defensiva
criptografía post-cuántica
ML-KEM
ML-DSA

Criptografía post-cuántica: qué es y cómo migrar

Criptografía post-cuántica: qué es, la amenaza harvest-now-decrypt-later y cómo migrar a ML-KEM y ML-DSA (NIST FIPS 203/204) con cripto-agilidad.

Secra6 de julio de 202611 min de lectura

La criptografía post-cuántica (post-quantum cryptography) es el conjunto de algoritmos diseñados para resistir tanto a un ordenador clásico como a un ordenador cuántico con capacidad de romper RSA y la criptografía de curva elíptica. No es un tema de laboratorio ni de dentro de veinte años: los datos que un atacante captura hoy y guarda cifrados pueden descifrarse el día que exista un ordenador cuántico suficientemente grande. Esa amenaza, conocida como harvest-now-decrypt-later, obliga a empezar la migración ahora, antes de que el hardware cuántico llegue. Esta guía explica qué rompe exactamente un ordenador cuántico, cuáles son los estándares que NIST publicó en 2024 (ML-KEM, ML-DSA y SLH-DSA) y cómo trazar una hoja de ruta de migración basada en cripto-agilidad para una empresa.

Lo esencial sobre criptografía post-cuántica

  • El algoritmo de Shor rompe RSA, Diffie-Hellman y la criptografía de curva elíptica (ECC): toda la clave pública asimétrica actual.
  • La amenaza inmediata es harvest-now-decrypt-later: el atacante almacena hoy el tráfico cifrado para descifrarlo cuando tenga un ordenador cuántico.
  • NIST estandarizó en 2024 los primeros algoritmos: FIPS 203 (ML-KEM/Kyber), FIPS 204 (ML-DSA/Dilithium) y FIPS 205 (SLH-DSA/SPHINCS+).
  • La criptografía simétrica (AES-256, SHA-384) sobrevive: solo hay que subir el tamaño de clave por el algoritmo de Grover.
  • La migración se apoya en la cripto-agilidad: inventariar, priorizar por confidencialidad a largo plazo y desplegar en modo híbrido.

Qué es la criptografía post-cuántica

La criptografía post-cuántica agrupa esquemas de clave pública cuya seguridad se basa en problemas matemáticos que ni un ordenador clásico ni uno cuántico saben resolver de forma eficiente. No hay que confundirla con la criptografía cuántica ni con la distribución cuántica de claves (QKD): la PQC es software clásico que corre en el hardware que ya tienes (servidores, móviles, HSM), sin necesidad de fibra dedicada ni fotones.

Las familias que han superado el escrutinio son principalmente cuatro: retículos (lattices), códigos correctores de errores, funciones hash y ecuaciones multivariables. Los estándares de NIST se apoyan sobre todo en retículos, por su buen equilibrio entre tamaño de clave y rendimiento.

El problema: Shor y Grover

Dos algoritmos cuánticos marcan el reloj. El algoritmo de Shor factoriza enteros grandes y resuelve el logaritmo discreto en tiempo polinómico, lo que hunde de golpe a RSA, a Diffie-Hellman (DH) y a la criptografía de curva elíptica (ECC, ECDSA, ECDH). No los debilita: los deja completamente inservibles cuando exista un ordenador cuántico con suficientes cúbits lógicos estables.

El algoritmo de Grover es más suave: acelera la búsqueda por fuerza bruta de forma cuadrática, así que reduce a la mitad la seguridad efectiva de la criptografía simétrica. La consecuencia práctica es que AES-128 baja a un margen incómodo, pero AES-256 y hashes como SHA-384 siguen siendo seguros solo con duplicar el tamaño de clave o de digest. Por eso el foco de la migración está en la clave pública, no en el cifrado simétrico de tus discos.

La amenaza harvest-now-decrypt-later

El error más habitual es pensar que no hay urgencia porque el ordenador cuántico todavía no existe. La amenaza harvest-now-decrypt-later (también store-now-decrypt-later) rompe ese razonamiento: un adversario con recursos, típicamente un actor estatal, intercepta y almacena hoy tráfico TLS, VPN o correo cifrado, aunque no pueda leerlo. El día que disponga de un ordenador cuántico criptográficamente relevante, descifra retroactivamente todo el archivo.

Esto convierte la ventana de exposición en una cuenta atrás que ya corre para cualquier dato con vida útil larga: historiales médicos, secretos industriales, claves de firma, información clasificada o datos personales bajo obligaciones de retención. La desigualdad de Mosca lo formula bien: si el tiempo que un dato debe permanecer secreto (X) más el tiempo que tardas en migrar (Y) supera el tiempo que falta para que exista el ordenador cuántico (Z), ya tienes un problema. Con X medido en décadas para muchos sectores, la aritmética no cuadra si esperas.

