Criptografía postcuántica: qué es, cómo funciona y cómo prepararse para la era cuántica

criptografia postcuantica

Durante mucho tiempo, la computación cuántica se ha presentado como una tecnología lejana, casi propia de la ciencia ficción. Ordenadores capaces de resolver en segundos problemas que las máquinas actuales tardarían miles de años en completar, laboratorios llenos de equipos criogénicos y conceptos como la superposición o el entrelazamiento cuántico parecen alejados de las preocupaciones informáticas del día a día.

Sin embargo, en mi opinión, uno de sus efectos más importantes ya debería preocupar a empresas, administraciones públicas y responsables de sistemas: una computadora cuántica suficientemente potente podría romper buena parte de la criptografía de clave pública que utilizamos actualmente.

banner hosting

RSA, ECDH y ECDSA participan en la protección de certificados digitales, conexiones HTTPS, redes privadas, firmas electrónicas, sistemas de autenticación, aplicaciones bancarias, correos electrónicos y comunicaciones entre API. Aunque estos algoritmos siguen siendo seguros frente a los ordenadores convencionales correctamente utilizados, el escenario podría cambiar cuando existan máquinas cuánticas criptográficamente relevantes.

La criptografía postcuántica, también conocida como criptografía poscuántica, PQC o criptografía resistente a la computación cuántica, intenta adelantarse a ese escenario. Su objetivo es proporcionar algoritmos que puedan ejecutarse en los ordenadores actuales, pero que resistan tanto los ataques convencionales como los que podrían realizar futuras computadoras cuánticas.

No creo que esto deba interpretarse como una señal para entrar en pánico ni como una invitación a cambiar mañana todos los sistemas criptográficos de una organización. La transición será larga, tendrá costes y exigirá pruebas. Pero precisamente por eso conviene empezar a prepararla antes de que el problema sea urgente.

La pregunta realmente útil no es cuándo aparecerá exactamente un ordenador cuántico capaz de romper RSA. La pregunta es cuánto tardaremos nosotros en localizar, probar y actualizar todos los sistemas que todavía dependen de RSA, ECDH, ECDSA u otros mecanismos vulnerables.

Resumen del Artículo ocultar

Qué es la criptografía postcuántica

La criptografía postcuántica engloba algoritmos diseñados para proteger información frente a atacantes que dispongan de ordenadores tradicionales y frente a adversarios que, en el futuro, puedan utilizar computación cuántica a gran escala.

Estos algoritmos se basan en problemas matemáticos para los que no se conocen métodos eficientes de resolución, ni siquiera utilizando los principales algoritmos cuánticos conocidos. Eso no significa que sean imposibles de romper para siempre. En criptografía nunca resulta prudente hacer una promesa tan absoluta. Significa que, de acuerdo con el conocimiento y el criptoanálisis disponibles, ofrecen una base mucho más adecuada para afrontar la amenaza cuántica.

La PQC se concentra principalmente en sustituir determinadas funciones de la criptografía asimétrica:

  • El establecimiento o intercambio de claves.
  • El cifrado de clave pública.
  • Las firmas digitales.
  • La autenticación de personas, máquinas y servicios.

Una vez establecido un secreto compartido, la comunicación normalmente sigue utilizando criptografía simétrica, por ejemplo mediante AES. La criptografía postcuántica no sustituye necesariamente cada pieza de un sistema de seguridad; reemplaza o refuerza aquellas que presentan una vulnerabilidad más directa frente a la computación cuántica.

Por qué “postcuántica” no significa que debamos esperar

El término puede resultar confuso. Parece sugerir una tecnología que solo tendrá sentido después de la llegada de los ordenadores cuánticos, pero ocurre justamente lo contrario.

Los algoritmos postcuánticos están pensados para ejecutarse en sistemas convencionales. No necesitan un procesador cuántico, una red cuántica ni un dispositivo experimental. Pueden implementarse en software, servidores, navegadores, servicios en la nube, dispositivos y módulos criptográficos similares a los que ya utilizamos.

Algunos de estos algoritmos llevan años siendo estudiados por investigadores, organismos de normalización y empresas tecnológicas. En agosto de 2024, el NIST publicó sus tres primeros estándares principales de criptografía postcuántica y recomendó que las organizaciones comenzaran a preparar su transición.

Por eso, para mí, la criptografía postcuántica no debe verse únicamente como un experimento académico. Se está convirtiendo en una cuestión práctica de planificación tecnológica.

No necesitamos conocer la fecha exacta en la que aparecerá una computadora cuántica criptográficamente relevante para comenzar a:

  • Localizar nuestras dependencias criptográficas.
  • Clasificar los datos según el tiempo que deben permanecer protegidos.
  • Revisar qué proveedores admiten algoritmos postcuánticos.
  • Diseñar aplicaciones con mayor agilidad criptográfica.
  • Realizar pruebas de interoperabilidad y rendimiento.
  • Elaborar una hoja de ruta de migración.

Esperar a disponer de una máquina cuántica capaz de ejecutar el ataque sería parecido a comenzar a construir un sistema contra incendios cuando el edificio ya está ardiendo.

Diferencias entre criptografía cuántica y postcuántica

La criptografía postcuántica no es lo mismo que la criptografía cuántica.

La criptografía postcuántica utiliza algoritmos matemáticos que se ejecutan en ordenadores convencionales. Su propósito es resistir ataques procedentes de ordenadores clásicos y cuánticos.

