Nos encontramos ante un momento histórico sin precedentes. La infraestructura de confianza que sostiene el internet moderno, desde las transacciones bancarias, las comunicaciones gubernamentales hasta los mensajes a los amigos, tiene una fecha de caducidad. A esta inminente ruptura la conocemos como el «Día Q» (Q-Day): el momento exacto en el que un Ordenador Cuántico Criptográficamente Relevante (CRQC, por sus siglas en inglés) alcance la capacidad y estabilidad necesarias para ejecutar el algoritmo de Shor y quebrar la criptografía asimétrica actual (RSA, ECC, Diffie-Hellman).

Ante este escenario, no podemos quedarnos paralizados. Debemos entender la obsolescencia programada de nuestros sistemas actuales y prepararnos. A continuación, desarrollaremos los conceptos fundamentales de este escenario y qué se está haciendo al respecto.

El «Día Q» y la obsolescencia programada

Definición de PQC: Qué es (y qué no es)

Para abordar la amenaza de la computación cuántica, la comunidad científica ha desarrollado la Criptografía Post-Cuántica (PQC). Concepto que da lugar a confusión, por lo que debemos ser extremadamente precisos con la terminología.

La PQC no utiliza física cuántica ni requiere hardware cuántico. La PQC se define como el diseño, análisis e implementación de algoritmos criptográficos que se ejecutan en ordenadores clásicos (con la arquitectura de Von Neumann estándar, como tu teléfono móvil o un servidor), pero cuya base matemática es de tal complejidad y diseño que se considera resistente a los ataques de un ordenador cuántico. En lugar de basarse en la factorización de números primos o el logaritmo discreto, la PQC utiliza problemas matemáticos NP-hard, como los retículos (lattices), la decodificación de síndromes o los sistemas de ecuaciones multivariables.

La diferencia crucial con la Criptografía Cuántica (QKD) Es vital no confundir la PQC con la Distribución Cuántica de Claves (QKD – Quantum Key Distribution).

• PQC es una solución de software: Utiliza matemáticas avanzadas para proteger la información. Es escalable y se puede implementar en la infraestructura de red existente (como una actualización del protocolo TLS).
• QKD es una solución de hardware: Utiliza los principios de la mecánica cuántica (como el principio de incertidumbre de Heisenberg o el teorema de no clonación) para transmitir fotones individuales a través de fibra óptica dedicada. Garantiza que cualquier intento de interceptación altere el estado cuántico de las partículas, alertando la comunicación y/o el mensaje.

Mientras que la QKD es fascinante desde la física fundamental, sus limitaciones de distancia, costo e infraestructura la hacen inviable para el internet global actual, aunque cierto es que hay grandes avances en el tema y el futuro, como siempre, nos trae sorpresas. La PQC es nuestra mejor elección y más pragmática línea de defensa.

La urgencia del «Harvest Now, Decrypt Later» (HNDL)

Una pregunta habitual es: «Si los ordenadores cuánticos capaces de romper RSA aún tardarán una o dos décadas en existir, ¿por qué la urgencia de cambiar ahora?»

La respuesta reside en un vector de ataque pasivo y devastador conocido como «Harvest Now, Decrypt Later» (Cosechar ahora, descifrar después) o «Store Now, Decrypt Later». En este preciso momento, actores de amenazas avanzadas (como agencias de inteligencia y cibercriminales del crimen organizado) están interceptando y almacenando exabytes de tráfico de red cifrado. Aunque hoy no pueden leerlo, lo están guardando en inmensos centros de datos. Su plan es simple: esperar al Día Q, conectar sus datos a un CRQC y descifrar toda esa información cosechada años atrás.

Para entender esta urgencia matemáticamente, el criptógrafo Michele Mosca propuso un teorema fundamental que define nuestro riesgo temporal. Consideremos la siguiente inecuación:

X + Y > Z

Donde:

• X = El tiempo que nuestra información debe permanecer confidencial (ej. secretos de estado, historiales médicos, diseños de ingeniería pueden requerir 25 a 50 años de secreto).
• Y = El tiempo que tardaremos en reemplazar nuestra infraestructura criptográfica actual por PQC (históricamente, cambiar de un estándar a otro lleva de 10 a 15 años).
• Z = El tiempo que falta para que exista un ordenador cuántico a gran escala capaz de romper la criptografía actual.

Si la suma del tiempo de vida del secreto más el tiempo de migración es mayor que el tiempo que falta para el Día Q (X+Y>Z), tenemos un problema. Los datos que transmitimos hoy, protegidos con RSA o ECC, ya están expuestos a un riesgo futuro. Por lo tanto, la transición a PQC no es un problema del mañana; es un problema del presente. Los datos secretos de hoy serán descubiertos algún día irremediablemente, a pesar de que esos datos deberían ser confidenciales, porque en ese futuro, los datos aún tienen su valor intrínseco.

