:

  • Servicio de expedición de certificados electrónicos cualificados de firma electrónica
    Expedición de Certificado de Persona física
  • Servicio de expedición de certificados electrónicos cualificados de firma electrónica
    — Certificados electrónicos cualificados de Empleado Público
    Expedición de Certificado de Persona física para AAPP
  • Servicio de expedición de certificados electrónicos cualificados de sello electrónico
    — Expedición de certificado de persona jurídica
  • Servicio de expedición de certificados electrónicos cualificados de sello electrónico
    — Certificados cualificados de sello electrónico PSD2
    Expedición de certificado de persona jurídica PSD2
  • Servicio de expedición de certificados electrónicos cualificados de sello electrónico
    — Certificados cualificados de Sello electrónico de la Administración Pública
    Expedición de certificado de persona jurídica para AAPP
  • Servicio de expedición de certificados electrónicos cualificados de autenticación de sitios web
    Expedición de certificados electrónicos cualificados de autenticación de sitios web
    Expedición de certificados electrónicos cualificados de autenticación de sitios web PSD2
  • Servicio de expedición de certificados electrónicos cualificados de autenticación de sitios web
    — Certificados cualificados de Sede electrónica de la Administración Pública
    Certificado cualificado de sitio web para sede electrónica

Se pueden comprobar los perfiles de certificados de los diferentes prestadores en esta página web: Prestadores de Servicios de Confianza Cualificados

Los certificados de EADTrust son «oficiales»: se han testado en la plataforma de @firma aFirma_Anexo_PSC y en Valide, lo que los hace idóneos para las pruebas.

También ponemos a disposición de las administraciones públicas de forma gratuita la plataforma de comprobación de firmas electrónicas y certificados DSS de EADTrust que da una gran información técnica y permite elegir informes simplificados o completos de las firmas y certificados que se quieren comprobar.

Para solicitar el «paquete» de certificados de prueba, pueden contactar coninfo (at) eadtrust.eu o llamar al teléfono 917160555 (añadiendo el prefijo 34 si llaman desde fuera de España)

La semana que viene: Formación sobre Computación Cuántica y Criptografía Postcuántica

2 respuestas

Los días 12 y 13 de noviembre de 2025, de 10 a 17 horas. tendrá lugar la Formación sobre Computación Cuántica y Criptografía Postcuántica que ye he anunciado con anterioridad y que se impartirá en el Hotel Zenith Conde Orgaz de Madrid de forma presencial.

Este curso, impartido por Jorge Christen (experto en metodologías formativas como ENSAR que ha colaborado en iniciativas de Qureka) y Julián Inza (Presidente de EADTrust, con amplia experiencia en servicios de confianza digital, ciberseguridad y adopción de estándares criptográficos), se enmarca en los servicios de preparación de infraestructuras digitales de EADTrust.

Está diseñado para abordar los desafíos emergentes de la computación cuántica en el ámbito de la criptografía, promoviendo la transición hacia soluciones seguras y resistentes. Se trata de una formación presencial que se anuncia como un evento clave para 2025, con énfasis en la actualización práctica ante el «criptocalipsis» (el riesgo de quiebra de algoritmos clásicos como RSA y ECC).

Detalles:

  • Duración: 2 días (formato intensivo presencial).
  • Público Objetivo: Profesionales de ciberseguridad, TI, legaltech y compliance en empresas u organizaciones que manejan datos sensibles. Ideal para responsables de infraestructuras digitales, auditores y decisores que necesitan anticiparse a regulaciones como EIDAS 2.0 y estándares NIST.
  • Modalidad: Presencial, con enfoque práctico y metodologías interactivas (incluyendo ENSAR: Experience, Name, Speak, Apply and Repeat, y con un kit de componentes que ayudan a visualizar conceptos como la superposición y el entrelazamiento).
  • Inscripción: A través de este formulario de EADTrust
  • Contactar a info@eadtrust.eu para ampliar información.