La historia reciente aconseja prudencia también con los propios candidatos post-cuánticos. SIKE/SIDH, finalista de NIST, fue roto en 2022 con un ordenador clásico (ataque de Castryck y Decru) en cuestión de horas, y el esquema multivariable Rainbow cayó el mismo año. Además, en 2024 se documentó KyberSlash, una fuga por temporización en varias implementaciones de ML-KEM. La lección no es desconfiar del estándar, sino desplegar implementaciones auditadas y, durante la transición, modos híbridos que combinen lo clásico con lo post-cuántico.

Los estándares NIST PQC

Tras casi ocho años de concurso público, NIST publicó en agosto de 2024 los tres primeros estándares federales de criptografía post-cuántica. Son la referencia que citan reguladores y auditores, y la base sobre la que se construyen las bibliotecas actuales. Esta base de clave pública es el mismo terreno que el de una PKI clásica, solo que con primitivas nuevas.

ML-KEM (FIPS 203)

ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism), derivado de CRYSTALS-Kyber, es el mecanismo de encapsulado de clave destinado a sustituir al intercambio de claves de RSA y ECDH. Es la pieza que protege la confidencialidad de sesiones TLS, VPN y correo, justo el objetivo del harvest-now-decrypt-later. Ofrece tres niveles: ML-KEM-512, ML-KEM-768 y ML-KEM-1024. El más usado en la práctica es ML-KEM-768, con una clave pública de unos 1.184 bytes y un texto cifrado de 1.088 bytes: mayor que ECDH, pero perfectamente manejable en TLS.

ML-DSA y SLH-DSA (FIPS 204 y 205)

Para las firmas digitales (autenticación, certificados, firma de código) hay dos estándares complementarios:

  • ML-DSA (FIPS 204), derivado de CRYSTALS-Dilithium, es la firma de propósito general basada en retículos. ML-DSA-65 produce firmas de unos 3,3 KB, bastante más pesadas que las de ECDSA, lo que impacta en el tamaño de los certificados y los handshakes.
  • SLH-DSA (FIPS 205), derivado de SPHINCS+, es una firma basada solo en funciones hash. Es más lenta y sus firmas son grandes, pero su seguridad descansa en una hipótesis muy conservadora, lo que la hace atractiva como respaldo cuando la confianza a muy largo plazo es prioritaria.

NIST prepara además FN-DSA (basado en FALCON, futuro FIPS 206) para casos que necesitan firmas compactas, y en 2025 seleccionó HQC, un KEM basado en códigos, como alternativa de respaldo a ML-KEM por diversidad matemática. Para la firma de firmware y software existe una vía específica ya disponible: las firmas hash con estado LMS y XMSS de la publicación NIST SP 800-208.

Hoja de ruta de migración con cripto-agilidad

La cripto-agilidad es la capacidad de cambiar de algoritmo sin rediseñar la aplicación. Es el objetivo de fondo: no se trata solo de instalar Kyber, sino de que el próximo cambio criptográfico (porque lo habrá) sea una actualización de configuración y no un proyecto de dos años. La migración se aborda por fases.

  1. Inventario criptográfico. No puedes proteger lo que no ves. Genera un CBOM (Cryptographic Bill of Materials) que localice dónde se usa RSA, ECC y DH: certificados TLS, túneles VPN, firma de código, JWT, bases de datos cifradas, HSM y dependencias de terceros. Herramientas como los escáneres de descubrimiento criptográfico y el análisis de tráfico ayudan a mapear lo que a menudo está oculto en librerías embebidas.
  2. Prioriza por vida útil del dato. Ordena por el criterio harvest-now-decrypt-later: primero lo que debe seguir secreto durante décadas y lo que viaja por redes hostiles. Un canal de larga confidencialidad pesa más que un token que caduca en cinco minutos.
  3. Despliega en modo híbrido. El consenso actual (NIST, BSI, ANSSI) es combinar un algoritmo clásico con uno post-cuántico, de forma que romper la sesión exija romper ambos. En TLS 1.3 esto se materializa en grupos como X25519MLKEM768, ya activado por defecto en navegadores como Chrome y en proveedores como Cloudflare.
  4. Prueba y mide el impacto. Las claves y firmas más grandes afectan al tamaño de los paquetes, a la fragmentación y a dispositivos con poca memoria. Valida rendimiento en handshakes, certificados y sistemas embebidos antes de generalizar.

Los plazos regulatorios ya están sobre la mesa. La suite CNSA 2.0 de la NSA exige ML-KEM-1024 y ML-DSA-87 y fija un uso exclusivo hacia el rango 2030-2035 según la categoría de sistema. El borrador NIST IR 8547 marca la depreciación de RSA-2048 y ECC de 112 bits a partir de 2030 y su prohibición después de 2035. En Europa, BSI y ANSSI empujan el enfoque híbrido, y marcos como NIS2 y DORA acabarán incorporando la resiliencia criptográfica en sus exigencias. La misma lógica de agilidad sostiene una arquitectura Zero Trust seria.