La criptografía cuántica, por su parte, utiliza propiedades de la física cuántica para realizar determinadas funciones de seguridad. Su ejemplo más conocido es la distribución cuántica de claves o QKD.

La diferencia es importante porque sus necesidades de infraestructura son muy distintas. La PQC puede integrarse progresivamente en protocolos, bibliotecas y aplicaciones convencionales. La distribución cuántica de claves suele requerir equipos, enlaces y condiciones físicas específicas.

No son necesariamente enfoques enemigos. Pueden responder a casos de uso diferentes e incluso complementarse, pero emplear ambos términos como sinónimos genera expectativas equivocadas.

Por qué la computación cuántica amenaza la criptografía actual

La seguridad de un algoritmo criptográfico no depende de esconder su funcionamiento. Depende, entre otras cosas, de que resolver el problema matemático sobre el que está construido resulte inviable para un atacante.

RSA, por ejemplo, se apoya en la dificultad de factorizar números enteros muy grandes. Algunos sistemas de curva elíptica dependen de la dificultad de resolver el problema del logaritmo discreto sobre esas curvas.

Con ordenadores convencionales, una clave correctamente configurada puede ofrecer un nivel de protección que haga inviable un ataque directo. El coste computacional y el tiempo necesario serían desproporcionados.

La computación cuántica modifica ese equilibrio porque permite abordar determinados problemas de una forma diferente.

RSA, ECDH y ECDSA: dónde se utilizan

RSA y la criptografía de curva elíptica aparecen integrados en una enorme cantidad de tecnologías. No se limitan a proteger páginas web.

Entre sus aplicaciones encontramos:

  • Certificados TLS y conexiones HTTPS.
  • Redes privadas virtuales.
  • Infraestructuras de clave pública o PKI.
  • Correo electrónico cifrado y firmado.
  • Firma de documentos.
  • Firma de código y actualizaciones de software.
  • Autenticación de usuarios y dispositivos.
  • Comunicaciones entre microservicios.
  • Conexiones entre API.
  • Sistemas bancarios y de pago.
  • Tarjetas inteligentes.
  • Dispositivos industriales y conectados.
  • Identidad digital.
  • Comunicaciones gubernamentales.

En muchos de estos casos, la criptografía asimétrica no cifra directamente todos los datos. Se utiliza para autenticar a las partes, firmar información o acordar una clave simétrica que posteriormente protegerá la comunicación.

Esta distinción resulta fundamental. Romper el mecanismo de establecimiento de claves puede permitir recuperar la clave simétrica que protegía una sesión. Comprometer una firma digital puede permitir falsificar identidades, software, órdenes o documentos.

Cómo cambia el escenario el algoritmo de Shor

El algoritmo de Shor describe cómo un ordenador cuántico suficientemente capaz podría factorizar enteros y resolver problemas de logaritmo discreto con mucha más eficiencia que los métodos clásicos conocidos.

En la práctica, esto amenaza los fundamentos matemáticos utilizados por RSA, Diffie-Hellman, ECDH, ECDSA y otros sistemas de clave pública.

Esto no significa que cualquier ordenador cuántico actual pueda romper de inmediato un certificado RSA. Para ejecutar ataques criptográficos reales a gran escala serían necesarios equipos cuánticos considerablemente más avanzados, estables y capaces de corregir errores.

La incertidumbre se encuentra en el calendario, no en el impacto teórico. No sabemos exactamente cuándo existirá la capacidad técnica suficiente. Tampoco resulta sencillo estimar cuánto tardará la tecnología en pasar de un logro experimental a una herramienta operativa.

Por esta razón, una estrategia seria no debería depender de acertar una fecha.

Qué ocurre con AES, las funciones hash y el algoritmo de Grover

La amenaza no afecta de la misma manera a toda la criptografía.

El algoritmo de Grover puede acelerar las búsquedas exhaustivas, incluidas las dirigidas contra claves simétricas. Sin embargo, su efecto no es equivalente al que Shor tendría sobre RSA o ECC. Grover proporciona una mejora cuadrática, no una ruptura completa de la estructura matemática del algoritmo.

En términos simplificados, una clave simétrica más larga puede compensar parte de esa reducción de seguridad. Por eso suelen analizarse estrategias como utilizar parámetros suficientemente amplios, en lugar de sustituir por completo la criptografía simétrica.

Esto no quiere decir que AES y las funciones hash deban ignorarse. Cada organización tiene que comprobar tamaños de claves, configuraciones, protocolos y periodos de protección. Pero la prioridad más evidente de la migración postcuántica está en los sistemas de clave pública vulnerables a Shor.

Recopilar ahora y descifrar después: el riesgo que ya existe

Una de las amenazas que considero más importantes es la conocida como “recopilar ahora y descifrar después”, “cosechar hoy para descifrar mañana” o harvest now, decrypt later.

El funcionamiento es relativamente sencillo. Un atacante intercepta y almacena comunicaciones cifradas que actualmente no puede leer. En lugar de intentar romperlas de inmediato, conserva los datos con la esperanza de disponer en el futuro de un ordenador cuántico capaz de descifrarlos.

Puede parecer un ataque poco práctico, pero almacenar información es mucho más sencillo que descifrarla. Un adversario con recursos e interés suficiente podría recopilar grandes volúmenes de tráfico y seleccionar posteriormente qué comunicaciones merece la pena recuperar.

NIST identifica esta amenaza como una de las razones principales para comenzar la transición antes de que aparezcan ordenadores cuánticos criptográficamente relevantes.