El concepto de Agilidad Criptográfica

Finalmente, al enfrentar esta migración masiva, la industria se ha dado cuenta de un grave error de diseño del pasado: tener algoritmos «hardcodeados» o incrustados rígidamente en el código fuente de nuestras aplicaciones o programados en chips que no se pueden modificar a futuro. Esto nos lleva al principio fundamental de la Agilidad Criptográfica.

La agilidad criptográfica es la capacidad de un sistema, protocolo o aplicación para cambiar rápidamente sus sistemas criptográficos iniciales (algoritmos, longitudes de clave, funciones hash) sin requerir reescrituras profundas de código, reemplazo de hardware o caídas en la disponibilidad del servicio. Se trata de modularizar la seguridad. Aislarla del resto para poder modificarla a futuro de forma fácil, rápida y adhot (en caliente, sin necesidad de perder disponibilidad por esa actualización).

¿Por qué es indispensable en la era Post-Cuántica? Los nuevos algoritmos PQC, aunque han sido rigurosamente evaluados por el NIST (Instituto Nacional de Estándares y Tecnología de EE. UU.), son matemáticamente jóvenes en comparación con RSA, que lleva décadas de escrutinio. Existe la posibilidad real de que un algoritmo PQC estandarizado hoy sea vulnerado mañana mediante un nuevo avance matemático, sin necesidad de la computación cuántica (como ocurrió con el algoritmo SIKE en 2022, que fue roto en una hora por un ordenador clásico común, gracias a nuevos algoritmos matemáticos).

Una arquitectura criptográficamente ágil permite:

1. Implementación de Sistemas Híbridos: Usar un algoritmo clásico (como ECC) y un algoritmo PQC (como ML-KEM) simultáneamente. Si el PQC falla, el clásico nos protege contra ataques tradicionales; si surge un CRQC, el PQC nos protege del ataque cuántico.
2. Sustitución «Plug-and-Play»: Si un algoritmo resulta ser débil, los administradores pueden actualizarlo fácil y rápidamente gracias a su aislamiento del resto del sistema, sin que la infraestructura subyacente colapse ni pierda disponibilidad.

Como interesados en la criptografía, no solo debemos adoptar nuevos algoritmos criptográficos; debemos rediseñar cómo nuestras aplicaciones y sistemas implementan la criptografía para no volver a enfrentarnos a un «Día Q» en el futuro.

La amenaza: ¿Por qué tiembla la criptografía actual?

Computación Cuántica vs. Tradicional: Una comparativa de capacidades

Existe una falsa creencia, muy extendida incluso entre ingenieros de software, de que un ordenador cuántico es simplemente un ordenador clásico «excesivamente rápido» que prueba todas las contraseñas posibles al mismo tiempo. Esto es falso.

La computación clásica procesa información en bits deterministas (0 o 1). Si un ordenador clásico quiere encontrar la salida de un laberinto, explora cada camino uno tras otro secuencialmente (o en paralelo si tiene múltiples núcleos). Pero tiene que explorar los caminos hasta encontrar la salida.

La computación cuántica, por otro lado, utiliza qubits, en español se escribe cúbit (pero se suele usar la palabra en inglés). Gracias a los principios de la mecánica cuántica, un qubit puede existir en una superposición de estados básicos simultáneamente, descrita matemáticamente como:

∣ψ⟩=α∣0⟩+β∣1⟩

donde las amplitudes de probabilidad α y β son en general números complejos. Como en cualquier medida en mecánica cuántica, los cuadrados de estos coeficientes determinan respectivamente la probabilidad de obtener en una medida los resultados ∣0⟩ y ∣1⟩. Puesto que la probabilidad total tiene que ser la unidad, α y β deben tener la suma de sus módulos al cuadrado igual a 1:

Así pues, podemos representar un qubit como un punto en una esfera de cuatro dimensiones. Cuando α y β son números reales, podemos representar el qubit en una circunferencia de radio 1.

Sin embargo, la verdadera magia no es la superposición por sí sola, sino la interferencia cuántica. Un algoritmo cuántico bien diseñado (como los que veremos a continuación) aprovecha el entrelazamiento y la interferencia para cancelar activamente las probabilidades de los resultados incorrectos (interferencia destructiva) y amplificar la probabilidad de la respuesta correcta (interferencia constructiva). No prueban «todas las respuestas a la vez»; esculpen la probabilidad para que, al realizar la medición, el sistema colapse de forma abrumadora en la respuesta correcta. Esto es algo difícil de entender, es como, si por arte de magia, el resultado del algoritmo fuera la respuesta correcta, sin necesidad de buscarla, directamente da la respuesta correcta.