Herramientas y despliegue en la práctica

La buena noticia es que la PQC ya es utilizable con software estándar. OpenSSL 3.5 (2025) incorpora soporte nativo de ML-KEM, ML-DSA y SLH-DSA, y el proyecto Open Quantum Safe ofrece la biblioteca liboqs y el oqs-provider para versiones anteriores. AWS KMS, Cloudflare y los principales proveedores cloud ya exponen intercambio de claves híbrido.

Generar un par de claves post-cuántico es tan sencillo como esto:

# Encapsulado de clave (KEM) con ML-KEM-768
openssl genpkey -algorithm ML-KEM-768 -out mlkem768.key

# Firma con ML-DSA-65
openssl genpkey -algorithm ML-DSA-65 -out mldsa65.key

# Listar los grupos de intercambio disponibles
openssl list -kem-algorithms

Y para verificar si un servidor ya negocia intercambio de claves híbrido en TLS 1.3:

openssl s_client -connect ejemplo.com:443 -groups X25519MLKEM768

La firma de firmware merece atención aparte: por su ciclo de vida tan largo es de los primeros candidatos a migrar, y ahí LMS/XMSS (SP 800-208) suelen ser la elección práctica. Igual que ocurre con DNSSEC en la seguridad DNS, la firma es la parte que más tarda en propagarse por toda una cadena de confianza, así que conviene empezar pronto. Y aunque la autenticación de usuario resistente a phishing como FIDO2 y passkeys o la MFA resistente al phishing usan hoy curvas clásicas, la FIDO Alliance ya trabaja en variantes post-cuánticas, otra pieza más del mismo inventario a vigilar.

Preguntas frecuentes

¿Cuándo llegará el ordenador cuántico que rompe RSA?

Nadie tiene una fecha fiable, y ese es justamente el problema. Las estimaciones serias hablan de la década de 2030 o más allá, pero la incertidumbre no es una excusa para esperar: por harvest-now-decrypt-later, cualquier dato que deba seguir secreto más de diez años ya está expuesto hoy si viaja sin protección post-cuántica. La decisión no depende de la fecha del hardware, sino de la vida útil de tus datos.

¿Tengo que cambiar también AES y los hashes?

No de la misma forma. La criptografía simétrica solo se ve afectada por el algoritmo de Grover, que reduce a la mitad la seguridad efectiva. Basta con usar AES-256 en lugar de AES-128 y hashes de al menos 384 bits (SHA-384, SHA-512) para mantener el margen. El grueso de la migración se concentra en la clave pública: RSA, DH y ECC.

¿Qué diferencia hay entre Kyber y ML-KEM?

Son esencialmente el mismo algoritmo en momentos distintos. Kyber (o CRYSTALS-Kyber) es el nombre del candidato que ganó el concurso de NIST; ML-KEM es el nombre del estándar final publicado en FIPS 203, con ajustes menores respecto al Kyber original. Lo mismo ocurre con Dilithium y ML-DSA (FIPS 204). En documentación reciente conviene usar los nombres estandarizados.

¿Por qué se recomienda el modo híbrido y no solo el algoritmo post-cuántico?

Porque los esquemas post-cuánticos son jóvenes y la historia reciente (la caída de SIKE y Rainbow en 2022) demuestra que un candidato puede romperse de forma inesperada. El modo híbrido combina un algoritmo clásico bien probado con uno post-cuántico, de modo que un atacante tendría que vencer a los dos. Ofrece protección frente al ordenador cuántico sin apostarlo todo a una primitiva aún poco rodada.

¿Por dónde empiezo la migración en mi empresa?

Por el inventario criptográfico (CBOM). Antes de elegir algoritmos hay que saber dónde se usa criptografía asimétrica: certificados, VPN, firma de código, JWT, HSM y dependencias externas. Con ese mapa se prioriza por vida útil del dato y se despliega en híbrido empezando por los canales de larga confidencialidad. Sin inventario, cualquier plan de migración es a ciegas.

Recursos relacionados

Criptografía post-cuántica con Secra

En Secra ayudamos a organizaciones B2B a preparar la transición post-cuántica sin frenar la operación. Elaboramos el inventario criptográfico (CBOM), priorizamos por riesgo de harvest-now-decrypt-later, diseñamos el despliegue híbrido en TLS y firma de código, y encajamos todo con tu marco normativo (NIS2, DORA, ENS, ISO 27001). Si quieres saber qué parte de tu criptografía caería ante un ordenador cuántico y en qué orden migrarla, revisa nuestros servicios de consultoría GRC o contacta con Secra para una sesión inicial sin compromiso.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Compartir artículo