Objetivos Principales:

  • Comprender los fundamentos de la computación cuántica y su impacto en la seguridad digital actual.
  • Identificar vulnerabilidades en criptosistemas clásicos y promover la criptoagilidad (capacidad de actualizar algoritmos de forma eficiente).
  • Analizar y aplicar soluciones de criptografía postcuántica (PQC) para mitigar amenazas cuánticas, como algoritmos basados en lattices (Kyber/ML-KEM, Dilithium/ML-DSA) y firmas digitales resistentes (Falcon/FN-DSA, HQC).
  • Preparar infraestructuras para estándares emergentes (FIPS 203, 204, 205, 206) y protocolos como TLS 1.3, ACME y mecanismos híbridos.
  • Fomentar la preservación de documentos y evidencias electrónicas en entornos cuántico-resistentes, alineado con normativas europeas (EIDAS 2.0, ETSI TR 103 619).

El programa combina teoría, casos prácticos y demostraciones, cubriendo:

  1. Introducción a la Computación Cuántica: Conceptos básicos (qubits, superposición, entrelazamiento), avances recientes (ej. chip Majorana 1 de Microsoft, febrero 2025) y el «criptocalipsis» inminente.
  2. Amenazas a la Criptografía Clásica: Análisis de algoritmos vulnerables (RSA, ECC) y el algoritmo de Shor como catalizador de riesgos.
  3. Criptografía Postcuántica:
    • Estándares NIST: ML-KEM (encapsulación de claves), ML-DSA (firmas digitales), SLH-DSA y FN-DSA (Falcon).
    • Estrategias de migración: Híbridos (clásico + postcuántico), criptoagilidad y pruebas de interoperabilidad.
  4. Aplicaciones Prácticas: Adaptación de servidores web (TLS 1.3), PKI resistente, preservación de firmas electrónicas y análisis de riesgos GRC (Governance, Risk, Compliance).
  5. Marco Regulatorio: Impacto de EIDAS 2.0, borradores de actos de ejecución y recomendaciones ETSI para esquemas «Quantum-Safe».
  6. Sesiones Interactivas: Talle rcon acceso a la herramienta de programación Qiskit iónde IBM
  7. Ideas para evaluar impactos en legaltech, banca y administración pública.

Contexto

Este curso surge de la colaboración entre EADTrust y Jorge Christen, respondiendo a la urgencia de adopción PQC ante avances como los de NIST (agosto 2024) y ENISA.

Servicio de adecuación a NIS2 y Dora

Deja un comentario

La Directiva NIS2 (Directiva de Seguridad de las Redes y de la Información 2, Directiva (UE) 2022/2555) y el Reglamento DORA (Reglamento de Resiliencia Operativa Digital, Reglamento (UE) 2022/2554) son dos marcos regulatorios clave de la Unión Europea diseñados para fortalecer la ciberseguridad y la resiliencia digital en sectores críticos.

Aunque difieren en alcance (NIS2 es general para infraestructuras esenciales, y DORA es específico para el sector financiero), comparten varios elementos fundamentales derivados de la estrategia de ciberresiliencia de la UE.

A continuación, se detallan sus principales similitudes

CONCEPTOSimilitud en NIS2 y DORA
Objetivo principalAmbas buscan mejorar la resiliencia digital y la ciberseguridad para proteger la economía y la sociedad contra amenazas cibernéticas, como ciberataques y disrupciones.
Gestión de riesgosRequieren evaluaciones regulares de riesgos, incluyendo la identificación, mitigación y monitoreo continuo de amenazas TIC (Tecnologías de la Información y Comunicación).
Responsabilidad de la direcciónLa alta dirección es directamente responsable de la implementación, supervisión y cumplimiento, fomentando una cultura de accountability. Sanciones previstas para la dirección
Pruebas y ejerciciosAmbas exigen pruebas periódicas de sistemas (ej. simulacros de incidentes) para verificar la resiliencia operativa y la capacidad de recuperación.
Notificación de incidentesObligan a reportar incidentes significativos a las autoridades competentes en plazos estrictos (generalmente 24-72 horas), para una respuesta coordinada.
Gestión de tercerosEnfatizan la seguridad en la cadena de suministro y el riesgo de proveedores externos (terceros críticos), con requisitos de auditorías y contratos seguros.
Supervisión regulatoriaEstablecen mecanismos de oversight por autoridades nacionales, con inspecciones y enforcement para garantizar el cumplimiento uniforme en la UE.
SancionesAmbas imponen multas disuasorias basadas en el volumen de negocio global (hasta 2% del facturación anual mundial), similares al RGPD.
Armonización en la UEPromueven prácticas estandarizadas de ciberseguridad a nivel europeo, facilitando el reconocimiento mutuo y la interoperabilidad entre sectores.