El Algoritmo de Shor: El desmantelamiento de RSA y ECC

Peter Shor publicó su algoritmo en 1994, demostrando teóricamente que un ordenador cuántico universal podría resolver el Problema de Factorización de Enteros (IFP) y el Problema del Logaritmo Discreto (DLP) en tiempo polinómico. Esta fue la sentencia de muerte para RSA, Diffie-Hellman y la Criptografía de Curvas Elípticas (ECC).

¿Cómo destruye Shor a RSA? La seguridad de RSA radica en la asimetría computacional de la multiplicación: es fácil multiplicar dos números primos gigantes (p y q) para obtener un módulo N, pero es computacionalmente intratable para un ordenador clásico deducir p y q a partir de N. El mejor algoritmo clásico, la Criba General del Cuerpo de Números o GNFS que es el algoritmo más eficiente conocido para factorizar números enteros grandes, específicamente aquellos que superan los 100 dígitos, aproximadamente 400 bits o más, opera en tiempo subexponencial.

La genialidad del algoritmo de Shor es que no intenta factorizar el número por fuerza bruta. En su lugar, transforma el problema de la factorización en un problema de encontrar el periodo (la repetición) de una función modular:

f(x) = a^x mod N

Shor utiliza un circuito cuántico y la Transformada Cuántica de Fourier (QFT) para evaluar esta función en superposición y extraer su periodo global simultáneamente. Esto reduce la complejidad computacional para factorizar un número entero N a:

O((logN)³)

Esto es tiempo polinómico. En términos prácticos, significa que romper una clave RSA de 2048 bits, que a un superordenador clásico le tomaría millones de años, a un ordenador cuántico con miles de qubits lógicos estables le tomaría horas o incluso minutos.

El caso de ECC: Para la criptografía de Curva Elíptica (ECC), la situación es aún más precaria. Shor adaptado para el logaritmo discreto sobre curvas elípticas es tan eficiente que requiere significativamente menos qubits para romper una clave ECC-256 de los que se necesitan para romper RSA-2048. La ventaja de tamaño de clave que hizo a ECC tan popular clásicamente es su mayor debilidad en el mundo cuántico.

El Algoritmo de Grover: La reducción de la seguridad simétrica

Mientras Shor ataca la criptografía asimétrica, el algoritmo propuesto por Lov Grover en 1996 apunta a la criptografía simétrica (como AES) y a las funciones hash (como SHA-256).

Grover diseñó un algoritmo de búsqueda cuántica para bases de datos no estructuradas. Si tienes una clave simétrica de longitud k, un ataque clásico de fuerza bruta requeriría, en el peor de los casos, probar N=2^k combinaciones, con una complejidad temporal de O(N).

El algoritmo de Grover, utilizando una técnica matemática llamada amplificación de amplitud, permite encontrar el elemento buscado evaluando la función raíz cuadrada de N veces:

O( √ N )

El impacto práctico:

La aceleración cuadrática de Grover reduce a la mitad la seguridad efectiva (en bits) de cualquier algoritmo simétrico.

AES-128: Su esfuerzo de búsqueda pasa de 2¹²⁸ a 2⁶⁴ operaciones. Esto está al alcance de la capacidad de cómputo moderna, por lo que AES-128 se considera vulnerable.

Funciones Hash (SHA-256): Encontrar preimágenes o colisiones se vuelve dramáticamente más fácil, degradando la seguridad de firmas digitales clásicas que dependan de ellas.

La solución a Grover:

Afortunadamente, a diferencia de los estragos de Shor en la criptografía asimétrica (que requiere ser descartada por completo), la mitigación contra Grover es computacionalmente trivial: simplemente duplicar el tamaño de la clave.

Si implementamos AES-256, el ataque de Grover reduce el esfuerzo a 2¹²⁸ operaciones, lo cual sigue siendo un margen de seguridad inquebrantable para cualquier ordenador, clásico o cuántico previsible. Por lo tanto, AES-256 ya es inherentemente «post-cuántico».

Con la matemática de Shor y Grover sobre la mesa, queda claro por qué la comunidad internacional y el NIST han lanzado una carrera contrarreloj para estandarizar nuevas familias de algoritmos.

Los pilares de la resistencia: Familias de algoritmos PQC

La criptografía post-cuántica no se basa en un solo concepto, sino en la diversificación de problemas matemáticos intratables. Si un enfoque fracasa, la cripto-agilidad nos permitirá migrar a otro. Analicemos estas familias.

Criptografía basada en retículos (Lattice-based): El estándar de oro actual

Los retículos son mallas regulares de puntos en un espacio multidimensional. Imaginen una cuadrícula bidimensional infinita, pero extendida a cientos o miles de dimensiones. El problema fundamental aquí es el del Vector Más Corto (SVP) o el problema del Aprendizaje con Errores (LWE – Learning With Errors).