Por qué la vida útil de los datos importa

No toda la información conserva el mismo valor durante el mismo periodo.

La contraseña temporal de una sesión puede perder interés rápidamente. En cambio, un historial médico, un diseño industrial, un expediente judicial, una investigación científica o una comunicación diplomática pueden continuar siendo sensibles dentro de diez, veinte o más años.

La prioridad de migración no debería calcularse únicamente según la probabilidad de aparición de un ordenador cuántico. También tiene que considerar:

  • Cuánto tiempo debe permanecer confidencial la información.
  • Durante cuánto tiempo circulará por redes potencialmente observables.
  • Cuánto tardará la organización en reemplazar sus sistemas.
  • Qué consecuencias tendría una divulgación futura.
  • Si los datos pueden ser capturados actualmente por terceros.

Podemos expresar el problema mediante una fórmula conceptual sencilla:

Tiempo de confidencialidad del dato + tiempo necesario para migrar > tiempo estimado hasta la amenaza cuántica

Cuando esa relación se cumple, la organización ya llega tarde desde el punto de vista preventivo.

No hace falta asignar cifras exactas para que el razonamiento resulte útil. Basta con comprender que una migración de cinco años no puede comenzar el día anterior a la llegada de la amenaza.

Qué información debería preocuparnos más

Entre los datos que pueden justificar una preparación temprana se encuentran:

  • Historiales clínicos y genéticos.
  • Información financiera de largo plazo.
  • Secretos empresariales.
  • Propiedad intelectual.
  • Diseños de productos todavía no lanzados.
  • Credenciales y secretos de infraestructura.
  • Comunicaciones gubernamentales.
  • Información de defensa.
  • Contratos y operaciones corporativas.
  • Datos de menores.
  • Documentos judiciales confidenciales.
  • Copias de seguridad almacenadas durante muchos años.

La lista variará según la organización. Una empresa de comercio electrónico, un hospital y una instalación industrial no tendrán el mismo perfil de riesgo.

La idea importante es abandonar una visión genérica. “Nuestros datos están cifrados” ya no es una respuesta suficiente. Necesitamos saber qué cifrado se emplea, para qué función, en qué protocolo, con qué claves, durante cuánto tiempo y bajo qué dependencias.

Cómo priorizar los datos según su periodo de confidencialidad

Una clasificación inicial puede utilizar tres niveles:

PrioridadCaracterísticasEjemplos
AltaDatos sensibles que deben conservar su confidencialidad durante muchos añosInformación médica, defensa, propiedad intelectual, secretos industriales
MediaDatos cuyo valor disminuye, pero permanece durante un periodo considerableContratos, informes financieros, comunicaciones internas
BajaInformación de vida corta o escaso impacto futuroDatos operativos temporales y sesiones sin valor persistente

Esta tabla no sustituye un análisis de riesgos. Sirve como punto de partida para relacionar la estrategia postcuántica con el valor real de la información.

En mi caso, considero mucho más útil comenzar por esta clasificación que debatir durante meses sobre la fecha exacta del llamado “Día Q”. La fecha puede cambiar. La sensibilidad y la vida útil de nuestros datos son elementos que sí podemos estudiar ahora.

Cómo funciona la criptografía postcuántica

La criptografía postcuántica no se basa en una única fórmula ni en una sola familia matemática. Existen varios enfoques que intentan construir operaciones criptográficas sobre problemas considerados difíciles para los ordenadores clásicos y cuánticos.

Cada familia ofrece ventajas y desventajas en aspectos como:

  • Tamaño de las claves públicas y privadas.
  • Longitud de las firmas.
  • Velocidad de generación y verificación.
  • Memoria necesaria.
  • Complejidad de implementación.
  • Resistencia frente a ataques auxiliares.
  • Facilidad de integración en protocolos existentes.
  • Madurez del análisis criptográfico.

Por eso no existe un algoritmo universalmente perfecto para todos los dispositivos y aplicaciones.

Problemas matemáticos resistentes a ataques cuánticos

Entre las principales familias estudiadas se encuentran:

Criptografía basada en retículos. Utiliza problemas matemáticos relacionados con estructuras de puntos en espacios de múltiples dimensiones. Ha recibido una gran atención por su versatilidad y por su capacidad para construir mecanismos de encapsulación de claves y firmas digitales.

Criptografía basada en códigos. Se apoya en la dificultad de determinados problemas relacionados con códigos de corrección de errores. Algunos de sus diseños tienen una larga historia de investigación, aunque pueden requerir claves públicas grandes.

Firmas basadas en funciones hash. Utilizan propiedades de las funciones hash para construir sistemas de firma. Ofrecen una alternativa basada en supuestos distintos de los algoritmos de retículos, aunque algunas variantes producen firmas más voluminosas.

Criptografía multivariante. Emplea sistemas de ecuaciones polinómicas multivariables. Ha generado propuestas con propiedades interesantes, pero varias construcciones han sufrido avances importantes en criptoanálisis.

La diversidad es positiva. Si toda la infraestructura postcuántica dependiera de un único problema matemático, una vulnerabilidad futura podría tener un impacto generalizado. Contar con alternativas basadas en supuestos diferentes mejora la capacidad de respuesta.

Encapsulación de claves y firmas digitales

Dos conceptos aparecerán continuamente al hablar de PQC: los mecanismos de encapsulación de claves y las firmas digitales.