Estas similitudes permiten tratar ambos marcos regulatorios de forma armonizada en las entidades con el objetivo de elevar el nivel de protección cibernética, donde el cumplimiento de una puede facilitar el de la otra en casos de solapamiento (aunque DORA prevalece en el sector financiero, imponiendo criterios de ciberresiliencia a sus proveedores).

Si tuna organización opera en sectores mixtos, tiene sentidos considerar una adecuación y una auditoría integradas.

Anteproyecto de Ley

En España, el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad (aprobado por el Consejo de Ministros el 14 de enero de 2025, en tramitación urgente) transpondrá la directiva NIS2 cuando se apruebe, incorporando elementos nacionales como el Esquema Nacional de Seguridad (ENS) y una nueva estructura institucional.

Aunque el anteproyecto es fiel a la NIS2 en sus principios, introduce adaptaciones para integrarse con el marco español existente (como el Real Decreto-ley 12/2018 de NIS1 y el ENS).Las diferencias radican principalmente en la especificidad nacional, instituciones y medios de cumplimiento, ya que la NIS2 deja flexibilidad a los Estados miembros para la implementación. A continuación, se resumen las principales diferencias a partir del texto de la directiva y el del anteproyecto

CONCEPTONIS2 (Directiva Europea)Anteproyecto Español (Ley de Coordinación y Gobernanza de la Ciberseguridad)
Estructura InstitucionalEstablece autoridades competentes nacionales genéricas (CSIRT y reguladores sectoriales), sin crear órganos específicos. Enfatiza cooperación UE (ej. red EU-CyCLONe).Crea el Centro Nacional de Ciberseguridad (CNCS) como órgano único de coordinación, adscrito al Ministerio del Interior, que actúa como punto de contacto UE, gestiona crisis y supervisa el registro de entidades. Integra INCIBE y CCN-CERT, pero centraliza en CNCS (no existía en NIS2).
Medios de Cumplimiento y CertificaciónRequiere medidas de gestión de riesgos (art. 21), con certificación obligatoria para entidades esenciales (basada en estándares UE como EN-ISO/IEC 27001). Deja a los Estados definir equivalentes.Integra el Esquema Nacional de Seguridad (ENS) como equivalente nacional para demostrar cumplimiento (CCN-STIC 892), permitiendo certificación voluntaria del «Perfil de Cumplimiento Específico del ENS» para entidades esenciales. Añade flexibilidad con normas internacionales, pero prioriza el ENS para alinear con el marco español preexistente.
Alcance y Categorización de EntidadesClasifica en «esenciales» e «importantes» (Anexos I y II), con obligaciones escaladas por tamaño (>50 empleados o >10M€ facturación). Incluye sectores como energía, salud, digital y manufactura.Mantiene la clasificación, pero amplía explícitamente al sector público español (ej. administraciones locales y autonómicas no cubiertas en NIS1), estimando >12.000 entidades afectadas (vs. ~400 en NIS1). Introduce registro obligatorio en CNCS con plazos de 3 meses para notificación de datos técnicos (IPs, contactos). Exime microempresas con «cláusula de salvaguarda» si demuestran bajo impacto.
Gobernanza y Estrategia NacionalPromueve estrategias nacionales de ciberseguridad y planes de crisis, pero sin detalles operativos.Establece la Estrategia Nacional de Ciberseguridad como marco vinculante, con énfasis en cooperación transfronteriza y equipos de respuesta (monitoreo de amenazas, alertas tempranas). Crea una «Plataforma Nacional de Notificación de Incidentes» basada en LUCIA (herramienta existente), más integrada que en NIS2.
Responsabilidades de la DirecciónResponsabilidad personal de la gerencia por cumplimiento, con sanciones por negligencia.Refuerza con la figura obligatoria del Responsable de Seguridad de la Información (RSI) como contacto directo con autoridades, permitiendo externalización pero manteniendo accountability. Mayor énfasis en auditorías y pruebas periódicas alineadas con ENS.
Notificación de Incidentes y SancionesPlazos uniformes: 24h inicial, 72h detallada, 1 mes final. Multas hasta 10M€ o 2% facturación global.Adopta plazos idénticos, pero prioriza notificación a CNCS e INCIBE-CCN-CERT vía plataforma nacional. Mantiene sanciones, pero aumenta poderes de inspección de autoridades (ej. CNCS con acceso a datos en tiempo real), con régimen más estricto para entidades públicas.
Integración con Otras NormasModifica eIDAS y Código Europeo de Comunicaciones, pero es autónoma.Integra NIS2 con ENS y normativa nacional (ej. Ley Orgánica de Protección de Datos), y transpone simultáneamente la Directiva CER (Resiliencia de Entidades Críticas). Añade foco en sector salud y manufactura con requisitos específicos.