En LWE, la premisa es que resolver un sistema de ecuaciones lineales es fácil, pero si introducimos un pequeño «ruido» o error aleatorio, el problema se vuelve computacionalmente intratable, incluso para un ordenador cuántico. Matemáticamente se expresa como encontrar el vector secreto s dada la matriz A y el resultado b, donde:

b = A⋅s + e (mod q)

y e es el vector de error.

Esta familia es el pilar central del NIST (Instituto Nacional de Estándares y Tecnología de EE. UU.). Los algoritmos Kyber (ahora estandarizado como ML-KEM para el establecimiento de claves) y Dilithium (ML-DSA para firmas digitales) ofrecen un equilibrio excelente entre seguridad, tamaño de clave y velocidad computacional, convirtiéndolos en el estándar de facto para la transición cuántica.

Criptografía basada en códigos (Code-based): La veteranía de McEliece

Mientras que los retículos son relativamente nuevos en el estándar, la criptografía basada en códigos correctores de errores es una vieja conocida. Introducido en 1978, el criptosistema de McEliece ha resistido el escrutinio criptoanalítico durante décadas.

Se basa en la dificultad del problema de la decodificación por síndrome, que es NP-hard. El sistema utiliza códigos lineales (típicamente códigos de Goppa) que son eficientes de decodificar si se conoce la estructura secreta. La clave pública es una versión «ofuscada» (permutada y multiplicada) de esta matriz de decodificación. Si un atacante intercepta un mensaje con errores intencionados añadidos durante el cifrado, no podrá eliminar el ruido sin la matriz original.

Ventajas y desventajas: Sus operaciones de cifrado y descifrado son extremadamente rápidas, y la confianza en su seguridad es inmensa. Sin embargo, tiene un talón de Aquiles: el tamaño de sus claves públicas. Mientras que una clave pública típica de ECC mide unos pocos bytes, una de McEliece puede medir varios megabytes, lo que complica su uso en protocolos de red con ancho de banda restringido.

Criptografía basada en multivariables: Resolución de sistemas no lineales

Esta familia fundamenta su seguridad en la dificultad de resolver sistemas de ecuaciones polinómicas multivariables de grado dos (o superior) sobre un cuerpo finito (conocido como el problema MQ). En términos de formulación matemática, se basa en sistemas donde cada variable interactúa con las demás:

Resolver esto en el caso general es un problema NP-completo. Los algoritmos multivariables son particularmente atractivos para generar firmas digitales extremadamente cortas, operando muy rápidamente en la verificación. Sin embargo, históricamente han sufrido ataques algebraicos complejos y, al igual que los sistemas basados en códigos, suelen requerir claves públicas de gran tamaño.

Firmas basadas en Hash: Seguridad probada con gestión compleja

Las firmas basadas en hash son únicas porque su seguridad no depende de la complejidad de un problema algebraico estructurado (como LWE o factores de polinomios), sino exclusivamente de la resistencia a colisiones e inversiones de una función hash criptográfica (como SHA-3).

Utilizan una estructura de Árboles de Merkle para firmar múltiples mensajes. Existen dos vertientes principales:

• Con estado (Stateful): Algoritmos como XMSS o LMS. Son altamente seguros, pero requieren que el firmante mantenga un registro estricto (un «estado») de qué claves de un solo uso ya han sido utilizadas. Si el estado se corrompe y una clave se reutiliza, la seguridad del sistema colapsa completamente.
• Sin estado (Stateless): Algoritmos como SPHINCS+ (estandarizado como SLH-DSA por el NIST). Resuelven el problema de la gestión de estados utilizando hiperárboles gigantescos, a costa de hacer que la firma digital resultante sea bastante grande y el proceso de firma más lento.

Isogenias de curvas elípticas: La belleza matemática y la reciente pérdida de confianza

Por último, debemos hablar de las isogenias. Una isogenia es un homomorfismo de grupos no nulo entre dos curvas elípticas. A diferencia de la criptografía ECC tradicional que usa puntos en una sola curva elíptica, esta familia operaba trazando «caminos» (isogenias) entre diferentes curvas elípticas supersingulares. El protocolo estrella era SIKE (Supersingular Isogeny Key Encapsulation).

Ofrecía los tamaños de clave más pequeños de todas las familias PQC y una elegancia matemática deslumbrante. Sin embargo, nos dejó una lección crucial sobre criptoanálisis: la elegancia no garantiza la seguridad. En 2022, el ataque de Castryck-Decru demostró que utilizando matemáticas clásicas (un teorema geométrico de los años 90), SIKE podía romperse en cuestión de horas en un ordenador portátil convencional. Esto provocó una pérdida de confianza casi total en las isogenias como solución inmediata, recordándonos en el mundo académico la necesidad constante del escrutinio y del principio de Kerckhoffs.

La transición hacia estos algoritmos ya ha comenzado y redefinirá la seguridad en internet y en las comunicaciones en general durante las próximas décadas. Entender estos fundamentos matemáticos es vital para cualquier profesional de la seguridad informática moderna.