Un KEM, o mecanismo de encapsulación de claves, permite que dos partes establezcan un secreto compartido a través de un canal público. Ese secreto puede utilizarse después con algoritmos simétricos para cifrar y autenticar la comunicación. El estándar FIPS 203 define ML-KEM precisamente para esta función.

Una firma digital permite comprobar la autenticidad y la integridad de un mensaje, documento, programa o transacción. La transición postcuántica necesita mecanismos de firma capaces de reemplazar funciones que actualmente realizan RSA, ECDSA y otros algoritmos.

No debemos confundir cifrado con firma. Un sistema puede migrar correctamente el establecimiento de claves, pero continuar dependiendo de una firma vulnerable. También puede ocurrir lo contrario.

La preparación necesita revisar ambas rutas.

Principales algoritmos de criptografía postcuántica

En agosto de 2024, el NIST publicó tres estándares FIPS que constituyen la base principal de sus recomendaciones postcuánticas:

EstándarAlgoritmoFunciónNombre anterior o propuesta de origen
FIPS 203ML-KEMEncapsulación de clavesCRYSTALS-Kyber
FIPS 204ML-DSAFirma digitalCRYSTALS-Dilithium
FIPS 205SLH-DSAFirma digital basada en hashSPHINCS+

Estos estándares ya pueden utilizarse. El propio NIST indica que ML-KEM, ML-DSA y SLH-DSA deberían formar la base de la mayoría de los despliegues y anima a las organizaciones a comenzar la transición.

ML-KEM para establecer claves

ML-KEM es un mecanismo de encapsulación de claves basado en problemas de retículos. Está diseñado para permitir el establecimiento de un secreto compartido que posteriormente puede utilizarse con algoritmos simétricos.

FIPS 203 define tres conjuntos de parámetros:

  • ML-KEM-512.
  • ML-KEM-768.
  • ML-KEM-1024.

Los parámetros ofrecen distintos equilibrios entre nivel de seguridad y rendimiento. La elección no debería hacerse únicamente seleccionando el número más alto. Hay que considerar el protocolo, el modelo de amenazas, las recomendaciones aplicables y las limitaciones de los sistemas.

CRYSTALS-Kyber fue el nombre de la propuesta de la que deriva el estándar. En documentación actual conviene utilizar ML-KEM cuando se haga referencia al algoritmo estandarizado y reservar “Kyber” para hablar de la propuesta o de implementaciones históricas.

ML-DSA y SLH-DSA para firmas digitales

ML-DSA, definido en FIPS 204, deriva de CRYSTALS-Dilithium y está destinado a convertirse en una de las principales opciones para firmas digitales postcuánticas.

SLH-DSA, definido en FIPS 205, deriva de SPHINCS+ y utiliza un enfoque basado en funciones hash. Al apoyarse en una familia matemática diferente, proporciona diversidad frente a los algoritmos de retículos.

Esa diversidad resulta relevante. La selección de un algoritmo no depende solo de cuál ofrece la firma más pequeña o la verificación más rápida. También puede interesar mantener alternativas basadas en supuestos de seguridad distintos.

Algoritmos seleccionados pero todavía no estandarizados definitivamente

Aquí conviene prestar atención al lenguaje. “Seleccionado para estandarización” no significa lo mismo que “estándar final publicado”.

NIST seleccionó FALCON como base de un futuro estándar de firma denominado FN-DSA. Su publicación está prevista como FIPS 206, pero el proceso continúa en desarrollo. También seleccionó HQC en marzo de 2025 como mecanismo de encapsulación de claves de respaldo basado en un enfoque matemático diferente de ML-KEM. El estándar definitivo de HQC todavía se encuentra en preparación.

Por tanto:

  • ML-KEM, ML-DSA y SLH-DSA son estándares publicados.
  • FN-DSA ha sido seleccionado, pero su FIPS sigue en desarrollo.
  • HQC ha sido seleccionado para estandarización, pero todavía no es un estándar final.
  • BIKE, Frodo o Classic McEliece no deben presentarse automáticamente como estándares aprobados por NIST.

Esta precisión evita uno de los errores más frecuentes en los contenidos divulgativos sobre criptografía postcuántica: mezclar candidatos, propuestas seleccionadas y estándares definitivos.

Los desafíos de migrar a criptografía postcuántica

Diseñar algoritmos resistentes es solo una parte del problema. La dificultad operativa consiste en sustituir una infraestructura criptográfica construida durante décadas.

Los algoritmos actuales se encuentran integrados en sistemas operativos, navegadores, aplicaciones, dispositivos, bibliotecas, servidores, certificados, tarjetas inteligentes, equipos industriales y componentes de terceros.

En muchos casos, la organización ni siquiera controla directamente todos esos elementos. Una aplicación puede llamar a una biblioteca que utiliza un protocolo dependiente de otro componente, que a su vez se comunica con un servicio externo cuya configuración criptográfica gestiona un proveedor.

Por eso la migración postcuántica no es un simple cambio de algoritmo en un archivo de configuración.

Tamaño de claves, firmas y mensajes

Algunos algoritmos postcuánticos emplean claves, textos cifrados o firmas de mayor tamaño que las soluciones tradicionales de curva elíptica.

El impacto puede resultar poco relevante en un servidor moderno con abundante memoria y ancho de banda, pero importante en:

  • Dispositivos IoT.
  • Tarjetas inteligentes.
  • Sistemas embebidos.
  • Redes con poco ancho de banda.
  • Protocolos con límites rígidos de tamaño.
  • Equipos industriales con ciclos de vida prolongados.
  • Aplicaciones que procesan grandes volúmenes de firmas.
  • Sistemas con restricciones de latencia.