Conviene que las entidades inicien las valoraciones de su grado de adecuación lo antes posible para estimar el impacto de esta adecuación y considerarlo ya en los Presupuestos del año próximo.

EADTrust aporta el profundo conocimiento de su división EAD Servicios Profesionales respecto a NIS2, DORA y otras regulaciones para ayudar a las empresas a preparase. Y aporta un sistema de gestión de evidencias digitales de los procesos internos que permiten demostrar la «debida diligencia» de la entidad en la gestión de los retos de ciberseguridad.

Llame al 91 7160555 para más información

Versión 2.6 del documento ARF de la Cartera IDUE en español

2 respuestas

Se incluye al final del artículo la traducción al español del documento Arquitectura y Marco de Referencia (ARF) V2.6 de la Cartera de Identidad Digital Europea.

La última versión del documento Arquitectura y Marco de Referencia (ARF) para la Cartera de Identidad Digital de la Unión Europea (Cartera IDUE, o EUDI Wallet en inglés) es la 2.6 , publicada el 13 de octubre de 2026.

Este documento se actualiza regularmente en el repositorio de GitHub de la Comisión Europea y se alinea con el Reglamento eIDAS 2.0 (Reglamento (UE) 2024/1183). Desde la versión 1.10 incorpora retroalimentación de los 4 pilotos a gran escala y ajustes para interoperabilidad.

El objetivo principal del ARF es proporcionar un conjunto de especificaciones técnicas, estándares comunes y mejores prácticas para desarrollar una solución interoperable, segura y basada en normas para la Cartera IDUE.

Esto incluye definiciones de arquitectura del ecosistema (emisoras, carteras, proveedores de servicios), protocolos de intercambio de información, requisitos de seguridad y privacidad (como divulgación selectiva de datos y políticas de control de atributos), y guías para la implementación en Estados miembros.

Facilita la integración con el Reglamento eIDAS 2, asegurando que las carteras funcionen de manera transfronteriza sin comprometer la soberanía de datos del usuario.

La Cartera Digital (EUDI Wallet) representa un avance clave en la identidad digital europea, permitiendo a los ciudadanos y residentes de la UE controlar de forma segura y autónoma su identidad digital, almacenando y compartiendo credenciales (declaraciones de atributos) selectivamente sin revelar datos innecesarios. Entre sus beneficios principales:

  • Acceso simplificado a servicios: Identificación con un solo clic para trámites públicos (impuestos, sanidad) y privados (bancos, educación, viajes), eliminando la necesidad de múltiples contraseñas y documentos físicos.
  • Privacidad y control: Los usuarios deciden qué atributos compartir (ej. edad sin nombre completo), con registro de transacciones para rastreo y cumplimiento del RGPD. Incluso se podrá retirar el consentimiento de cesión de datos personales con posterioridad de forma muy sencilla.
  • Interoperabilidad transfronteriza: Válida en toda la UE, facilita movilidad laboral, educativa, turística y de negocios.
  • Seguridad reforzada: Usa cifrado avanzado, biometría y firmas electrónicas cualificadas, y se espera que reduzca fraudes y costes administrativos.

En resumen, transforma la interacción digital en algo más eficiente, sencillo y centrado en el usuario, con expectativas de adopción del 80% de la población para 2030.

Obligatoriedad de adopción de protocolos técnicos para aceptar la interacción con las carteras de identidad para ciertas empresas y sectores

La aceptación de la Cartera IDUE por ciertas empresas será obligatoria a partir de las navidades de 2027, coincidiendo con la disponibilidad plena de las carteras en todos los Estados miembros (cada país debe ofrecer al menos una versión gratuita) que deberán ofrecerla en las navidades de 2026.

Sin embargo, el uso por ciudadanos es voluntario.

Las empresas obligadas no pueden rechazarla como medio de identificación electrónica si el servicio lo requiere, ya que implicaría el incumplimiento del Reglamento eIDAS y lo que llevaría aparejada la aplicación de sanciones.

