Depois da computação, vem a segurança quântica
Nos últimos anos, a computação quântica deixou de ser um tema restrito a laboratórios e conferências acadêmicas para se tornar pauta recorrente em conselhos de administração, equipes de estratégia e áreas de segurança da informação. O que antes era visto como algo distante, quase conceitual, hoje já aparece em projeções de investimento, matrizes de risco e roadmaps tecnológicos de médio e longo prazo.
Os números mostram bem essa virada. O mercado global de criptografia quântica foi estimado em cerca de 885,4 milhões de dólares em 2023 e tem previsão de atingir aproximadamente 12,6 bilhões de dólares até 2032. Paralelamente, estudos sobre computação quântica indicam que esse segmento deve saltar de 0,8 bilhão de dólares em 2025 para algo em torno de 16,3 bilhões em 2035. Não é apenas uma tendência tecnológica: é um movimento econômico robusto, com impacto direto na forma como empresas protegem dados, transações e identidades digitais.
A razão de tanta atenção é relativamente simples. Computadores quânticos, quando alcançarem maturidade em larga escala, serão capazes de resolver determinados problemas matemáticos de maneira exponencialmente mais rápida do que as máquinas clássicas atuais. Entre esses problemas estão justamente os desafios matemáticos que sustentam algoritmos de criptografia amplamente utilizados hoje, como RSA e ECC (Elliptic Curve Cryptography). Esses padrões são a base da segurança de quase tudo que fazemos online: internet banking, transações com cartões, VPNs corporativas, certificados digitais, assinaturas eletrônicas e uma infinidade de outros mecanismos de proteção.
Na prática, isso significa que, quando computadores quânticos suficientemente poderosos se tornarem disponíveis, parte relevante da criptografia utilizada hoje poderá ser quebrada em prazos viáveis para um atacante sofisticado. O que hoje exigiria milhares de anos de processamento pode, nesse novo cenário, ser reduzido a horas, dias ou semanas. É nesse contexto que surge a criptografia pós-quântica (PQC): um conjunto de algoritmos desenvolvidos justamente para resistir a ataques realizados com auxílio de computadores quânticos, mas que ainda possam ser executados de forma eficiente em dispositivos clássicos.
A boa notícia é que essa nova geração de criptografia não está apenas em laboratório. O mercado vem amadurecendo com rapidez. Institutos de pesquisa e análises setoriais apontam crescimento acelerado ano após ano, com um ecossistema que engloba fabricantes de hardware, desenvolvedores de software, fornecedores de serviços gerenciados e consultorias especializadas. Tudo indica que esse conjunto de soluções atingirá a casa de múltiplos bilhões de dólares antes do fim da década, consolidando-se como um novo pilar da cibersegurança corporativa.
Um marco importante nesse processo foi o esforço de padronização conduzido por órgãos como o NIST, que entre 2022 e 2024 avaliou e selecionou algoritmos de criptografia pós-quântica para uso amplo. O resultado desse trabalho manda um recado claro ao mercado: a discussão deixou de ser “será que um dia precisaremos migrar?” para se tornar “como e quando essa migração será feita?”. Em outras palavras, a transição já não é especulativa; ela está em andamento e tende a se acelerar.
Entretanto, migrar para algoritmos pós-quânticos não é um simples “upgrade de versão”. É um projeto de transformação estrutural. Envolve revisar bibliotecas criptográficas utilizadas em aplicações, atualizar firmwares de dispositivos embarcados, adequar módulos de segurança (HSMs), revisar políticas de gestão de chaves, alinhar-se a requisitos regulatórios e garantir interoperabilidade com parceiros, fornecedores e clientes. Sistemas legados, muitas vezes críticos e pouco documentados, exigirão testes detalhados, projetos-piloto e planos de implementação em fases, minimizando riscos de interrupção de serviços.
Para a maioria das organizações, um dos primeiros desafios é de visibilidade: entender onde e como a criptografia é usada no ambiente. Certificados, VPNs, canais TLS, aplicações internas, integrações de sistemas, dispositivos IoT, sensores industriais, equipamentos de redes, soluções de backup, bases de dados: quase tudo hoje depende, em algum grau, de mecanismos criptográficos. Sem um inventário atualizado, é praticamente impossível planejar uma migração consistente. Por isso, mapear chaves, protocolos e algoritmos em uso é um passo inicial essencial.