La carrera por la estandarización: El rol del NIST

El Instituto Nacional de Estándares y Tecnología de EE.UU. (NIST) no inventa estos algoritmos; actúa como el árbitro de una competición global masiva. Su objetivo es definir un estándar público, robusto y confiable que reemplace a RSA y a la Criptografía de Curva Elíptica (ECC).

Cronología del proceso NIST: De la convocatoria a la estandarización final

El proceso del NIST pasará a la historia como uno de los esfuerzos colaborativos y criptoanalíticos más exhaustivos jamás realizados. No se trató de una votación, sino de una guerra de desgaste donde los criptógrafos intentaban romper las propuestas de sus colegas.

• 2016 – La Llamada a las Armas: El NIST anuncia formalmente la necesidad de nuevos estándares PQC y solicita propuestas a la comunidad internacional.
• 2017 (Ronda 1): Se aceptan 69 propuestas viables. En esta fase inicial, vimos una enorme diversidad matemática. Muchas de estas propuestas fueron rotas matemáticamente en cuestión de meses (o semanas) mediante ataques algebraicos clásicos, demostrando lo difícil que es diseñar nuevos algoritmos criptográficos.
• 2019 (Ronda 2): El campo se reduce a 26 candidatos. El enfoque cambia de la simple «ausencia de ataques evidentes» a un análisis riguroso de la complejidad teórica y el rendimiento en hardware.
• 2020 (Ronda 3): Quedan 7 finalistas y 8 candidatos alternativos. El escrutinio es máximo. Es aquí donde propuestas aparentemente elegantes como ciertas variantes multivariables e isogenias comenzaron a mostrar fisuras fatales o ineficiencias críticas.
• 2022 – Los Elegidos: El NIST anuncia los primeros algoritmos a estandarizar: CRYSTALS-Kyber para el establecimiento de claves, y CRYSTALS-Dilithium, Falcon y SPHINCS+ para firmas digitales.
• 2024 – Publicación Oficial: El NIST publica formalmente los estándares FIPS 203, FIPS 204 y FIPS 205, consolidando la transición a nivel gubernamental e industrial.

Criterios de selección: El Trilema Criptográfico

Seleccionar un estándar mundial no se basa únicamente en qué algoritmo es «el más seguro». El NIST tuvo que equilibrar un complejo trilema: Seguridad vs. Eficiencia vs. Tamaño de Clave.

1. Seguridad: El requisito innegociable. El NIST definió niveles de seguridad del 1 al 5. El Nivel 1 equivale a la dificultad de romper AES-128 por fuerza bruta, y el Nivel 5 a la de romper AES-256. Los algoritmos debían demostrar resiliencia teórica tanto contra ataques clásicos como cuánticos (como el algoritmo de Grover o adaptaciones de Shor).
2. Eficiencia (Rendimiento Computacional): El algoritmo debe ejecutarse rápidamente. En un servidor web que maneja miles de conexiones TLS por segundo, un algoritmo de firma digital que requiera demasiados ciclos de CPU paralizaría la infraestructura. Del mismo modo, debe ser lo suficientemente ligero para ejecutarse en dispositivos de Internet de las Cosas (IoT) con recursos limitados.
3. Tamaño de la Clave y de la Firma: Este es el gran talón de Aquiles de la PQC. Mientras que una clave pública ECC típica ocupa unos 32 bytes, las alternativas post-cuánticas a menudo requieren kilobytes o incluso megabytes. Claves grandes significan mayor latencia en la red, mayor consumo de ancho de banda y problemas de fragmentación de paquetes en protocolos como TCP y UDP.

Análisis de los seleccionados: Los reyes del estándar FIPS

De todos los candidatos, la familia basada en retículos (Lattice-based) dominó el escenario debido a su excelente equilibrio en el trilema mencionado. Analicemos a los dos protagonistas principales, que han sido rebautizados por el NIST para su publicación oficial.

ML-KEM (Anteriormente CRYSTALS-Kyber): Para el intercambio de claves ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism) es el estándar FIPS 203. A diferencia de Diffie-Hellman, que es un intercambio interactivo puro, ML-KEM utiliza un Mecanismo de Encapsulación de Claves (KEM).

• ¿Cómo funciona?: Un cliente genera una clave simétrica aleatoria, la «encapsula» (cifra) usando la clave pública ML-KEM del servidor, y se la envía. El servidor la desencapsula con su clave ML-KEM privada.
• ¿Por qué ganó?: ML-KEM destaca por su velocidad vertiginosa. Su rendimiento computacional es, en muchos escenarios de hardware, más rápido que el de nuestras actuales curvas elípticas. Además, el tamaño de sus claves públicas y textos cifrados (entre 800 y 1500 bytes dependiendo del nivel de seguridad) es lo suficientemente pequeño como para integrarse en protocolos de internet (como TLS 1.3) sin causar caídas de rendimiento inaceptables por latencia de red.