No basta con medir cuánto tarda una operación criptográfica aislada. También hay que analizar paquetes, certificados, cadenas de confianza, almacenamiento, consumo energético y comportamiento del sistema completo.

Rendimiento, almacenamiento y ancho de banda

Una prueba útil debe responder, al menos, a estas preguntas:

  • ¿Aumenta el tiempo de establecimiento de conexión?
  • ¿Cuánto crecen los mensajes intercambiados?
  • ¿Cambian los requisitos de memoria?
  • ¿Qué ocurre cuando miles de clientes se conectan simultáneamente?
  • ¿Pueden los dispositivos actuales actualizar su firmware?
  • ¿Admiten el algoritmo los módulos de seguridad y HSM?
  • ¿Funcionan las inspecciones de red, proxies y balanceadores?
  • ¿Qué impacto tiene en la renovación de certificados?
  • ¿Se mantienen los tiempos de firma y verificación aceptables?

En mi opinión, aquí se encuentra uno de los mayores riesgos de una migración apresurada. Un algoritmo puede ser criptográficamente adecuado y, al mismo tiempo, provocar problemas operativos si se despliega sin medir sus efectos.

Sistemas antiguos, dispositivos e interoperabilidad

Los sistemas heredados serán uno de los obstáculos principales.

Algunos equipos no pueden actualizarse. Otros utilizan bibliotecas antiguas, certificados integrados en fábrica o hardware criptográfico con capacidades fijas. También existen dispositivos cuya vida útil supera ampliamente el ciclo habitual de actualización de software.

La interoperabilidad añade otra dificultad. Una aplicación preparada para PQC necesita comunicarse con clientes, servidores y proveedores que quizá todavía no lo estén.

Por eso es poco probable que la transición se produzca mediante un cambio simultáneo y universal. Habrá periodos de convivencia, compatibilidad y negociación entre algoritmos.

Por qué los sistemas híbridos serán importantes durante la transición

Un sistema criptográfico híbrido combina un mecanismo tradicional con otro postcuántico.

Por ejemplo, un protocolo podría derivar una clave de sesión utilizando simultáneamente ECDH y ML-KEM. La conexión se diseñaría para conservar protección mientras al menos uno de los componentes mantuviera su seguridad, siempre que la combinación se implemente correctamente.

Este enfoque intenta gestionar dos incertidumbres:

  1. Los algoritmos tradicionales tienen una larga historia de uso, pero son vulnerables a una futura computadora cuántica suficientemente potente.
  2. Los algoritmos postcuánticos ofrecen resistencia frente a esa amenaza, pero tienen menos años de despliegue, análisis operativo y experiencia acumulada.

La combinación puede actuar como puente durante la migración.

Cómo se combina la criptografía tradicional con la postcuántica

Un diseño híbrido no consiste simplemente en ejecutar dos algoritmos de cualquier manera. Hay que combinar correctamente sus secretos, validar errores, gestionar las claves y evitar que un fallo en una parte debilite el conjunto.

En el establecimiento de claves, los secretos generados mediante el sistema clásico y el postcuántico pueden introducirse en una función de derivación de claves para obtener el secreto final.

En las firmas digitales, una estrategia puede requerir dos firmas independientes o una estructura compuesta. Cada opción tiene consecuencias en certificados, protocolos, tamaños y validación.

La implementación es tan importante como la selección del algoritmo. Una mala combinación puede crear una falsa sensación de seguridad.

Aplicaciones en TLS, PKI, VPN y API

Los modelos híbridos pueden resultar especialmente útiles en:

  • Conexiones TLS.
  • Redes privadas virtuales.
  • Comunicaciones entre centros de datos.
  • API con información duradera.
  • Servicios en la nube.
  • Sistemas de mensajería.
  • Infraestructuras PKI.
  • Actualizaciones de software.
  • Redes industriales.

No todos los casos deben migrarse al mismo ritmo. Un canal que transporta información pública no tiene la misma prioridad que una conexión por la que circulan historiales médicos o secretos industriales.

Ventajas y límites de una estrategia híbrida

Entre sus ventajas se encuentran:

  • Reducir el riesgo de depender inmediatamente de un único algoritmo nuevo.
  • Facilitar pruebas progresivas.
  • Mantener compatibilidad en determinados entornos.
  • Proteger frente a amenazas clásicas y futuras.
  • Obtener experiencia operativa antes de la sustitución completa.

Sus límites también son importantes:

  • Aumenta la complejidad.
  • Puede incrementar el tamaño de los mensajes.
  • Añade más claves y configuraciones que gestionar.
  • No garantiza seguridad si la combinación está mal diseñada.
  • Puede prolongar dependencias antiguas más tiempo del necesario.
  • Requiere comprobar el soporte real de clientes y proveedores.

Un sistema híbrido debe formar parte de una estrategia de transición, no convertirse automáticamente en una solución permanente.

Agilidad criptográfica: la base de una migración segura

Para mí, una de las ideas más importantes de todo este proceso es la agilidad criptográfica o criptoagilidad.

La agilidad criptográfica es la capacidad de sustituir, actualizar o adaptar algoritmos, protocolos, claves y parámetros sin tener que reconstruir por completo una aplicación o interrumpir de forma grave el sistema.

NIST la describe como el conjunto de capacidades necesarias para reemplazar y adaptar algoritmos en protocolos, aplicaciones, software, hardware e infraestructuras manteniendo la resiliencia operativa.

