La criptografía que protege nuestras comunicaciones, transacciones bancarias y datos confidenciales enfrenta una amenaza existencial: las computadoras cuánticas. Aunque las máquinas cuánticas actuales aún no tienen la potencia necesaria para romper la criptografía moderna, Gartner predice que la criptografía asimétrica convencional será insegura para 2030. El NIST ya ha finalizado los tres primeros estándares de criptografía poscuántica (FIPS 203, 204 y 205), y la carrera para migrar ha comenzado.
Lo más urgente es que los ataques de tipo harvest now, decrypt later ya están ocurriendo: actores estatales recopilan datos cifrados hoy con la intención de descifrarlos cuando dispongan de computadoras cuánticas suficientemente potentes.
El Problema: Por Qué la Criptografía Actual Está en Riesgo
La seguridad de la criptografía asimétrica moderna se basa en problemas matemáticos que son difíciles de resolver para los ordenadores clásicos:
- RSA se basa en la dificultad de factorizar números enteros muy grandes.
- Diffie-Hellman y DSA se basan en el problema del logaritmo discreto.
- Curvas elípticas (ECDSA, ECDH) se basan en el problema del logaritmo discreto en curvas elípticas.
En 1994, el matemático Peter Shor demostró que un ordenador cuántico suficientemente potente podría resolver estos tres problemas en tiempo polinómico, convirtiendo la criptografía actual en trivialmente vulnerable. Un ordenador cuántico con aproximadamente 4.000 qubits lógicos podría romper RSA-2048 en horas.
Los avances en computación cuántica se están acelerando. IBM, Google, Microsoft y startups como PsiQuantum y QuEra están desarrollando procesadores cuánticos con miles de qubits físicos. Aunque los qubits lógicos libres de error necesarios para ejecutar el algoritmo de Shor requieren miles de qubits físicos cada uno, la tendencia es clara: la amenaza cuántica es cuestión de cuándo, no de si.
Los Nuevos Estándares del NIST
Tras un proceso de selección de ocho años que evaluó decenas de propuestas, el NIST finalizó en 2024 los primeros estándares de criptografía poscuántica:
FIPS 203: ML-KEM (CRYSTALS-Kyber)
Un mecanismo de encapsulación de claves (KEM) basado en el problema de Module Learning With Errors (MLWE). Diseñado como reemplazo para el intercambio de claves Diffie-Hellman y el encapsulamiento de claves RSA. Ofrece tres niveles de seguridad: ML-KEM-512, ML-KEM-768 y ML-KEM-1024, que corresponden aproximadamente a 128, 192 y 256 bits de seguridad clásica. Sus claves públicas y textos cifrados son significativamente más grandes que los de RSA o ECDH, pero el rendimiento es competitivo o superior.
FIPS 204: ML-DSA (CRYSTALS-Dilithium)
Un esquema de firma digital también basado en retículos (lattices). Reemplaza las firmas RSA, DSA y ECDSA. Ofrece tres niveles de seguridad: ML-DSA-44, ML-DSA-65 y ML-DSA-87. Las firmas y claves públicas son más grandes que las de ECDSA, pero la generación de firmas y la verificación son rápidas.
FIPS 205: SLH-DSA (SPHINCS+)
Un esquema de firma digital basado en funciones hash, proporcionando una alternativa a ML-DSA basada en suposiciones matemáticas diferentes. Es más lento y genera firmas más grandes que ML-DSA, pero su seguridad se basa únicamente en la seguridad de funciones hash, que se considera más conservadora y bien comprendida.
Harvest Now, Decrypt Later: La Amenaza Presente
No es necesario esperar a que las computadoras cuánticas maduren para que la amenaza sea real. Agencias de inteligencia y actores estatales están recopilando activamente datos cifrados con tráfico interceptado hoy, con la intención de descifrarlos cuando dispongan de capacidad cuántica.
Los datos con valor a largo plazo son particularmente vulnerables: secretos gubernamentales clasificados con periodos de confidencialidad de 25 o más años, datos médicos con protección de por vida del paciente, propiedad intelectual y secretos comerciales, e infraestructuras de clave pública con certificados de larga duración.