ML-DSA (Anteriormente CRYSTALS-Dilithium): Para firmas digitales ML-DSA (Module-Lattice-Based Digital Signature Algorithm) es el estándar FIPS 204. Su propósito es garantizar la autenticidad e integridad de los mensajes y certificados digitales.

• ¿Cómo funciona?: Se basa en el paradigma matemático conocido como «Fiat-Shamir con abortos». En los esquemas de retículos simples, las firmas pueden filtrar inadvertidamente información sobre la clave privada. La técnica de «aborto» significa que, si el algoritmo detecta que la firma generada estadísticamente podría revelar algún bit de la clave privada, la descarta (aborta) y genera una nueva desde cero.
• ¿Por qué ganó?: Ofrece un equilibrio extraordinario. Generar y verificar firmas con ML-DSA es computacionalmente muy eficiente. Aunque sus firmas son más grandes que las de algoritmos clásicos como ECDSA, el algoritmo de firma digital con curvas elípticas que tiene alrededor de 2.5 a 4.5 kilobytes y son significativamente más compactas que las firmas basadas en hash puramente sin estado (como SPHINCS+), haciéndolo el algoritmo PQC de propósito general ideal.

Desafíos de implementación en el mundo real

La migración hacia algoritmos resistentes a la computación cuántica representa una de las actualizaciones criptográficas más masivas y complejas en la historia de la informática. A diferencia de las transiciones pasadas (como pasar de MD5 a SHA-256, o de RSA a ECC), donde los nuevos algoritmos solían ser más rápidos o más pequeños, la transición a la criptografía post-cuántica (PQC) nos obliga a asumir compromisos de rendimiento significativos.

El problema del tamaño: Comparativa de llaves y firmas

Durante las últimas dos décadas, la Criptografía de Curva Elíptica (ECC) nos ha malcriado. Con ECC, podemos lograr el mismo nivel de seguridad que RSA utilizando claves diminutas. Por ejemplo, una clave pública ECC de 256 bits (32 bytes) ofrece una seguridad equivalente a una clave RSA de 3072 bits (384 bytes).

Sin embargo, los algoritmos PQC estandarizados por el NIST, que se basan principalmente en retículos matemáticos (Lattice-based cryptography) y funciones hash, operan con estructuras de datos considerablemente más grandes.

El NIST utiliza cuatro niveles de implementación para medir la madurez y el rigor de la gestión de riesgos de una organización: Nivel 1 (Parcial), Nivel 2 (Riesgo Informado), Nivel 3 (Repetible) y Nivel 4 (Adaptativo). Estos niveles indican cómo las empresas integran la ciberseguridad en sus procesos.

Los cuatro niveles de implementación del NIST son:

Nivel 1: Parcial: Las prácticas de ciberseguridad son reactivas, poco integradas y con un conocimiento limitado del riesgo.

Nivel 2: Riesgo Informado (o Consciente): Existe conciencia sobre los riesgos, pero las prácticas de gestión pueden no estar formalizadas ni documentadas en toda la organización.

Nivel 3: Repetible: La organización ha formalizado, documentado y estandarizado sus prácticas de ciberseguridad, lo que permite una respuesta consistente.

Nivel 4: Adaptativo: Las prácticas de seguridad están maduras, se basan en lecciones aprendidas y se adaptan continuamente a las amenazas cambiantes mediante la integración de riesgos.

Observemos las métricas (aproximadas) para el nivel de seguridad 2 del NIST:

• ECC (secp256r1): Clave pública de 32 bytes / Firma de 64 bytes.
• RSA-3072: Clave pública de 384 bytes / Firma de 384 bytes.
• ML-KEM-768 (anteriormente Kyber): Clave pública de 1184 bytes / Texto cifrado de 1088 bytes.
• ML-DSA-65 (anteriormente Dilithium): Clave pública de 1952 bytes / Firma de 3309 bytes.

El impacto práctico: Debemos entender que este «peso» extra es un problema a tener en cuenta. Un certificado digital PQC estándar que incluya toda la cadena de confianza puede pasar de ocupar unos 2 o 3 Kilobytes (con RSA/ECC) a superar los 10 o incluso 15 Kilobytes. En servidores robustos, esto es manejable, pero en el ecosistema del Internet de las Cosas (IoT), tarjetas inteligentes o sistemas embebidos con memoria RAM estricta (a veces de apenas un par de Kilobytes), cargar estas claves en memoria para realizar operaciones matemáticas resulta directamente inviable sin rediseñar el hardware subyacente. Es como multiplicar por 5 las necesidades de hardware y velocidad de conexión.