Una organización ágil no da por hecho que el algoritmo elegido hoy seguirá siendo válido durante toda la vida del sistema. Diseña sus componentes para aceptar cambios.

Qué es un inventario criptográfico

Antes de sustituir nada, necesitamos saber qué tenemos.

Un inventario criptográfico debe identificar:

  • Algoritmos utilizados.
  • Tamaños y tipos de clave.
  • Certificados activos.
  • Autoridades de certificación.
  • Protocolos de comunicación.
  • Bibliotecas criptográficas.
  • Aplicaciones que firman o verifican información.
  • Dispositivos con claves integradas.
  • Módulos de seguridad.
  • Sistemas de gestión de secretos.
  • Dependencias de terceros.
  • Datos protegidos y periodo de confidencialidad.
  • Responsables técnicos y empresariales.

NIST y su centro NCCoE sitúan el descubrimiento y el inventario de los usos de criptografía de clave pública entre los primeros pasos de una migración.

Muchas organizaciones probablemente no disponen todavía de una visión completa de sus activos criptográficos. Pueden conocer los certificados públicos de sus páginas web, pero no todas las claves utilizadas por aplicaciones internas, dispositivos, contenedores, copias de seguridad, herramientas de desarrollo o servicios externos.

Sin ese mapa, la planificación se convierte en una sucesión de suposiciones.

Cómo localizar algoritmos, claves, certificados y dependencias

El descubrimiento puede combinar varias técnicas:

  • Escaneo de redes y servicios.
  • Análisis de repositorios de código.
  • Inspección de configuraciones.
  • Inventario de certificados.
  • Revisión de bibliotecas y dependencias.
  • Consultas a proveedores.
  • Análisis de HSM y gestores de claves.
  • Entrevistas con equipos de desarrollo y operaciones.
  • Revisión de documentación de arquitectura.
  • Observación del tráfico y los protocolos utilizados.

El inventario no debería ser un documento estático creado una sola vez. Los certificados se renuevan, aparecen servicios nuevos, cambian las bibliotecas y se incorporan proveedores.

Conviene convertirlo en un proceso continuo conectado con la gestión de activos, vulnerabilidades, arquitectura y riesgo.

Por qué no conviene codificar permanentemente un único algoritmo

Una aplicación que incluye de forma rígida una única opción criptográfica puede resultar segura hoy y convertirse en un problema mañana.

La criptoagilidad requiere separar, cuando sea razonable:

  • La lógica empresarial.
  • La implementación criptográfica.
  • La política de selección de algoritmos.
  • La gestión de claves.
  • Los parámetros de seguridad.
  • La negociación entre sistemas.

Esto no significa permitir cualquier algoritmo por motivos de compatibilidad. La flexibilidad sin control puede mantener activas opciones débiles. La agilidad necesita políticas claras para añadir soluciones nuevas y retirar las obsoletas.

Cómo preparar una estrategia de transición postcuántica

Una migración segura debe tratarse como un programa de transformación, no como una actualización aislada.

Paso 1: identificar los datos y sistemas prioritarios

Comenzaría por relacionar activos técnicos con necesidades empresariales.

Para cada sistema conviene responder:

  • ¿Qué información protege?
  • ¿Cuánto tiempo debe seguir siendo confidencial?
  • ¿Utiliza RSA, ECDH, ECDSA u otro algoritmo vulnerable?
  • ¿Está expuesto a redes públicas?
  • ¿Puede actualizarse?
  • ¿Qué ocurriría si dejara de estar disponible?
  • ¿Quién es su propietario?
  • ¿De qué proveedores depende?

La prioridad más alta normalmente recaerá en datos duraderos, sistemas críticos y componentes con tiempos de sustitución largos.

Paso 2: evaluar proveedores y dependencias

Una parte importante de la criptografía utilizada por una empresa procede de terceros.

Hay que consultar a los proveedores:

  • Qué algoritmos postcuánticos tienen previstos.
  • Qué estándares admitirán.
  • En qué versiones estarán disponibles.
  • Si ofrecerán modos híbridos.
  • Qué hardware será compatible.
  • Cómo se actualizarán certificados y claves.
  • Qué cambios exigirán a clientes y aplicaciones.
  • Cuándo retirarán algoritmos tradicionales.

Las respuestas deberían incorporarse a contratos, procesos de compra y evaluaciones de riesgo.

Paso 3: probar soluciones híbridas y postcuánticas

Las pruebas deben comenzar en entornos controlados.

Un proyecto piloto puede centrarse en un servicio interno, una API no crítica, una conexión entre centros de datos o un proceso de firma limitado.

El objetivo no es demostrar únicamente que el algoritmo funciona. Hay que comprobar:

  • Compatibilidad.
  • Latencia.
  • Tamaño de los mensajes.
  • Consumo de recursos.
  • Comportamiento ante errores.
  • Monitorización.
  • Renovación y rotación de claves.
  • Recuperación.
  • Integración con herramientas de seguridad.

Paso 4: medir rendimiento y operatividad

Conviene definir métricas antes de desplegar:

ÁreaMétricas posibles
RendimientoLatencia, conexiones por segundo, tiempo de firma
RecursosCPU, memoria, almacenamiento, energía
RedTamaño de handshake, fragmentación, ancho de banda
OperacionesTiempo de renovación, errores, incidencias
CompatibilidadClientes, servidores, dispositivos y proveedores admitidos
SeguridadAlgoritmos negociados, configuraciones débiles, fallos de validación

Una prueba sin métricas puede confirmar que algo “parece funcionar”, pero no que esté listo para producción.

