<\/p>\n\n\n\n
La seguridad digital que sostiene al mundo moderno, desde las transacciones bancarias hasta los mensajes privados, se apoya sobre un conjunto de algoritmos matem\u00e1ticos que llevan d\u00e9cadas siendo pr\u00e1cticamente inviolables. Sin embargo, esa solidez no se debe a que nadie haya podido encontrar la forma de romperlos, sino a que hacerlo con las computadoras cl\u00e1sicas actuales llevar\u00eda miles de millones de a\u00f1os. La computaci\u00f3n cu\u00e1ntica cambia esa ecuaci\u00f3n de ra\u00edz, y el mundo de la ciberseguridad lo sabe desde hace tiempo. Lo que antes parec\u00eda ciencia ficci\u00f3n es hoy un debate urgente entre gobiernos, universidades y empresas tecnol\u00f3gicas: los algoritmos cu\u00e1nticos capaces de destruir la criptograf\u00eda moderna ya existen en papel, y las computadoras que podr\u00edan ejecutarlos est\u00e1n siendo construidas ahora mismo.<\/p>\n\n\n\n
Este art\u00edculo explora en profundidad cu\u00e1les son los sistemas de encriptaci\u00f3n que protegen nuestros datos hoy, qu\u00e9 algoritmos cu\u00e1nticos los amenazan, c\u00f3mo funciona cada uno de ellos, y qu\u00e9 medidas concretas ya est\u00e1n disponibles para empezar la transici\u00f3n hacia un mundo post-cu\u00e1ntico.<\/p>\n\n\n\n
La criptograf\u00eda que usamos hoy: c\u00f3mo funciona y por qu\u00e9 es robusta<\/p>\n\n\n\n
Para entender la amenaza, primero hay que comprender qu\u00e9 se est\u00e1 protegiendo. La criptograf\u00eda moderna se divide en dos grandes familias: la criptograf\u00eda sim\u00e9trica y la criptograf\u00eda asim\u00e9trica o de clave p\u00fablica.<\/p>\n\n\n\n
La criptograf\u00eda sim\u00e9trica utiliza una \u00fanica clave para cifrar y descifrar informaci\u00f3n. El ejemplo m\u00e1s extendido es AES, el Est\u00e1ndar de Cifrado Avanzado, que opera con bloques de datos de tama\u00f1o fijo usando claves de 128, 192 o 256 bits. AES es el algoritmo que protege las conexiones WiFi, los discos duros cifrados, las VPN y buena parte del tr\u00e1fico interno de las redes corporativas. Su seguridad reside en la imposibilidad pr\u00e1ctica de probar todas las combinaciones posibles de claves: con AES-256, un atacante tendr\u00eda que evaluar 2 elevado a 256 posibilidades, un n\u00famero tan descomunal que ni toda la energ\u00eda del universo ser\u00eda suficiente para completar esa b\u00fasqueda con hardware cl\u00e1sico.<\/p>\n\n\n\n
La criptograf\u00eda asim\u00e9trica, por su parte, usa un par de claves matem\u00e1ticamente relacionadas: una p\u00fablica y una privada. Aqu\u00ed encontramos a los algoritmos que m\u00e1s directamente est\u00e1n en el ojo del hurac\u00e1n cu\u00e1ntico. RSA, que es el sistema m\u00e1s utilizado para cifrado y firma digital en internet, basa su seguridad en la dificultad computacional de factorizar el producto de dos n\u00fameros primos enormes. Si alguien puede factorizar ese n\u00famero, puede derivar la clave privada y leer todos los mensajes cifrados con la clave p\u00fablica correspondiente. ECC, la criptograf\u00eda de curva el\u00edptica, tambi\u00e9n parte de un problema matem\u00e1tico que los ordenadores cl\u00e1sicos no pueden resolver eficientemente: el logaritmo discreto sobre una curva el\u00edptica. ECC es la base de los algoritmos ECDSA y ECDH, presentes en los certificados TLS que aseguran millones de sitios web, en las firmas digitales de Bitcoin y otras criptomonedas, y en sistemas de autenticaci\u00f3n de todo el mundo.<\/p>\n\n\n\n