Impacto en la latencia: El peaje en el protocolo TLS y la web

El aumento en el tamaño de las claves y las firmas tiene un efecto dominó que golpea directamente a la capa de transporte del protocolo TCP, específicamente al protocolo TLS (Transport Layer Security) utilizado en casi todas las conexiones HTTPS.

Cuando su navegador inicia una conexión segura con un servidor, se ejecuta el TLS Handshake (el saludo entre las dos máquinas). Durante este proceso, el servidor envía sus certificados y claves públicas para establecer el canal seguro.

Debido a que los datos PQC son tan voluminosos, nos topamos con los límites de la arquitectura de la red:

• Fragmentación IP y MTU: La Unidad Máxima de Transmisión (MTU) típica de internet es de 1500 bytes. Las firmas y claves públicas PQC exceden este tamaño, lo que obliga a fragmentar los datos en múltiples paquetes TCP.
• El problema del TCP Slow Start: Los protocolos TCP inician las conexiones enviando pocos paquetes a la vez (ventana de congestión inicial) para sondear la capacidad de la red y evitar colapsarla. Si los certificados PQC requieren enviar 10 o 15 paquetes TCP, se agota esta ventana inicial. El servidor se ve obligado a detenerse y esperar un acuse de recibo (ACK) del cliente antes de enviar el resto de los certificados.
• Round Trip Time (RTT): Esta espera añade viajes redondos (RTT) adicionales a la conexión. En una red de fibra óptica en la misma ciudad, esto suma apenas unos milisegundos. Pero en conexiones móviles (4G/5G con mala cobertura), redes satelitales o conexiones intercontinentales, esto puede añadir cientos de milisegundos de latencia, haciendo que la navegación web se sienta notablemente «lenta» y perjudicando la experiencia del usuario.

Sistemas Híbridos: La transición segura

Dado que la amenaza cuántica es inminente (debido al principio de «Cosechar ahora, desencriptar después» por parte de actores estatales y otras organizaciones), pero los algoritmos PQC son jóvenes y podrían contener vulnerabilidades matemáticas aún no descubiertas, ¿cómo implementamos PQC sin arriesgarnos a un fallo catastrófico?

La respuesta de la industria y el mundo académico son los Sistemas Híbridos.

Un esquema híbrido combina un algoritmo clásico bien establecido (como ECC) con un nuevo algoritmo PQC. El proceso funciona de la siguiente manera:

1. Intercambio dual: Durante el handshake, el cliente y el servidor negocian material criptográfico utilizando tanto, por ejemplo, X25519 (ECC clásico) como ML-KEM (Post-cuántico).
2. Combinación de secretos: Los secretos compartidos resultantes de ambos algoritmos no se usan por separado. Se introducen en una Función Derivadora de Claves (KDF), que esencialmente los mezcla (a menudo mediante un hash u operaciones XOR) para generar la clave maestra simétrica final.

La propiedad de seguridad: La brillantez del modelo híbrido radica en su robustez. Para que un atacante rompa la sesión, debe ser capaz de romper ambos algoritmos. Si un adversario tiene una computadora cuántica funcional, romperá la capa ECC, pero la capa ML-KEM lo detendrá. Si, por el contrario, en diez años un matemático descubre una vulnerabilidad clásica en ML-KEM que lo inutiliza, la encriptación sigue a salvo gracias a la robustez comprobada de la capa ECC frente a computadoras clásicas.

Empresas como Google (en Chrome), Cloudflare y Amazon Web Services ya están desplegando activamente TLS híbrido (como X25519Kyber768) para proteger los datos en tránsito hoy mismo, asumiendo el pequeño coste computacional extra en pos de una defensa impenetrable a futuro.

Conclusiones y el camino a seguir

El ecosistema de la ciberseguridad se encuentra en un punto de inflexión histórico. La migración hacia algoritmos post-cuánticos no es un simple parche de software; es un rediseño estructural de la confianza digital. Para navegar este proceso, debemos responder a la pregunta que inevitablemente surge en cualquier junta directiva: ¿cuánto tiempo tenemos realmente?

¿Estamos a tiempo?: Estado actual de los ordenadores cuánticos

En la prensa no especializada es común leer titulares alarmistas que sugieren que el «Apocalipsis Cuántico» o Q-Day ocurrirá el mes que viene. Debemos ser más prudentes y analizar los datos empíricos.

Actualmente nos encontramos en la era NISQ (Noisy Intermediate-Scale Quantum). Los ordenadores cuánticos de hoy, aunque fascinantes y útiles para simulaciones físicas o químicas muy específicas, son extremadamente ruidosos y propensos a la decoherencia (pérdida del estado cuántico debido a la interacción con el entorno).