Do ponto de vista regulatório e de mercado, acompanhar diretrizes de entidades reconhecidas é decisivo. Órgãos de padronização e conselhos setoriais tendem a definir os parâmetros mínimos de conformidade, que mais tarde são incorporados por reguladores, seguradoras e auditores. Optar por algoritmos e implementações alinhados a esses padrões reduz o risco de adotar soluções proprietárias que, no futuro, se revelem incompatíveis com normas internacionais ou requisitos de auditoria – o que pode gerar custos elevados de retrabalho, substituição e revalidação de sistemas.
Encarar essa jornada como um projeto de continuidade de longo prazo é fundamental. Não se trata de uma ação pontual, mas de um processo que provavelmente levará anos e precisará ser constantemente revisitado, à medida que novas ameaças e novos padrões surgirem. Como qualquer iniciativa estratégica, isso exige orçamento, governança, definição clara de papéis e responsabilidades, além de comunicação eficaz com as partes interessadas, internas e externas.
Um roteiro prático costuma envolver algumas etapas bem definidas. Primeiro, o inventário de ativos criptográficos: identificar aplicações, protocolos, chaves e certificados. Em seguida, a avaliação de risco: quais sistemas têm maior exposição, quais dados são mais sensíveis, quais serviços não podem sofrer interrupções. Depois, a execução de projetos-piloto com algoritmos pós-quânticos em ambientes controlados, para avaliar impacto em desempenho, compatibilidade e experiência do usuário. Só então faz sentido planejar uma migração gradual em ondas, priorizando sistemas mais críticos e ajustando o plano com base nas lições aprendidas.
Começar cedo, mesmo que de forma incremental, traz vantagens claras. A organização ganha tempo para testar soluções, criar competências internas, negociar com fornecedores e alinhar expectativas de negócio. Além disso, demonstra para clientes, parceiros e reguladores que a empresa está atenta ao risco quântico e age de forma proativa para mitigá-lo. Em alguns setores, essa postura pode se traduzir em diferenciação competitiva, especialmente em mercados que lidam com informações altamente sensíveis, como financeiro, saúde, governo e infraestrutura crítica.
Outro ponto muitas vezes negligenciado é o fenômeno conhecido como “harvest now, decrypt later”. Invasores podem hoje capturar grandes volumes de dados criptografados, armazená-los e aguardar o momento em que a computação quântica permita quebrar os algoritmos utilizados. Informações que precisam permanecer confidenciais por muitos anos – dados de saúde, propriedade intelectual, contratos de longo prazo, segredos industriais – estão particularmente expostas a esse risco. Isso reforça a urgência de adotar estratégias de proteção já pensando no horizonte quântico.
Também é importante considerar o impacto em cadeias de suprimentos digitais. Mesmo que uma empresa esteja avançada em sua preparação pós-quântica, ela permanece vulnerável se fornecedores estratégicos, parceiros de negócio ou prestadores de serviços não estiverem no mesmo nível de maturidade. Programas de gestão de terceiros e due diligence em segurança precisarão incorporar requisitos relacionados à criptografia pós-quântica, certificações e planos de migração, tornando o tema parte das cláusulas contratuais e dos processos de avaliação contínua.
Do lado das equipes técnicas, haverá uma curva de aprendizado. Desenvolvedores precisarão se familiarizar com novas bibliotecas e APIs, arquitetos de soluções deverão repensar desenhos de sistemas que hoje assumem certos algoritmos como padrão, e profissionais de segurança terão de ajustar políticas, controles e processos de resposta a incidentes à nova realidade criptográfica. Investir em capacitação, treinamentos e desenvolvimento de competências internas é tão importante quanto adquirir ferramentas e soluções.
Por fim, a transição para segurança pós-quântica não deve ser vista apenas como um custo ou uma imposição tecnológica. Ela pode ser uma oportunidade de revisar práticas antigas, modernizar infraestruturas, eliminar legados frágeis e fortalecer a governança de dados. Ao alinhar o tema à estratégia de negócios – por exemplo, usando-o como alavanca para reforçar a confiança do cliente, atender requisitos regulatórios futuros e viabilizar novos serviços digitais – as organizações transformam um potencial risco em vantagem competitiva.
Depois da computação quântica, inevitavelmente vem a segurança quântica. Quem tratar esse movimento com planejamento, método e visão de longo prazo terá muito mais chances de atravessar essa transição com estabilidade, proteger melhor seus ativos mais valiosos e se posicionar de forma sólida em um mundo digital onde o poder de processamento dá um salto sem precedentes.