Finalmente, existe una tercera categor\u00eda igualmente relevante: las funciones de hash criptogr\u00e1ficas, como SHA-256 o SHA-3. Estas funciones toman una entrada de cualquier tama\u00f1o y producen una salida de longitud fija llamada hash o resumen, con la propiedad de que es computacionalmente inviable encontrar dos entradas distintas que produzcan el mismo hash. Son la columna vertebral de la integridad de datos, las firmas digitales y la prueba de trabajo de sistemas como Bitcoin.<\/p>\n\n\n\n
Los algoritmos cu\u00e1nticos que lo amenazan todo<\/p>\n\n\n\n
La computaci\u00f3n cu\u00e1ntica no es simplemente una computadora m\u00e1s r\u00e1pida. Es un paradigma completamente diferente: mientras los ordenadores cl\u00e1sicos trabajan con bits que solo pueden valer 0 o 1, los ordenadores cu\u00e1nticos trabajan con qubits, que pueden existir en una superposici\u00f3n de ambos estados simult\u00e1neamente gracias a la mec\u00e1nica cu\u00e1ntica. Esto, combinado con fen\u00f3menos como el entrelazamiento y la interferencia cu\u00e1ntica, permite a ciertos algoritmos explorar millones de posibilidades al mismo tiempo, algo que ning\u00fan ordenador cl\u00e1sico puede hacer.<\/p>\n\n\n\n
Dos algoritmos cu\u00e1nticos concentran casi toda la preocupaci\u00f3n de la comunidad de ciberseguridad.<\/p>\n\n\n\n
El algoritmo de Shor, publicado por el matem\u00e1tico Peter Shor en 1994 mientras trabajaba en los Laboratorios Bell, es la amenaza m\u00e1s directa y devastadora. Su funcionamiento se basa en la transformada cu\u00e1ntica de Fourier y la exponenciaci\u00f3n modular para encontrar factores primos de n\u00fameros gigantescos en tiempo polin\u00f3mico, algo que los ordenadores cl\u00e1sicos no pueden hacer de forma eficiente. Dicho en t\u00e9rminos pr\u00e1cticos: un ordenador cu\u00e1ntico suficientemente potente ejecutando el algoritmo de Shor podr\u00eda factorizar la clave de RSA-2048, el est\u00e1ndar utilizado por la mayor parte de internet, en cuesti\u00f3n de horas, quiz\u00e1s minutos. Lo mismo aplica a ECC: el logaritmo discreto sobre curvas el\u00edpticas tambi\u00e9n puede ser calculado eficientemente con el algoritmo de Shor. Si el algoritmo de Shor llega a ejecutarse en un ordenador cu\u00e1ntico con suficientes qubits estables, RSA, ECDSA, ECDH y todos los sistemas que dependen de ellos quedar\u00e1n obsoletos en un instante.<\/p>\n\n\n\n
El algoritmo de Grover, desarrollado por Lov Grover en 1996, tiene un impacto diferente pero igualmente importante. Mientras que Shor destruye directamente la criptograf\u00eda asim\u00e9trica, Grover representa un acelerador de ataques de fuerza bruta. Su principio es la amplificaci\u00f3n de amplitud cu\u00e1ntica: en lugar de buscar una clave secreta revisando cada posibilidad una por una, Grover permite hacer esa b\u00fasqueda en la ra\u00edz cuadrada del n\u00famero de posibilidades. En t\u00e9rminos concretos, esto significa que AES-128 ver\u00eda reducida su seguridad efectiva a solo 64 bits en un escenario cu\u00e1ntico, lo que lo convertir\u00eda en vulnerable. AES-256, en cambio, quedar\u00eda con una seguridad efectiva de 128 bits, todav\u00eda considerada aceptable. Las funciones hash como SHA-256 tambi\u00e9n ven reducida su resistencia ante ataques de colisi\u00f3n, aunque en menor medida que RSA o ECC. La recomendaci\u00f3n ante Grover es m\u00e1s simple que ante Shor: doblar los tama\u00f1os de clave en los sistemas sim\u00e9tricos para compensar la aceleraci\u00f3n cu\u00e1ntica.<\/p>\n\n\n\n
