La migración a la criptografía post-cuántica ha comenzado — la mayoría de las organizaciones no están preparadas

En agosto de 2024, NIST publicó tres estándares finalizados de criptografía post-cuántica: ML-KEM (basado en CRYSTALS-Kyber), ML-DSA (basado en CRYSTALS-Dilithium) y SLH-DSA (basado en SPHINCS+). Estos algoritmos están diseñados para resistir ataques de computadoras cuánticas — una amenaza que aún no existe por completo pero se acerca lo suficientemente rápido como para que las organizaciones que protegen secretos de larga duración necesiten actuar ahora.

La mayoría no lo ha hecho. Los equipos de seguridad que ya están al límite gestionando las amenazas actuales a menudo tratan la migración post-cuántica como un problema futuro. No lo es. El modelo de amenaza ya está activo.

El problema de "Cosechar ahora, descifrar después" (Harvest Now, Decrypt Later)

La razón por la que la migración post-cuántica es urgente hoy — aunque todavía no existan computadoras cuánticas criptográficamente relevantes — es una estrategia llamada Harvest Now, Decrypt Later (HNDL). Actores de amenazas a nivel de estado-nación están recopilando tráfico de Internet cifrado hoy, almacenándolo y planeando descifrarlo una vez que la computación cuántica alcance la capacidad suficiente.

Si su organización transmitió datos sensibles — registros financieros, propiedad intelectual, comunicaciones gubernamentales, información de salud personal — en los últimos años, esos datos pueden estar ya almacenados por adversarios. Cuando llegue una computadora cuántica suficientemente potente, el cifrado RSA y de curva elíptica que los protege se volverá vulnerable de forma retroactiva.

CISA y la NSA han estimado que las computadoras cuánticas criptográficamente relevantes podrían surgir entre 2030 y 2035. Eso no es un margen cómodo — es una fecha límite estricta para migrar cualquier dato o comunicación que deba permanecer confidencial durante más de unos pocos años.

Qué son realmente los nuevos estándares

Los tres estándares de NIST abordan diferentes funciones criptográficas:

ML-KEM (Mecanismo de encapsulación de claves basado en módulos reticulares) reemplaza a RSA y Diffie-Hellman de curva elíptica para el intercambio de claves — el mecanismo que establece secretos compartidos entre dos partes que se comunican a través de un canal inseguro. Esto es lo que protege las conexiones HTTPS y las sesiones TLS.

ML-DSA (Algoritmo de firma digital basado en módulos reticulares) reemplaza a RSA y ECDSA para las firmas digitales — verificar que un mensaje, actualización de software o certificado proviene realmente de quien dice provenir.

SLH-DSA (Algoritmo de firma digital basado en hash sin estado) proporciona un esquema de firma alternativo con fundamentos matemáticos diferentes (funciones hash en lugar de retículos), sirviendo como protección contra vulnerabilidades basadas en retículos.

Los tres se basan en problemas matemáticos — problemas reticulares y funciones hash — que se cree que son difíciles de resolver para las computadoras cuánticas, a diferencia de los problemas de factorización y logaritmo discreto que sustentan la criptografía RSA y de curva elíptica.

Quiénes ya se están moviendo

Los primeros en moverse son, previsiblemente, las organizaciones con los perfiles de amenaza más altos y las vidas útiles de datos más largas.

Google integró ML-KEM en Chrome 116 en 2023, haciendo que las conexiones TLS entre Chrome y los servidores de Google sean resistentes a la computación cuántica por defecto — un despliegue real a escala de miles de millones de conexiones. Apple ha añadido intercambio de claves post-cuántico al protocolo PQ3 de iMessage, protegiendo las claves de cifrado de mensajes contra el descifrado retroactivo. Signal implementó su propio acuerdo de claves post-cuántico (PQXDH) en 2023. Cloudflare ha estado experimentando con TLS post-cuántico durante años y ahora lo ofrece en producción.