Paso 5: crear un plan de sustitución y seguimiento

La hoja de ruta debería incluir:

  • Sistemas y datos dentro del alcance.
  • Dependencias y responsables.
  • Proyectos piloto.
  • Fechas de actualización.
  • Criterios de aceptación.
  • Presupuesto.
  • Equipos implicados.
  • Plan de retirada de algoritmos antiguos.
  • Gestión de excepciones.
  • Formación.
  • Seguimiento de estándares.
  • Pruebas periódicas.

No se trata de cambiar mañana todos los certificados o algoritmos. Se trata de dejar de improvisar.

Qué organizaciones deberían empezar antes

Todas las organizaciones que utilicen criptografía de clave pública tendrán que observar la transición, pero algunas deberían actuar con mayor anticipación.

Administraciones públicas e infraestructuras críticas

Las administraciones gestionan información que puede conservar su sensibilidad durante décadas. También operan sistemas con ciclos de contratación, certificación y sustitución especialmente largos.

Las infraestructuras críticas añaden equipos industriales, tecnologías operativas y dispositivos que no siempre pueden actualizarse fácilmente. En algunos casos, una máquina instalada hoy continuará funcionando cuando la amenaza cuántica sea más madura.

Salud, banca y servicios financieros

Los historiales médicos combinan alta sensibilidad y larga vida útil. El sector sanitario también utiliza dispositivos, plataformas de intercambio de información, servicios externos y sistemas heredados.

Las entidades financieras dependen de firmas, autenticación, comunicaciones seguras, transacciones y marcos regulatorios exigentes. La escala de sus infraestructuras hace que una transición completa pueda requerir años.

Empresas con propiedad intelectual o datos duraderos

Una organización no necesita pertenecer a un sector regulado para resultar atractiva.

Los planes de negocio, diseños, fórmulas, código fuente, investigaciones, fusiones, contratos y estrategias comerciales pueden mantener su valor durante mucho tiempo.

En estos casos, “recopilar ahora y descifrar después” deja de ser una amenaza abstracta. La información capturada hoy podría revelar en el futuro decisiones, tecnologías o secretos que continúen siendo relevantes.

Errores comunes al prepararse para la era postcuántica

Esperar a conocer la fecha exacta del “Día Q”

Nadie puede ofrecer una fecha completamente fiable para la llegada de un ordenador cuántico criptográficamente relevante.

Esperar a tener certeza puede resultar cómodo, pero no ayuda a gestionar el riesgo. Las migraciones complejas se preparan utilizando escenarios, márgenes y prioridades, no predicciones perfectas.

Pensar únicamente en certificados web

Los certificados TLS son importantes, pero solo representan una parte del problema.

También deben revisarse:

  • Firmas de software.
  • Identidad de dispositivos.
  • Claves de API.
  • VPN.
  • Correo.
  • Documentos.
  • Copias de seguridad.
  • PKI privadas.
  • Servicios internos.
  • Sistemas industriales.
  • Autenticación entre máquinas.

Una organización puede actualizar su web pública y conservar cientos de dependencias vulnerables en su infraestructura interna.

Migrar sin inventario ni pruebas previas

Cambiar algoritmos sin conocer sus dependencias puede causar interrupciones, incompatibilidades o fallos difíciles de diagnosticar.

El orden lógico es descubrir, clasificar, probar, medir y desplegar.

Confundir urgencia con alarmismo

Personalmente, no considero útil presentar la computación cuántica como una catástrofe inmediata. Todavía existen enormes retos antes de disponer de máquinas capaces de romper criptografía de clave pública a gran escala.

Pero tampoco me parece prudente ignorar el problema.

Decir que algo no ocurrirá mañana no significa que podamos posponer durante años una migración que, precisamente, puede requerir muchos años.

La postura razonable se encuentra entre los dos extremos: no entrar en pánico, pero empezar a prepararse.

No hace falta entrar en pánico, pero sí empezar

La criptografía postcuántica representa un cambio importante en la manera de proteger datos, identidades y comunicaciones.

Su necesidad nace de una amenaza futura, pero varias de las decisiones necesarias pertenecen al presente. Los datos pueden estar siendo capturados hoy. Los dispositivos que utilizaremos dentro de diez años pueden estar comprándose ahora. Las aplicaciones que deberán migrarse en el futuro se están diseñando en este momento.

Los primeros estándares principales ya han sido publicados y pueden comenzar a utilizarse. ML-KEM proporciona un mecanismo estandarizado para el establecimiento de claves, mientras que ML-DSA y SLH-DSA cubren firmas digitales mediante enfoques distintos. Otros algoritmos, como FN-DSA y HQC, continúan su proceso de estandarización.

Aun así, la transición no consiste simplemente en elegir un nombre de una lista. Necesita inventarios, análisis de riesgos, agilidad criptográfica, pruebas de rendimiento, coordinación con proveedores y una estrategia para retirar algoritmos antiguos.

En mi opinión, la criptografía postcuántica es también una oportunidad. Obliga a revisar dependencias que durante años han permanecido ocultas y a diseñar sistemas más flexibles.

No se trata de reemplazar mañana todos los certificados. Se trata de saber dónde están, qué protegen, cuánto tiempo necesitaremos mantener esos datos seguros y qué debemos hacer para poder sustituirlos sin improvisaciones.