Los sectores obligados incluyen tanto el sector público (todas las administraciones) como el privado en áreas esenciales donde la verificación de identidad es clave. A continuación, una tabla con los principales:

SectorEjemplos de aplicación obligatoriaRazón de obligatoriedad
TransportePermisos de conducir móviles, billetes de tren/aviónVerificación de identidad para movilidad segura.
EnergíaContratos de suministro, medidores inteligentesAcceso a servicios básicos con control de datos.
Banca y finanzasApertura de cuentas, transacciones PSD2/3Cumplimiento AML y seguridad financiera.
Seguridad socialPensiones, subsidiosAcceso a prestaciones públicas.
SaludRecetas electrónicas, historiales médicosIntercambio seguro de datos sensibles (RGPD).
Agua y suministrosContratos de abastecimientoServicios esenciales de infraestructura.
Servicios postalesEnvíos certificados, notificacionesVerificación para entregas seguras.
EducaciónInscripciones, diplomas digitalesReconocimiento transfronterizo de credenciales.
TelecomunicacionesActivación de SIM, contratos de telefoníaRegistro de usuarios y prevención de fraudes.
Plataformas digitales grandesRedes sociales (ej. Facebook, Instagram)Autenticación para servicios de alto impacto.

Estos sectores deben integrar interfaces compatibles con el ARF para aceptar credenciales de la cartera. Otros sectores privados pueden adoptarla voluntariamente para mayor eficiencia.

Todavía no se ha detallado el régimen sancionador específico para España salvo los marcos generales de la Unión Europea, como el del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022 relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales).

Aquí os ofrezco el documento ARF de la Cartera IDUE en su Versión 2.6 traducida al español por mi (Julián Inza):

ARF-architecture-and-reference-framework-V-2-6-0 españolDescarga

He procurado usar ciertos términos en español de forma consistente, evitando, por ejemplo utilizar las palabras «monedero» o billetera» ya que la palabra «cartera» se adapta mejor a la idea de recoger en ella documentos y declaraciones de atributos y tenerlos disponibles según los necesite su usuario, para presentarlos a las partes interesadas (partes informadas).

Y a continuación incluyo la versión 2.6 del ARF en inglés:

ARF-architecture-and-reference-framework-main-V-2-6-0 and-annexesDescarga

Como resumen gráfico de la Cartera IDEU (EUDI Wallet) y de su ecosistema se incluye este diagrama:

Ante las dudas que pueden surgir a las entidades obligadas, ofrecemos en EADTrust un servicio de resolución de dudas sobre eIDAS 2 y Cartera IDUE y otro de implementación de interfaces de «Fuentes Auténticas» y «Partes Interesadas».

Podéis llamar al (+34) 917160555.

Lista completa de Actos de Ejecución asociados al Reglamento 1183/2014 (EIDAS2)

Deja un comentario

Ayer comenté la publicación de 3 nuevos actos de ejecución en el Diario Oficial de la Unión Europea (DOUE) y ahora recojo la lista completa con 25 actos de ejecución publicados en desarrollo del Reglamento eIDAS2.

El 3 de octubre de 2025 publiqué la anterior Lista de actos de ejecución de desarrollo del Reglamento EIDAS2.

En inglés:

  • CIR 2024/2977 PID (Personal Identification Data) and EAA (Electronic Attestations of Attributes)
  • CIR 2024/2979 Integrity and core functionalities,
  • CIR 2024/2980 Ecosystem notifications,
  • CIR 2024/2981 Certification of Wallet Solutions,
  • CIR 2024/2982 Protocols and interfaces,
  • CIR 2025/846 Cross border identity matching,
  • CIR 2025/847 Security breaches of European Digital Identity Wallets,
  • CIR 2025/848 Registration of Wallet Relying Parties,
  • CIR 2025/849 List of certified European Digital Identity Wallets.
  • CIR 2025/1566 Reference standards for the verification of the identity and attributes of the person
  • CIR 2025/1567 Management of remote qualified electronic signature/seal creation devices
  • CIR 2025/1568 Procedural arrangements for peer reviews of electronic identification schemes
  • CIR 2025/1569 Qualified electronic attestations of attributes
  • CIR 2025/1570 Notification of information on certified qualified electronic signature/seal creation devices
  • CIR 2025/1571 Formats and procedures for annual reports by supervisory bodies
  • CIR 2025/1572 Initiation of qualified trust services
  • CIR 2025/1929 Qualified electronic time stamps
  • CIR 2025/1942 Qualified validation services for qualified electronic signatures and seals
  • CIR 2025/1943 Qualified certificates
  • CIR 2025/1944 Qualified electronic registered delivery services
  • CIR 2025/1945 Validation of qualified electronic signatures and seals
  • CIR 2025/1946 Preservation of qualified electronic signatures and seals
  • CIR 2025/2160 Non-qualified trust services
  • CIR 2025/2162 Accreditation of Conformity Assessment Bodies
  • CIR 2025/2164 Common template for the trusted lists

