Los estándares post-cuánticos de NIST ya son definitivos — la cuenta atrás para la migración ha comenzado
En agosto de 2024, el Instituto Nacional de Estándares y Tecnología (NIST) publicó tres estándares definitivos de criptografía post-cuántica (PQC) — un hito que llevaba años gestándose. Para la mayoría, la noticia pasó casi desapercibida, sepultada bajo el torrente diario de titulares tecnológicos. Pero para los profesionales de la ciberseguridad y las agencias gubernamentales, fue un pistoletazo de salida.
Qué se estandarizó — y por qué importa
Los tres nuevos estándares son:
ML-KEM (FIPS 203), basado en CRYSTALS-Kyber — diseñado para el encapsulamiento e intercambio de claves, reemplazando los mecanismos usados hoy en TLS, VPNs y mensajería segura.
ML-DSA (FIPS 204), basado en CRYSTALS-Dilithium — un algoritmo de firma digital para autenticar software, documentos y comunicaciones.
SLH-DSA (FIPS 205), basado en SPHINCS+ — un esquema de firma digital de respaldo que usa un enfoque matemático completamente diferente (criptografía basada en hash) para mayor resiliencia.
Estos algoritmos fueron diseñados específicamente para resistir ataques de ordenadores cuánticos. Esa es la razón de su necesidad: los protocolos de cifrado que hoy sostienen el mundo — RSA, criptografía de curva elíptica (ECC) e intercambio de claves Diffie-Hellman — son matemáticamente vulnerables ante un ordenador cuántico lo suficientemente potente que ejecute el algoritmo de Shor.
Por qué el cifrado actual está en riesgo
La seguridad de RSA y ECC descansa en la suposición de que factorizar números grandes o resolver el problema del logaritmo discreto lleva un tiempo impracticable para los ordenadores clásicos. Para una clave RSA de 2048 bits, ese proceso tomaría más tiempo que la edad del universo con el hardware actual. Un ordenador cuántico a gran escala ejecutando el algoritmo de Shor podría hacerlo en horas.
Los ordenadores cuánticos lo suficientemente potentes como para romper el cifrado actual — llamados ordenadores cuánticos criptográficamente relevantes, o CRQC — aún no existen. Pero estimaciones creíbles sitúan su llegada en un plazo de 5 a 15 años. Algunas evaluaciones son más agresivas. IBM, Google y los programas de investigación respaldados por gobiernos avanzan rápido, y la incertidumbre misma es la amenaza.
La amenaza de «cosechar ahora, descifrar después»
No necesitas un ordenador cuántico hoy para beneficiarte de uno mañana. Los adversarios estatales — y las agencias de inteligencia que los vigilan — lo saben bien. La estrategia es directa: interceptar y archivar tráfico cifrado ahora, mientras aún está protegido, y descifrarlo una vez que esté disponible un ordenador cuántico suficientemente potente.
Este enfoque, conocido como «cosechar ahora, descifrar después» (HNDL), convierte lo que parece un problema futuro en uno presente. Comunicaciones clasificadas, registros financieros a largo plazo, datos médicos, propiedad intelectual protegida hoy con RSA o ECC — todo ello está potencialmente en riesgo si lo está recogiendo un adversario paciente. La NSA, CISA y el NIST han publicado directrices que señalan explícitamente el HNDL como una amenaza actual que requiere acción inmediata, no un asunto de esperar y ver.
Quién tiene plazos — y cuáles son
Las agencias federales de EE.UU. operan bajo un mandato formal de migración. El Memorando de Seguridad Nacional 10 (NSM-10) de la Casa Blanca, emitido en 2022, exigió a las agencias inventariar sus sistemas criptográficos y comenzar la planificación de la migración. Las directrices de CISA han impulsado que los sistemas críticos se migren a algoritmos PQC para 2030, con un objetivo más amplio de completar la migración en toda la infraestructura federal para 2035.