La pregunta, por tanto, no debería ser únicamente cuándo aparecerá un ordenador cuántico capaz de romper RSA. Debería ser cuánto tardaremos nosotros en actualizar todos los sistemas que dependen de RSA, ECDH o ECDSA.

Cuanto antes podamos responderla, mejor preparados estaremos.

Dudas de la comunidad

¿Qué es la criptografía postcuántica?

Es el conjunto de algoritmos criptográficos diseñados para resistir ataques realizados con ordenadores convencionales y con futuras computadoras cuánticas. También se conoce como criptografía poscuántica, PQC o criptografía resistente a la computación cuántica.

¿La criptografía postcuántica necesita ordenadores cuánticos?

No. Los algoritmos postcuánticos se ejecutan en ordenadores convencionales. El término describe el tipo de ataques frente a los que intentan protegernos, no el hardware necesario para utilizarlos.

¿Por qué la computación cuántica puede romper RSA?

RSA se basa en la dificultad de factorizar números grandes. El algoritmo de Shor permitiría a una computadora cuántica suficientemente potente realizar esa tarea con mucha más eficiencia, comprometiendo la seguridad del sistema.

¿RSA y ECC ya no son seguros?

Continúan siendo utilizados y no pueden romperse de forma práctica con los ordenadores cuánticos actuales. Sin embargo, una máquina cuántica criptográficamente relevante podría comprometerlos, por lo que se está preparando su sustitución gradual en los usos afectados.

¿AES también es vulnerable?

El algoritmo de Grover podría reducir la seguridad efectiva de determinados tamaños de clave mediante una aceleración cuadrática de las búsquedas. Su impacto no equivale a la ruptura que Shor provocaría en RSA o ECC. La respuesta habitual consiste en evaluar parámetros y utilizar claves simétricas suficientemente amplias.

¿Qué es “recopilar ahora y descifrar después”?

Es una estrategia en la que un atacante captura datos cifrados hoy y los almacena para intentar descifrarlos en el futuro mediante computación cuántica. Afecta especialmente a información que debe mantenerse confidencial durante muchos años.

¿Qué algoritmos postcuánticos están estandarizados?

NIST publicó en agosto de 2024:

  • FIPS 203, que define ML-KEM.
  • FIPS 204, que define ML-DSA.
  • FIPS 205, que define SLH-DSA.

FN-DSA y HQC han sido seleccionados para estandarización, pero sus estándares definitivos siguen en desarrollo.

¿Kyber y ML-KEM son lo mismo?

ML-KEM deriva de la propuesta CRYSTALS-Kyber. Cuando se habla del estándar FIPS 203, la denominación correcta es ML-KEM. “Kyber” puede seguir apareciendo en documentación anterior, implementaciones experimentales o explicaciones históricas.

¿Dilithium y ML-DSA son lo mismo?

ML-DSA es el estándar derivado de CRYSTALS-Dilithium. Para referirse al algoritmo especificado en FIPS 204 conviene utilizar ML-DSA.

¿Qué es una migración híbrida?

Es una estrategia que combina criptografía tradicional y postcuántica. Puede utilizar, por ejemplo, un mecanismo clásico y otro postcuántico para establecer una clave. Su propósito es reducir riesgos durante el periodo de transición.

¿Hay que cambiar ya todos los certificados digitales?

No necesariamente de forma inmediata y simultánea. Primero hay que inventariar los certificados, clasificar los datos que protegen, comprobar la compatibilidad de las plataformas y elaborar un plan de sustitución basado en riesgos.

¿Qué es la agilidad criptográfica?

Es la capacidad de cambiar algoritmos, claves, parámetros o protocolos sin reconstruir por completo los sistemas ni provocar interrupciones graves. Será esencial durante la transición postcuántica y ante futuras vulnerabilidades criptográficas.

¿Por dónde debería empezar una empresa?

El primer paso práctico es crear un inventario de algoritmos, claves, certificados, protocolos y dependencias. Después debe clasificar los datos según su sensibilidad y vida útil, consultar a sus proveedores, realizar pruebas y diseñar una hoja de ruta.

¿Cuánto durará la transición?

Dependerá del tamaño de la organización, sus sistemas heredados, proveedores, dispositivos y requisitos regulatorios. En infraestructuras complejas puede prolongarse durante años, por lo que la preparación temprana resulta más importante que intentar predecir una fecha exacta para la amenaza.

Opinión Personal

La criptografía postcuántica ya no debería considerarse un tema reservado a investigadores o a grandes empresas tecnológicas. Aunque todavía no exista un ordenador cuántico capaz de romper de forma generalizada los sistemas actuales, la transición será demasiado compleja como para dejarla para el último momento.

No creo que sea necesario actuar con miedo ni sustituir inmediatamente toda la infraestructura criptográfica. Sin embargo, sí considero imprescindible empezar a identificar qué algoritmos utiliza cada organización, cuánto tiempo deben permanecer protegidos sus datos y qué sistemas podrían resultar difíciles de actualizar.

Para mí, el mayor riesgo no está únicamente en la llegada de la computación cuántica, sino en descubrir demasiado tarde que dependemos de certificados, dispositivos o aplicaciones que no pueden migrarse con facilidad. Prepararse desde ahora permite realizar pruebas, mejorar la agilidad criptográfica y tomar decisiones con calma, en lugar de reaccionar cuando la amenaza ya sea urgente.

¿Crees que las empresas están realmente preparadas para esta transición o todavía ven la computación cuántica como algo demasiado lejano? Comparte tu opinión y experiencia en los comentarios.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *