La guía de Red Sift sobre criptografía post-cuántica

Enero 2026

RESUMEN EJECUTIVO: La criptografía, tal y como la conocemos y utilizamos, está amenazada por las computadoras cuánticas: una nueva tecnología con el potencial de construir ordenadores sobre principios completamente diferentes. En caso de que alguna vez se construya una computadora cuántica relevante para la criptografía [Nota 1] – si no ha ocurrido ya –, podría lograr, prácticamente de la noche a la mañana, romper los algoritmos criptográficos más utilizados hoy en día. Es imprescindible comprender urgentemente la amenaza y adoptar algoritmos criptográficos seguros antes de que sea demasiado tarde.

La criptografía post-cuántica está evolucionando rápidamente. Mantenemos esta guía actualizada y la adaptamos conforme avancen las novedades: revisa periódicamente si hay actualizaciones disponibles.

Las computadoras cuánticas están en camino – y se prevé que tendrán un gran impacto en la criptografía. No todo se verá afectado de la misma manera, pero algunos de nuestros pilares fundamentales – la criptografía de clave pública – serán totalmente vulnerados. El algoritmo de Shor, que requiere de un ordenador cuántico para funcionar, romperá los métodos más difundidos hoy en día, como la criptografía RSA, Elliptic Curve y el intercambio de claves Diffie-Hellman [Nota 2]. Otro algoritmo, Grover, se considera eficaz contra la criptografía simétrica y el hashing, pero en mucho menor medida, por lo que es menos peligroso. Estos algoritmos se desarrollaron respectivamente en 1994 y 1996.

Las organizaciones líderes con propiedad intelectual significativa y quienes gestionen secretos de estado serán probablemente de los primeros objetivos. Si perteneces a este grupo de alto riesgo, no basta con estar al tanto: debes actuar inmediatamente. Probablemente no te sorprenda, ya que lo más probable es que hoy en día ya seas un objetivo prioritario de ciberataques tradicionales; las computadoras cuánticas son simplemente otro asunto a vigilar.

Todo el mundo se verá afectado, aunque en diferentes momentos. A largo plazo, una vez que las computadoras cuánticas estén extendidas, la criptografía actual podría no ser efectiva ni siquiera frente a adversarios mucho menos poderosos. Por ahora, la cuestión fundamental es la gestión de riesgos. Deberías hacerte tres preguntas:

1. ¿Tienes secretos que proteger durante décadas?
2. ¿Eres un objetivo probable?
3. ¿Cuándo podrías ser atacado?

La National Security Agency (NSA) de EEUU inició la transición hacia la criptografía post-cuántica en agosto de 2015, actualizando la NSA Suite B Cryptography. El National Institute of Standards and Technology (NIST) lanzó su proyecto en 2016, impulsando la colaboración comunitaria en criptografía y organizando concursos para identificar los mejores algoritmos resistentes a la computación cuántica.

En octubre de 2020, el NIST estandarizó dos algoritmos de firma hash con estado: LMS y XMSS. Son algoritmos especializados, cuya seguridad se basa en las propiedades de las funciones hash criptográficas. Se seleccionaron los primeros porque los conceptos fundamentales ya se comprendían bien. Como requieren una cuidadosa gestión del estado, estos algoritmos son especialmente adecuados para casos de uso de bajo volumen y alto valor – por ejemplo para firmas de código.

En agosto de 2024 el NIST ha estandarizado una nueva generación de algoritmos para aplicaciones más generales:

• ML-KEM. Antes CRYSTALS-Kyber, es el nuevo estándar para encapsulamiento de claves (una versión mejorada del intercambio de claves).
• ML-DSA. Antes CRYSTALS-Dilithium, nuevo estándar para firmas digitales.
• SLH-DSA. Antes Sphincs+, nuevo estándar para firmas digitales. Utiliza una matemática diferente y sirve como alternativa de respaldo a ML-DSA.

Se avecinan otros estándares:

• FN-DSA. Antes FALCON, nuevo estándar para firmas digitales, previsto para 2025.
• Otros esquemas de firmas aún están en evaluación, con próximos pasos previstos para 2026.
• HQC. Un algoritmo de respaldo a ML-KEM, basado en otros principios matemáticos, cuya estandarización se prevé para marzo de 2025. Se espera que el proceso finalice en 2027.

Paralelamente, la International Organization for Standardization (ISO) está evaluando los algoritmos Classic McEliece y FrodoKEM – ambos para encapsulamiento de claves. Estas variantes se consideran más conservadoras, y por tanto potencialmente más seguras, que las seleccionadas por el NIST. También se están implementando o evaluando en la Unión Europea.

Muchos algoritmos post-cuánticos son totalmente nuevos, es decir, aún no se han probado lo suficiente como para asegurar de forma definitiva su robustez. Dada la urgencia, se han elegido algoritmos con enfoques matemáticos diversos – para asegurar una mayor diversidad y como soluciones de respaldo. Si finalmente se confirma su fortaleza, sus siglas se volverán tan habituales como hoy RSA, ECDSA, DH y ECDHE.

También son posibles enfoques híbridos, en los que la criptografía clásica y la post-cuántica se emplean conjuntamente. De esta forma, si falla alguna nueva variante post-cuántica, la seguridad no baja del nivel garantizado actualmente.

En TLS 1.3 se ha introducido un intercambio de claves híbrido llamado X25519MLKEM768 (basado en una combinación de ECDHE y ML-KEM), adoptado por todos los principales navegadores y los primeros servidores. Ya protege gran parte del tráfico de Internet.

La actualización de los certificados X.509 será más problemática, especialmente porque los nuevos algoritmos post-cuánticos emplean firmas mucho más extensas. Sustituir simplemente los algoritmos dispararía la carga de red durante un handshake TLS hasta diez veces. Esto es excesivo para los navegadores, aunque podría aceptarse en infraestructuras PKI privadas. Supone un reto particular en la actualización de la Internet y Web PKI, sobre todo por su gran descentralización.

Algunas de las principales plataformas de mensajería – como Apple y Signal – ya han actualizado sus protocolos para protegerse frente a las computadoras cuánticas. A los usuarios les basta con instalar las versiones más recientes para beneficiarse de ello.

Muchos otros estándares están siendo definidos por los grupos de trabajo de la IETF. La transición conlleva retos importantes. Los nuevos algoritmos introducen distintas características de rendimiento y necesidades de memoria, lo que suele exigir cambios en los protocolos. Las discusiones siguen en marcha; la integración en librerías de software llevará tiempo.

Aunque la mayoría de los países se orientan hacia el NIST, la ISO lleva a cabo un proceso complejo de estandarización, lo mismo que algunos países como China, Rusia y Corea del Sur.

El uso a corto plazo de la criptografía de clave pública actual sigue siendo seguro mientras no ocurra un avance decisivo. Incluso después de ese avance, pasará algún tiempo antes de que la nueva tecnología se generalice.

Lamentablemente, para quienes están en la “categoría urgente” podría ser ya demasiado tarde. Esta es una de las principales razones para acelerar la transición. La explicación está en los siguientes escenarios:

• Adversarios poderosos podrían estar interceptando ya tus datos cifrados. Aunque hoy no puedan descifrarlos, podrían guardarlos hasta que tengan un ordenador cuántico operativo – entonces los descifrarán y pondrán en peligro tus secretos. Esta técnica se denomina “collect now, decrypt later” o “store now, decrypt later”. Los actores estatales tradicionalmente almacenan el tráfico de red para análisis. Al principio era contenido en claro, luego metadatos – hoy también tráfico cifrado. Algunos datos cifrados, como los correos electrónicos, ocupan poco y son fáciles de guardar y descifrar posteriormente. En 2021 la consultora Booz Allen Hamilton publicó un informe según el cual grupos de ciberdelincuentes chinos ya habían registrado tráfico cifrado en 2020. Desde 2022 Google protege su tráfico interno de red con criptografía post-cuántica. También los backups cifrados son un objetivo claro. Lo mismo ocurre con las arquitecturas criptográficas centralizadas, donde la puesta en peligro de una clave central puede comprometer toda la jerarquía de seguridad.
• Las firmas digitales de hoy deben ser fiables durante décadas. Actualmente son seguras, pero dentro de unos años pueden perder toda su validez. Contratos: en unos años una computadora cuántica podría falsificar un documento con una firma digital actual de forma indistinguible del original – o permitir repudiar la firma. Incluye también claves privadas de larga duración y firmas de código.
• Sistemas físicos difíciles o costosos de actualizar. Hay plataformas, como ciertos dispositivos IoT industriales, diseñados para durar décadas pero difíciles o costosos (o imposibles) de actualizar. Los nuevos algoritmos post-cuánticos pueden requerir recursos de hardware que estos dispositivos no tengan: dentro de unos años pueden ser vulnerables.

Para la mayoría de organizaciones se recomienda empezar a desarrollar contramedidas cuanto antes. Las pequeñas empresas pueden actuar más rápido, pero en entornos más complejos la migración podría llevar de cinco a diez años. Muchos gobiernos han publicado hojas de ruta para la migración: comprueba si te afectan y qué pasos son los siguientes.

El primer paso es realizar un análisis de riesgos para determinar si y cuándo la migración post-cuántica será urgente para tu organización. El alcance del trabajo depende del tamaño de la entidad. Conviene empezar con una visión rápida para estimar el esfuerzo requerido. El proceso incluye estas fases:

1. Inventaría tus datos: Mapea cada tipo de dato gestionado – tanto en infraestructuras propias como de terceros. Comprende su naturaleza y necesidades de protección.
2. Inventaría los recursos criptográficos: Consulta con los equipos de desarrollo y DevOps para identificar recursos criptográficos (claves, certificados, algoritmos, ...). Inspecciona los sistemas y monitoriza el tráfico de red en busca de señales. No olvides auditar el software y hardware que utilicen criptografía.
3. Inventaría a los proveedores: Haz una lista de todos los terceros que procesan tus datos. Debes informarles cuanto antes de los requisitos post-cuánticos.
4. Inventaría la normativa aplicable: Enumera todas las leyes y regulaciones relevantes, incluidas los requisitos y las fechas límite.
5. Valora los riesgos: Analiza tu exposición. ¿Estás ya bien preparado? ¿Dónde hay vacíos?

Perteneces a la categoría urgente si gestionas datos sensibles de interés estatal. Decide en función tipo de datos y el periodo necesario de protección. Todo lo relativo a secretos de estado, militar, criptomonedas, propiedad intelectual de alto valor entra en esta categoría. Si prevés periodos de protección largos (diez años o más), ciertamente estás en este grupo. Si ofreces servicios a otras organizaciones, tendrás que avanzar antes que ellas.

Seguramente el inventario te demostrará que aún no estás lo suficientemente preparado. Esto le ocurre a la mayoría de organizaciones. Aprovecha la ocasión para reforzar procesos en las siguientes áreas:

• Gestión de activos: Monitoriza constantemente qué debe protegerse, por quién y durante cuánto tiempo.
• Gobernanza de la criptografía: Define políticas y controles para gestionar correctamente claves/algoritmos y relacionarlos con los recursos.
• Inventario criptográfico: Mantén un inventario actualizado y sistematizado de los activos criptográficos (claves, algoritmos, etc.).
• Agilidad criptográfica: Prevé procesos para reaccionar rápidamente ante debilidades detectadas o ataques.

Una vez definido tu perímetro, podrás centrarte en las recomendaciones técnicas explicadas en la próxima sección.

Todos los países principales han publicado ya orientaciones para la migración post-cuántica. Aunque existen algunas diferencias, los puntos clave y los plazos son similares:

1. Empieza ya la planificación y el establecimiento de prioridades.
2. Inicia la transición lo antes posible, o a más tardar en 2026.
3. Completa las actividades prioritarias no más allá de 2030.
4. Completa la migración antes de 2035.

En Estados Unidos, la NSA tiene previstos plazos ligeramente más avanzados: para los National Security Systems todo debe estar listo en 2033.

Las recomendaciones técnicas son:

• Adopta los estándares post-cuánticos tan pronto estén disponibles.
• Retira progresivamente los algoritmos RSA, EC, DH y ECDH.
• Pásate a cifrado simétrico de 256 bits (por ejemplo, AES-256).
• Habilita funciones hash de al menos 384 bits.

Sobre el uso de enfoques híbridos – que combinan algoritmos antiguos y nuevos – las opiniones varían. Algunas organizaciones confían ya tanto en los algoritmos post-cuánticos que consideran innecesaria, a largo plazo, la complejidad extra de lo híbrido. La NSA por ello prohibirá los algoritmos híbridos en la Commercial National Security Algorithms (CNSA) Suite 2.0 a partir de 2030 (para firmas de software y firmware, equipos de red) y a partir de 2033 (en cualquier otro caso).

Normalmente por criptografía post-cuántica se entiende criptografía capaz de resistir a computadoras cuánticas relevantes. Pero los principios de la mecánica cuántica pueden aprovecharse para otros fines; de ahí surgen términos como redes cuánticas, criptografía cuántica, intercambio de claves cuántico, aleatoriedad generada cuánticamente, etc.

A pesar de nombres similares, se trata de retos diferentes: estas tecnologías avanzan por separado. Por el momento, no se recomiendan.

Agilidad criptográfica significa poder sustituir los algoritmos criptográficos de manera flexible y con el mínimo esfuerzo. Sobre todo en el contexto post-cuántico es un tema crucial: nunca antes se había producido una transición de tal envergadura – y se espera que vuelva a ocurrir en el futuro.

La criptografía es una disciplina reciente; las soluciones de clave pública tienen menos de 50 años. Nuevos descubrimientos influirán también en los sistemas futuros. La era post-cuántica marca el inicio de una nueva fase de incertidumbre: solo quienes sean ágiles criptográficamente estarán protegidos frente a los ciberdelincuentes.

Discovery criptográfico es el primer paso hacia un inventario de activos criptográficos, requisito indispensable para la agilidad. Algunas detecciones pueden automatizarse, otras requieren trabajo manual y, por tanto, más tiempo.

El discovery criptográfico exige disponer de buenas herramientas. En infraestructuras públicas suele significar monitorizar grandes volúmenes de datos para identificar activos criptográficos. Red Sift Certificates se ha diseñado precisamente para esto: monitoriza infraestructura pública globalmente y crea automáticamente un inventario de dominios cliente, subdominios, certificados y redes – de forma autónoma y continua. Todos los servicios públicos detectados se analizan respecto a su configuración, incluyendo parámetros criptográficos (protocolos, cipher suite, algoritmo de claves privadas, ...). El resultado es un inventario siempre actualizado y completo de los activos criptográficos públicos, con un esfuerzo mínimo tras la configuración inicial. Adoptar rápidamente Red Sift Certificates te proporciona una visión casi perfecta e inmediata de la exposición externa de tu organización en el escenario post-cuántico.

Para el tráfico interno de red, es posible detectar protocolos y parámetros criptográficos mediante monitorización de red. Si no se dispone de estas comprobaciones, establecer un monitoreo completo de la red es un proyecto de considerable envergadura.

El resto del trabajo incluye aspectos internos no expuestos al exterior: se trata de comprender la arquitectura de sistemas internos y analizar los repositorios para identificar dónde se emplea la criptografía, dónde se almacenan las claves, etc.