Los reguladores financieros de EE.UU. y la UE siguen de cerca el tema. SWIFT, que gestiona la mensajería interbancaria del sistema financiero global, ha estado trabajando con bancos miembros en la preparación para PQC. Las redes de tarjetas de pago y las cámaras de compensación con largos requisitos de retención de datos enfrentan una urgencia particular debido al riesgo HNDL.
Los operadores de infraestructuras críticas — energía, agua, telecomunicaciones — están bajo una presión similar. El problema es especialmente agudo en entornos de tecnología operativa (OT), donde los sistemas embebidos pueden tener una vida útil de 20 años y ninguna ruta de actualización sencilla.
El período de transición híbrido
Nadie espera que las organizaciones activen un interruptor de la noche a la mañana. La guía actual de NIST y los principales organismos de estandarización recomienda un enfoque «híbrido» durante la transición: ejecutar simultáneamente un algoritmo clásico y uno post-cuántico, de modo que la conexión sea segura incluso si uno de ellos resulta tener una vulnerabilidad más adelante.
Este enfoque ya se está desplegando en la práctica. Cloudflare, Google y Apple han implementado intercambio de claves híbrido en conexiones TLS. Signal añadió una capa post-cuántica a su protocolo de acuerdo de claves en 2023. El enfoque híbrido cuesta un poco más en overhead computacional, pero proporciona una red de seguridad mientras los nuevos algoritmos acumulan escrutinio en el mundo real.
Qué deberían hacer ahora las empresas y los individuos
El desafío de la migración no es principalmente matemático — los algoritmos están listos. Es un desafío operativo y organizativo. Para empresas e instituciones, los pasos prácticos son:
Inventariar los activos criptográficos. No se puede migrar lo que no se ha mapeado. Eso significa identificar cada lugar en tu infraestructura donde se use RSA, ECC o DH — certificados TLS, claves SSH, pipelines de firma de código, configuraciones VPN, bases de datos cifradas y autenticación de API.
Priorizar los datos sensibles de larga duración. Los datos cifrados hoy que deban permanecer confidenciales durante diez años o más — historiales médicos, documentos legales, secretos comerciales — deben tratarse como ya en riesgo bajo los supuestos HNDL. Prioriza re-cifrar estos datos con métodos protegidos por PQC primero.
Actualizar las configuraciones de TLS y SSH. Las principales librerías — OpenSSL, BoringSSL, libsodium — están añadiendo soporte para PQC. Los fabricantes de navegadores y el software de servidor están siguiendo el mismo camino. Mantener las dependencias actualizadas y vigilar el soporte de conjuntos de cifrado compatibles con PQC en tu pila web es un paso concreto que cualquiera que gestione infraestructura puede dar.
No esperes a los proveedores. Muchos proveedores de software empresarial se mueven lentamente en la integración de PQC. Si estás atrapado en sistemas que no tienen una hoja de ruta para PQC, eso es un riesgo que debes plantear a tu proveedor ahora, no en 2029.
Para los usuarios comunes, el consejo más práctico es más simple: usa software que se mantenga y actualice activamente. Si tu aplicación de mensajería, navegador y sistema operativo están actualizados, es probable que recibas las protecciones PQC a medida que se implementen sin hacer nada especial. El trabajo pesado se realiza a nivel de infraestructura.
El resultado final
La finalización de los estándares post-cuánticos de NIST cierra la pregunta de «¿qué algoritmos debemos usar?» que mantuvo a muchas organizaciones en una postura de esperar y ver. Esa pregunta ya tiene respuesta. Las preguntas restantes son operativas: qué tan rápido puedes moverte, cuál es tu exposición de mayor prioridad y si tus proveedores tienen un plan creíble.
Las migraciones criptográficas son lentas, caras y disruptivas — la transición de SHA-1 a SHA-256 tomó más de una década y fue mucho más simple de lo que requiere la migración PQC. El hecho de que aún no existan ordenadores cuánticos capaces de romper RSA no es una razón para retrasarse. Es precisamente la razón para empezar ahora, mientras aún hay tiempo para hacerlo metódicamente y no en pánico.
La cuenta atrás ha comenzado. Los estándares son definitivos. La única variable que queda es cuánta ventaja se le da a la migración.