Existe adem\u00e1s un tercer algoritmo que merece menci\u00f3n aunque sea menos conocido: el algoritmo de Simon, que puede resolver ciertos problemas de teor\u00eda de grupos de forma exponencialmente m\u00e1s r\u00e1pida que cualquier algoritmo cl\u00e1sico. Aunque su aplicaci\u00f3n directa en criptograf\u00eda es m\u00e1s acotada, inspir\u00f3 el desarrollo del algoritmo de Shor y ha sido utilizado para demostrar vulnerabilidades en algunos modos de operaci\u00f3n de AES cuando se analiza desde una perspectiva de seguridad cu\u00e1ntica.<\/p>\n\n\n\n
Qu\u00e9 rompe qu\u00e9: el mapa de la amenaza<\/p>\n\n\n\n
Para tener claridad sobre los riesgos, conviene establecer un mapa directo entre amenaza cu\u00e1ntica y sistema afectado. RSA en cualquiera de sus variantes populares, incluyendo RSA-1024, RSA-2048 y RSA-4096, es completamente vulnerable al algoritmo de Shor. Un ordenador cu\u00e1ntico con miles de qubits l\u00f3gicos estables lo romper\u00eda en tiempo polin\u00f3mico. ECC y los algoritmos que dependen de \u00e9l, como ECDSA y ECDH, son igualmente vulnerables al algoritmo de Shor, ya que el problema del logaritmo discreto sobre curvas el\u00edpticas puede resolverse con el mismo enfoque matem\u00e1tico. Los protocolos de intercambio de claves como Diffie-Hellman cl\u00e1sico, que tambi\u00e9n se basa en logaritmos discretos, sufren la misma suerte.<\/p>\n\n\n\n
AES-128 ser\u00eda vulnerable al algoritmo de Grover, que reducir\u00eda su espacio de claves efectivo a un tama\u00f1o manejable para un ataque de fuerza bruta cu\u00e1ntico. AES-256, por el contrario, mantiene su seguridad en un escenario cu\u00e1ntico gracias a que la aceleraci\u00f3n cuadr\u00e1tica de Grover solo reduce su seguridad efectiva a 128 bits, un nivel todav\u00eda robusto. SHA-256, la funci\u00f3n hash usada en Bitcoin y en gran parte de la infraestructura de integridad digital, tambi\u00e9n resiste mejor al ataque de Grover que RSA, aunque sistemas que dependan de colisiones de hash con claves cortas podr\u00edan verse comprometidos.<\/p>\n\n\n\n
En cuanto a qu\u00e9 sistemas est\u00e1n seguros por ahora, los algoritmos de cifrado sim\u00e9trico con claves largas (AES-256) y las funciones hash con longitudes de salida grandes (SHA-384, SHA-512) tienen un margen de seguridad razonable incluso en un futuro cu\u00e1ntico, siempre que se planifique con anticipaci\u00f3n. El verdadero punto de quiebre est\u00e1 en toda la infraestructura de clave p\u00fablica que hoy mueve internet.<\/p>\n\n\n\n
El estado actual de la amenaza: \u00bfcu\u00e1n urgente es esto?<\/p>\n\n\n\n
En mayo de 2024, un equipo de investigadores de la Universidad de Shangh\u00e1i liderado por el profesor Wang Chao logr\u00f3 utilizar un ordenador cu\u00e1ntico D-Wave para vulnerar el cifrado SPN, la arquitectura matem\u00e1tica que es la columna vertebral de AES. Lo hicieron mediante una t\u00e9cnica llamada quantum annealing, que convierte problemas criptogr\u00e1ficos en problemas de optimizaci\u00f3n combinatoria. El avance fue real pero tambi\u00e9n acotado: los investigadores factorizaron n\u00fameros de 22 a 50 bits de longitud, muy lejos de los 2048 bits que utiliza RSA en la pr\u00e1ctica. La noticia gener\u00f3 alarma y luego fue matizada por expertos como el cient\u00edfico cu\u00e1ntico Scott Aaronson, quien se\u00f1al\u00f3 que las capacidades actuales de las computadoras cu\u00e1nticas todav\u00eda est\u00e1n muy distantes de romper claves reales.<\/p>\n\n\n\n
Sin embargo, la direcci\u00f3n es inequ\u00edvoca. Investigaciones recientes estiman que un ordenador cu\u00e1ntico capaz de romper RSA-2048 podr\u00eda estar disponible en alg\u00fan momento entre 2030 y 2040, aunque algunas estimaciones m\u00e1s conservadoras hablan de d\u00e9cadas. El problema no es solo cu\u00e1ndo llegar\u00e1 esa computadora: el problema es que los actores hostiles ya est\u00e1n almacenando datos cifrados hoy con la intenci\u00f3n de descifrarlos cuando tengan acceso a hardware cu\u00e1ntico suficiente. Esta estrategia, conocida como \u00abharvest now, decrypt later\u00bb o \u00abcosecha ahora, descifra despu\u00e9s\u00bb, convierte la amenaza cu\u00e1ntica en un problema inmediato para cualquier dato sensible que necesite permanecer confidencial por m\u00e1s de diez a\u00f1os, como secretos de Estado, registros m\u00e9dicos de largo plazo o informaci\u00f3n corporativa estrat\u00e9gica.<\/p>\n\n\n\n
La respuesta global: criptograf\u00eda post-cu\u00e1ntica<\/p>\n\n\n\n
La buena noticia es que la comunidad criptogr\u00e1fica lleva a\u00f1os trabajando en soluciones. El Instituto Nacional de Est\u00e1ndares y Tecnolog\u00eda de Estados Unidos, conocido como NIST, public\u00f3 en agosto de 2024 los primeros tres est\u00e1ndares definitivos de criptograf\u00eda post-cu\u00e1ntica, culminando un proceso de evaluaci\u00f3n que hab\u00eda comenzado en 2016 con la participaci\u00f3n de cript\u00f3grafos de todo el mundo.<\/p>\n\n\n\n
El primero de esos est\u00e1ndares es ML-KEM, definido en el documento FIPS 203 y conocido anteriormente como CRYSTALS-Kyber. Es el algoritmo principal para el intercambio de claves en la era post-cu\u00e1ntica y est\u00e1 destinado a reemplazar RSA y ECDH en los protocolos de comunicaci\u00f3n segura como TLS. Su seguridad se basa en la dureza del problema de aprendizaje con errores sobre m\u00f3dulos, conocido en ingl\u00e9s como Module-LWE, un problema matem\u00e1tico que ni los ordenadores cu\u00e1nticos conocen c\u00f3mo resolver eficientemente. ML-KEM tiene la ventaja de generar claves relativamente peque\u00f1as, lo que lo hace pr\u00e1ctico para adopci\u00f3n masiva.<\/p>\n\n\n\n
El segundo est\u00e1ndar es ML-DSA, definido en FIPS 204 y derivado del algoritmo CRYSTALS-Dilithium. Es el sucesor post-cu\u00e1ntico de ECDSA y RSA en lo que respecta a firmas digitales, y est\u00e1 dise\u00f1ado para autenticar identidades y verificar la integridad de los datos en un mundo donde los ordenadores cu\u00e1nticos existen. Al igual que ML-KEM, basa su seguridad en problemas de ret\u00edculas matem\u00e1ticas resistentes a ataques cu\u00e1nticos.<\/p>\n\n\n\n
El tercer est\u00e1ndar es SLH-DSA, definido en FIPS 205 y basado en el algoritmo SPHINCS+. Es un sistema alternativo de firma digital que no depende de matem\u00e1ticas de ret\u00edculas sino de funciones hash criptogr\u00e1ficas bien establecidas, lo que lo hace una opci\u00f3n de respaldo especialmente conservadora: incluso si se descubrieran debilidades en los problemas de ret\u00edculas, SLH-DSA seguir\u00eda siendo seguro. Su principal desventaja es que produce firmas m\u00e1s grandes y opera m\u00e1s lentamente que ML-DSA, pero su solidez matem\u00e1tica lo convierte en un componente esencial de la estrategia post-cu\u00e1ntica.<\/p>\n\n\n\n
Dos de estos tres algoritmos, ML-KEM y ML-DSA, fueron desarrollados por investigadores de IBM en colaboraci\u00f3n con socios acad\u00e9micos e industriales, lo que pone en evidencia que la respuesta a la amenaza cu\u00e1ntica es tambi\u00e9n una carrera de innovaci\u00f3n entre las grandes potencias tecnol\u00f3gicas.<\/p>\n\n\n\n
Qu\u00e9 pueden hacer las organizaciones hoy: prevenci\u00f3n concreta<\/p>\n\n\n\n
La transici\u00f3n hacia la criptograf\u00eda post-cu\u00e1ntica no es un problema del futuro: es una tarea que debe comenzar ahora. El NIST ha instado expl\u00edcitamente a los administradores de sistemas a iniciar la migraci\u00f3n tan pronto como sea posible. La experiencia hist\u00f3rica respalda esa urgencia: la transici\u00f3n del algoritmo SHA-1 a SHA-256, un cambio criptogr\u00e1fico mucho m\u00e1s peque\u00f1o en alcance, llev\u00f3 m\u00e1s de quince a\u00f1os completarse. La migraci\u00f3n post-cu\u00e1ntica ser\u00e1 significativamente m\u00e1s compleja.<\/p>\n\n\n\n
El primer paso que cualquier organizaci\u00f3n puede dar hoy es realizar un inventario criptogr\u00e1fico completo. Esto significa identificar exactamente qu\u00e9 algoritmos se usan en cada sistema, d\u00f3nde se almacenan las claves, qu\u00e9 datos sensibles est\u00e1n protegidos con criptograf\u00eda asim\u00e9trica y cu\u00e1l es la vida \u00fatil esperada de esa informaci\u00f3n. Sin ese inventario, es imposible priorizar qu\u00e9 migrar primero.<\/p>\n\n\n\n
El segundo paso es adoptar una arquitectura de criptograf\u00eda \u00e1gil, lo que significa dise\u00f1ar los sistemas de manera que los algoritmos criptogr\u00e1ficos puedan ser reemplazados sin necesidad de reescribir desde cero toda la infraestructura. Esto es especialmente relevante para sistemas embebidos, dispositivos IoT y hardware especializado que puede ser dif\u00edcil de actualizar.<\/p>\n\n\n\n
El tercer paso es implementar configuraciones h\u00edbridas durante el per\u00edodo de transici\u00f3n. Muchas organizaciones ya est\u00e1n combinando algoritmos cl\u00e1sicos como ECDSA con algoritmos post-cu\u00e1nticos como ML-DSA en los mismos certificados. Esto garantiza compatibilidad con sistemas que todav\u00eda no soportan los nuevos est\u00e1ndares, mientras se agrega protecci\u00f3n cu\u00e1ntica para quienes s\u00ed pueden aprovecharlo. Los principales proveedores de hardware de seguridad comenzaron a enviar firmware compatible con los est\u00e1ndares FIPS 203, 204 y 205 durante 2024.<\/p>\n\n\n\n
El cuarto paso es actualizar las bibliotecas criptogr\u00e1ficas de software. Proyectos de c\u00f3digo abierto como OpenSSL, BoringSSL y liboqs ya tienen implementaciones de los algoritmos post-cu\u00e1nticos del NIST disponibles para pruebas. Las organizaciones deben testear esas implementaciones en entornos de staging, medir el impacto en latencia y consumo de recursos, y planificar la actualizaci\u00f3n de producci\u00f3n de forma escalonada.<\/p>\n\n\n\n
El quinto paso, y quiz\u00e1s el m\u00e1s urgente para ciertos sectores, es proteger los datos de larga duraci\u00f3n ahora mismo. Si una organizaci\u00f3n maneja informaci\u00f3n que necesitar\u00e1 seguir siendo confidencial en 2035 o despu\u00e9s, esa informaci\u00f3n ya deber\u00eda estar siendo protegida con algoritmos resistentes a ataques cu\u00e1nticos, porque no hay forma de saber cu\u00e1ndo llegar\u00e1 el primer ordenador cu\u00e1ntico criptogr\u00e1ficamente relevante, y la estrategia de cosecha anticipada ya est\u00e1 siendo utilizada por actores maliciosos.<\/p>\n\n\n\n
El panorama geopol\u00edtico y el factor tiempo<\/p>\n\n\n\n
La carrera cu\u00e1ntica no es solo una cuesti\u00f3n t\u00e9cnica. Es un asunto de seguridad nacional y competencia geopol\u00edtica. Gobiernos de todo el mundo est\u00e1n invirtiendo cifras sin precedentes en investigaci\u00f3n cu\u00e1ntica, y la informaci\u00f3n de que actores estatales est\u00e1n acumulando datos cifrados para descifrarlos en el futuro es consistente con m\u00faltiples informes de inteligencia. La transici\u00f3n post-cu\u00e1ntica no puede ser vista como un proyecto tecnol\u00f3gico m\u00e1s: es una renovaci\u00f3n de infraestructura cr\u00edtica comparable a la transici\u00f3n de la red el\u00e9ctrica o del sistema bancario.<\/p>\n\n\n\n
El NIST proyecta que los primeros certificados digitales post-cu\u00e1nticos disponibles comercialmente llegar\u00e1n en 2026, y espera que la adopci\u00f3n masiva de ML-KEM como mecanismo de intercambio de claves predeterminado en los protocolos de internet ocurra en los a\u00f1os siguientes. Eso deja una ventana estrecha pero real para que las organizaciones se preparen con tiempo.<\/p>\n\n\n\n
La criptograf\u00eda ha protegido al mundo digital por d\u00e9cadas gracias a problemas matem\u00e1ticos que las computadoras cl\u00e1sicas no pueden resolver. Los ordenadores cu\u00e1nticos van a cambiar eso, y los algoritmos de Shor y Grover son la prueba matem\u00e1tica de que ese cambio es inevitable. La pregunta no es si ocurrir\u00e1, sino cu\u00e1ndo, y si el mundo estar\u00e1 listo para ese momento. Las herramientas para estarlo ya existen.<\/p>\n\n\n\n
Fuentes<\/p>\n\n\n\n
Instituto Nacional de Est\u00e1ndares y Tecnolog\u00eda (NIST) – Publicaci\u00f3n de est\u00e1ndares post-cu\u00e1nticos FIPS 203, 204 y 205 (agosto 2024): https:\/\/www.nist.gov\/news-events\/news\/2024\/08\/nist-releases-first-3-finalized-post-quantum-encryption-standards<\/a><\/p>\n\n\n\n IBM – Anuncio de est\u00e1ndares post-cu\u00e1nticos desarrollados por IBM: https:\/\/newsroom.ibm.com\/2024-08-13-ibm-developed-algorithms-announced-as-worlds-first-post-quantum-cryptography-standards<\/a><\/p>\n\n\n\n Fortinet – Algoritmos de Shor y Grover y su impacto en la criptograf\u00eda: https:\/\/www.fortinet.com\/lat\/resources\/cyberglossary\/shors-grovers-algorithms<\/a><\/p>\n\n\n\n GlobalSign – Cifrado resistente a la tecnolog\u00eda cu\u00e1ntica: https:\/\/www.globalsign.com\/es\/blog\/Cifrado-resistente-a-la-tecnolog%C3%ADa-cu%C3%A1ntica<\/a><\/p>\n\n\n\n Xataka – Ordenadores cu\u00e1nticos y la criptograf\u00eda cl\u00e1sica: https:\/\/www.xataka.com\/investigacion\/ultimos-estudios-nos-advierten-ordenadores-cuanticos-van-a-derribar-criptografia-clasica-antes-previsto<\/a><\/p>\n\n\n\n RSA Security – Computaci\u00f3n cu\u00e1ntica y el algoritmo RSA: https:\/\/www.rsa.com\/es\/resources\/blog\/zero-trust\/setting-the-record-straight-on-quantum-computing-and-rsa-encryption\/<\/a><\/p>\n\n\n\n Palo Alto Networks – Est\u00e1ndares NIST PQC: https:\/\/www.paloaltonetworks.com\/cyberpedia\/pqc-standards<\/a><\/p>\n\n\n\n IBM – Criptograf\u00eda quantum-safe: https:\/\/www.ibm.com\/mx-es\/think\/topics\/quantum-safe-cryptography<\/a><\/p>\n\n\n\n Sectigo – Algoritmos ganadores post-cu\u00e1nticos del NIST: https:\/\/www.sectigo.com\/blog\/who-are-nists-post-quantum-algorithm-winners<\/a><\/p>\n\n\n\n NIST IR 8547 – Transici\u00f3n a criptograf\u00eda post-cu\u00e1ntica (borrador p\u00fablico): https:\/\/nvlpubs.nist.gov\/nistpubs\/ir\/2024\/NIST.IR.8547.ipd.pdf<\/a><\/p>\n\n\n\n Arxiv – Securing Cryptography in the Age of Quantum Computing and AI: https:\/\/arxiv.org\/pdf\/2603.06969<\/a><\/p>\n\n\n\n