En el ámbito gubernamental: la NSA ha ordenado que los National Security Systems (NSS) — los sistemas que manejan información clasificada — deben comenzar la migración en 2025 y completarla en 2030. CISA ha publicado orientación para operadores de infraestructuras críticas. El Centro Nacional de Seguridad Cibernética del Reino Unido ha publicado plazos similares.

Qué hace difícil la migración

La migración post-cuántica no es una simple actualización de software. Requiere encontrar y reemplazar los primitivos criptográficos incrustados en todos los sistemas de una organización — un proceso llamado inventario criptográfico o evaluación de agilidad criptográfica (crypto-agility assessment).

La escala del problema es grande. Una empresa típica utiliza TLS en todas partes, firma de código para despliegues de software, SSH para acceso a servidores, correo electrónico cifrado, bases de datos cifradas, sistemas de respaldo cifrados, VPN y módulos de seguridad de hardware para almacenamiento de claves. Cada uno de ellos necesita evaluación: qué algoritmo se está usando, qué datos protege y durante cuánto tiempo esos datos deben permanecer confidenciales.

Los sistemas heredados agravan la dificultad. Los sistemas de control industrial, dispositivos médicos, infraestructura financiera y sistemas gubernamentales a menudo ejecutan software que no se ha actualizado en una década o más. Parchear algoritmos criptográficos en Firmware o sistemas embebidos es a menudo poco práctico sin reemplazo de hardware.

El rendimiento es otra preocupación. Los algoritmos post-cuánticos tienen tamaños de clave y de firma más grandes que sus equivalentes clásicos. Las claves públicas de ML-KEM son de 1.2 KB frente a 91 bytes para ECDH. Las firmas ML-DSA son de 2.4-4.6 KB frente a 64-72 bytes para ECDSA. Para aplicaciones con ancho de banda limitado o sensibles a la latencia, esto importa.

Agilidad criptográfica: la arquitectura correcta a largo plazo

La lección que la comunidad de seguridad extrae de la migración post-cuántica no es solo "actualizar a nuevos algoritmos" — es "construir sistemas que puedan cambiar de algoritmos sin rediseñar todo". Este principio se llama agilidad criptográfica (crypto-agility).

Los sistemas con agilidad criptográfica negocian qué algoritmos usar en tiempo de ejecución, almacenan identificadores de algoritmo junto con los datos cifrados y admiten múltiples algoritmos simultáneamente durante los períodos de transición. TLS 1.3 tiene agilidad criptográfica incorporada — por eso implementar TLS post-cuántico es posible mediante una actualización de software. Los sistemas que codificaron sus algoritmos de forma rígida no tienen esta opción.

Las organizaciones que construyen nueva infraestructura hoy deberían tratar la agilidad criptográfica como un requisito arquitectónico no negociable. Las organizaciones que más lucharán en la próxima ola de transiciones criptográficas — ya sea post-cuántica, nuevos esquemas de firma o desaprobación de algoritmos — son aquellas que trataron la criptografía como un problema resuelto en lugar de una capa que debe mantenerse.

Qué hacer ahora

Los pasos prácticos inmediatos para la mayoría de las organizaciones: realizar un inventario criptográfico para identificar dónde se usan RSA, ECDH y ECDSA; priorizar los sistemas que protegen secretos a largo plazo o comunicaciones sensibles; comenzar a probar algoritmos post-cuánticos en entornos no productivos; y actualizar las configuraciones TLS para negociar el intercambio de claves post-cuántico donde haya soporte de bibliotecas (OpenSSL 3.x admite ML-KEM en modo híbrido).

Las organizaciones que traten 2030 como un plazo cómodo se encontrarán en modo crisis para 2028, cuando la carga de trabajo de migración se vuelva innegable y la oferta de ingenieros criptográficos experimentados se vuelva competitiva. Quienes comiencen el inventario ahora — incluso si la migración completa lleva años — tendrán opciones. Quienes no lo hagan, no las tendrán.