Esto significa que las organizaciones que manejan información sensible con valor a largo plazo necesitan migrar a criptografía poscuántica ahora, no cuando las computadoras cuánticas sean una realidad práctica.
Ruta de Migración: Del Plan a la Implementación
La migración a criptografía poscuántica es un proceso complejo que afecta a toda la infraestructura tecnológica de una organización. Una ruta pragmática incluye:
- Inventario criptográfico: Identificar todos los sistemas, protocolos y algoritmos criptográficos en uso. Esto incluye no solo los sistemas propios, sino también los de proveedores y socios. La mayoría de las organizaciones descubren que no tienen un inventario completo de su uso de criptografía.
- Evaluación de riesgo: Priorizar la migración según la sensibilidad de los datos protegidos, la vida útil requerida de la confidencialidad y la exposición a interceptación de tráfico.
- Enfoque híbrido: Implementar esquemas híbridos que combinen criptografía clásica y poscuántica. Si el algoritmo poscuántico resulta tener una vulnerabilidad, la criptografía clásica sigue proporcionando protección contra atacantes no cuánticos. Ejemplos incluyen X25519Kyber768 para TLS y las propuestas de IETF para SSH y S/MIME híbridos.
- Actualización de protocolos: TLS 1.3 ya soporta intercambio de claves híbrido. Chrome y Firefox han comenzado a utilizar ML-KEM por defecto. Actualizar las implementaciones de TLS, SSH, VPN e IPsec para soportar algoritmos poscuánticos.
- Pruebas de rendimiento: Los algoritmos poscuánticos tienen diferentes perfiles de rendimiento. Las claves y firmas más grandes pueden afectar al ancho de banda, la latencia y el almacenamiento. Es esencial evaluar el impacto en cada caso de uso específico.
El Estado de la Adopción en 2026
La adopción de criptografía poscuántica avanza rápidamente en varios frentes. Los navegadores web Chrome y Firefox utilizan ML-KEM por defecto para el handshake TLS. Cloudflare ha habilitado el intercambio de claves poscuántico para todos sus clientes. Signal implementó PQXDH, un protocolo híbrido poscuántico, para su mensajería. Las passkeys FIDO2 incorporaron soporte para algoritmos poscuánticos en abril de 2025. Y los primeros certificados X.509 poscuánticos están en fase de pruebas.
Desafíos de la Migración
La migración no está exenta de obstáculos significativos. El tamaño de claves y firmas es el desafío más visible, ya que las claves públicas de ML-KEM-768 son de 1.184 bytes frente a 32 bytes de X25519. Esto afecta a protocolos con restricciones de tamaño como DNS y algunos protocolos IoT.
La interoperabilidad durante la transición requiere que los sistemas soporten tanto algoritmos clásicos como poscuánticos durante un periodo extendido. Los sistemas embebidos e IoT con recursos limitados pueden tener dificultades para implementar los nuevos algoritmos. Y la madurez de las implementaciones es una preocupación, ya que los nuevos algoritmos tienen menos años de escrutinio que RSA o AES.
Conclusión
La migración a criptografía poscuántica no es una opción sino una necesidad. Los estándares están finalizados, las implementaciones están madurando y la amenaza es real. Las organizaciones que comiencen la migración ahora estarán preparadas cuando la amenaza cuántica se materialice. Las que esperen arriesgan la confidencialidad de sus datos más sensibles. El momento de actuar es ahora.
Sobre el Autor
Sofía Ramírez Luna – Criptógrafa e investigadora en seguridad de protocolos. Doctora en Ciencias de la Computación por la Universidad Politécnica de Madrid, especialista en criptografía poscuántica.
Última actualización: 2026 | Contenido verificado por expertos en ciberseguridad
La computación cuántica no es ciencia ficción. NIST ya publicó los estándares post-cuánticos. Es hora de empezar la migración.
Para los que quieran profundizar, recomiendo el curso de criptografía de Dan Boneh en Coursera. Es el mejor recurso disponible.