Para romper una clave RSA-2048 mediante el algoritmo de Shor, no nos sirve cualquier ordenador cuántico; necesitamos un CRQC (Cryptographically Relevant Quantum Computer). Un procesador cuántico con varios miles de qubits lógicos estables. El mayor obstáculo físico para construir un CRQC es la corrección de errores cuánticos (QEC). Los qubits que fabricamos hoy (ya sean superconductores, iones atrapados o átomos neutros) son «qubits físicos». Debido al ruido, necesitamos agrupar miles de estos qubits físicos para crear un único «qubit lógico» estable.

• La magnitud del desafío: Romper RSA-2048 requiere aproximadamente unos 4,000 qubits lógicos estables. Con las tasas de error actuales, eso se traduce en la necesidad de controlar entre 1 y 20 millones de qubits físicos.
• El estado del arte (2026): Empresas como IBM, Google y QuEra han logrado avances monumentales, superando la barrera de los 1,000 qubits físicos y demostrando los primeros prototipos viables de corrección de errores y operaciones con compuertas lógicas tolerantes a fallos. Sin embargo, escalar de miles a millones de qubits requiere avances masivos en criogenia, cableado de microondas y ciencia de materiales o alguna otra tecnología no usada en la actualidad.

El consenso general en la comunidad criptográfica estima que un CRQC capaz de romper RSA o ECC no estará disponible hasta la franja de 2035 a 2045.

¿Significa esto que podemos relajarnos? Absolutamente no. Aquí entra en juego la amenaza de «Cosechar ahora, desencriptar después» (HNDL, por sus siglas en inglés). Actores estatales y otras organizaciones con inmensos recursos de almacenamiento están interceptando y guardando tráfico encriptado actual (como historiales médicos, secretos industriales o comunicaciones diplomáticas). Si esos datos mantienen su valor estratégico dentro de 15 años, la amenaza es presente, no futura.

Para formalizar esta urgencia, en criptografía utilizamos el Teorema de Mosca del que hemos hablado más arriba.

Recomendaciones para empresas: Auditoría de inventario criptográfico

Frente a esta realidad, las organizaciones deben abandonar la reactividad y adoptar la Cripto-Agilidad: la capacidad de sustituir algoritmos criptográficos sin paralizar la infraestructura operativa. El primer paso ineludible hacia la cripto-agilidad es la auditoría por expertos en este mundo.

No se puede proteger lo que no se conoce. En la mayoría de las grandes corporaciones, la criptografía está fragmentada. Hay certificados ocultos en el código fuente, dispositivos IoT con algoritmos codificados en hardware (hardcoded), y bases de datos heredadas que utilizan bibliotecas obsoletas.

Las empresas deben ejecutar una auditoría rigurosa estructurada en las siguientes fases:

A. Creación del CBOM (Cryptographic Bill of Materials)

Al igual que un fabricante de automóviles tiene un inventario de cada tuerca y tornillo, los equipos de TI deben generar un CBOM. Este documento dinámico debe listar:

• Todos los algoritmos en uso (RSA, ECDSA, AES, SHA-2, etc.).
• Longitud de las claves (ej. RSA-1024, que ya es vulnerable clásicamente, frente a RSA-4096).
• Protocolos que los implementan (TLS 1.2, TLS 1.3, IPsec, SSH).
• Bibliotecas de software que los ejecutan (OpenSSL, Bouncy Castle, librerías nativas de Windows/Linux).

B. Análisis de descubrimiento automatizado

El CBOM no debe hacerse a mano. Se recomienda utilizar herramientas de análisis de código estático (SAST) para revisar repositorios en busca de llamadas a funciones criptográficas, así como escáneres de red dinámicos que intercepten el tráfico interno para catalogar qué algoritmos se están negociando realmente en los handshakes de TLS.

C. Clasificación y Triage

Una vez mapeada la criptografía, se debe cruzar con la clasificación de los datos.

1. Datos efímeros (ej. cookies de sesión de un foro): Riesgo cuántico bajo. La migración puede esperar a que los estándares PQC estén implementados nativamente en los navegadores por defecto.
2. Datos de alto valor y larga duración (ej. propiedad intelectual, datos biométricos, infraestructura crítica): Riesgo cuántico crítico. Estos sistemas deben ser priorizados para migrar a esquemas híbridos lo antes posible.

D. Evaluación de la cadena de suministro

Finalmente, la auditoría debe extenderse a los proveedores. Un software de terceros o un dispositivo de hardware (como un HSM – Hardware Security Module) que no ofrezca una hoja de ruta clara hacia actualizaciones post-cuánticas debe ser considerado una vulnerabilidad a largo plazo.

La transición a la Criptografía Post-Cuántica es un maratón, no un sprint. Requiere planificación meticulosa, presupuesto sostenido y una profunda comprensión técnica. Como profesionales del sector, ustedes serán los arquitectos encargados de diseñar y ejecutar esta migración monumental y de proteger hoy los secretos que mañana se pueden ver.