En español:

  • CIR 2024/2977 sobre DIP, datos de identificación de la persona y DEA, declaraciones electrónicas de atributos
  • CIR 2024/2979 Integridad y funcionalidades básicas,
  • CIR 2024/2980 Notificaciones del ecosistema,
  • CIR 2024/2981 Certificación de soluciones de cartera,
  • CIR 2024/2982 Protocolos e interfaces,
  • CIR 2025/846 Correspondencia transfronteriza de identidades,
  • CIR 2025/847 Violaciones de la seguridad de las Carteras de Identidad Digital Europeas,
  • CIR 2025/848 Registro de las Partes usuarias (informadas) de Carteras,
  • CIR 2025/849 Lista de Carteras de Identidad Digital Europeas certificadas.
  • CIR 2025/1566 Normas de referencia para la verificación de la identidad y el cotejo de los atributos
  • CIR 2025/1567 Gestión de dispositivos cualificados de creación de firma electrónica/sello electrónico a distancia
  • CIR 2025/1568 Revisiones inter pares de los sistemas de identificación electrónica
  • CIR 2025/1569 Declaraciones electrónicas cualificadas de atributos
  • CIR 2025/1570 Notificación de información sobre dispositivos cualificados de creación de firma electrónica/sello electrónico certificados
  • CIR 2025/1571 Formatos y procedimientos de los informes anuales de los organismos de supervisión
  • CIR 2025/1572 Inicio de servicios de confianza cualificados
  • CIR 2025/1929 Sellos cualificados de tiempo electrónicos
  • CIR 2025/1942 Validación de firmas y sellos electrónicos cualificados
  • CIR 2025/1943 Certificados cualificados
  • CIR 2025/1944 Entrega electrónica certificada
  • CIR 2025/1945 Validación de firmas y sellos
  • CIR 2025/1946 Preservación de documentos con firmas o sellos
  • CIR 2025/2160 Servicios de confianza no cualificados
  • CIR 2025/2162 Acreditación de los organismos de evaluación de la conformidad
  • CIR 2025/2164 Plantilla común para las listas de confianza.

Añado la URL del texto consolidado del Reglamento EIDAS con los cambios introducidos por el Reglamento EIDAS2.

Hoy se han publicado 3 nuevos Actos de Ejecución en desarrollo del Reglamento EIDAS y EIDAS2

Deja un comentario

Hoy se han publicado 3 nuevos Actos de Ejecución en el Diario Oficial de de la Unión Europea de 28 de octubre (Journal of the European Union) en desarrollo del Reglamento EIDAS y EIDAS2.

  • Decisión de Ejecución (UE) 2025/2164 de la Comisión de 27 de octubre de 2025 por la que se modifica la Decisión de Ejecución (UE) 2015/1505 en lo que respecta a la versión de la norma en la que se basa la plantilla común para las listas de confianza.
  • Reglamento de Ejecución (UE) 2025/2162 de la Comisión de 27 de octubre de 2025 por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a la acreditación de los organismos de evaluación de la conformidad que realizan la evaluación de los prestadores cualificados de servicios de confianza y de los servicios de confianza cualificados que prestan, el informe de evaluación de la conformidad y el sistema de evaluación de la conformidad
  • Reglamento de Ejecución (UE) 2025/2160 de la Comisión de 27 de octubre de 2025 por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a las normas de referencia, las especificaciones y los procedimientos para la gestión de riesgos para la prestación de servicios de confianza no cualificados

Aquí está la lista de todos los actos de ejecución publicados anteriormente. Y este cuadro lo ha preparado Joerg Lenz que sigue muy de cerca todos los desarrollos normativos: