- Los ordenadores cuánticos amenazan a esquemas clásicos como RSA y ECC, impulsando la adopción de estándares de criptografía post-cuántica liderados por el NIST.
- Los estándares FIPS 203, 204 y 205, junto al futuro FIPS 206, se basan en Kyber, Dilithium, SPHINCS+ y FALCON para cifrado y firmas digitales resistentes a ataques cuánticos.
- La migración a PQC exige inventario criptográfico, criptoagilidad y proyectos piloto, con apoyo de consultoría especializada y casos reales como el correo cifrado post-cuántico.
- Empresas, gobiernos y proveedores tecnológicos deben empezar ya la transición para evitar que la táctica de «cosecha ahora, descifra después» comprometa datos sensibles a largo plazo.
La llegada de los ordenadores cuánticos ya no es ciencia ficción: cada año se dan pasos de gigante y, cuando alcancen la llamada relevancia criptográfica, muchos de los sistemas de seguridad que usamos a diario se quedarán obsoletos. Eso afectará a todo: desde el correo electrónico y la banca online hasta las infraestructuras críticas y los sistemas gubernamentales.
El problema es que los esquemas clásicos como RSA y ECC, que llevan décadas protegiendo nuestras comunicaciones, no están preparados para resistir los ataques de un ordenador cuántico potente. Por eso el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) ha dado un paso clave: la publicación de las primeras normas de criptografía post-cuántica, basadas en algoritmos como Ascon, Kyber, Dilithium, FALCON y SPHINCS+, que serán la base del cifrado del futuro.
Por qué la computación cuántica pone en jaque al cifrado actual
La criptografía moderna de clave pública se apoya en problemas matemáticos que son muy difíciles de resolver para un ordenador clásico, pero relativamente sencillos para un ordenador cuántico con suficiente capacidad y corrección de errores. Ese es el caso de la factorización de números grandes en RSA o del problema del logaritmo discreto en ECC.
En la práctica, un atacante clásico no puede, en un tiempo razonable, factorizar una clave RSA de 2048 bits o romper la seguridad de curvas elípticas estándar. Sin embargo, los algoritmos cuánticos, como el famoso algoritmo de Shor, permiten explotar la potencia del cómputo cuántico para descomponer esos problemas en un tiempo que hace viable un ataque masivo.
Hoy por hoy, los ordenadores cuánticos que existen solo superan a los clásicos en tareas muy específicas y con muchas limitaciones. Pero la industria tiene ya hojas de ruta claras: por ejemplo, IBM planea un primer sistema cuántico con corrección de errores alrededor de 2029, capaz de ejecutar cientos de millones de operaciones cuánticas, y prevé superar los mil millones de operaciones cuánticas hacia 2033, y otras señales como avances en la computación cuántica en China.
Cuando esas máquinas alcancen la relevancia criptográfica, podrán romper los algoritmos de cifrado más usados actualmente, como RSA o ciertos esquemas de curvas elípticas, poniendo en peligro datos históricos, presentes y futuros. Y aquí aparece otro problema serio: la táctica de los delincuentes conocida como «cosecha ahora, descifra después».
La estrategia de «cosecha ahora, descifra después»
En lugar de intentar romper hoy un cifrado robusto, muchos atacantes se centran en robar y almacenar datos cifrados que seguirán siendo valiosos dentro de 10, 15 o 20 años: historiales médicos, secretos industriales, información gubernamental o financiera, etc.
Su apuesta es sencilla: cuando dispongan de ordenadores cuánticos suficientemente potentes, podrán descifrar esa información histórica, aunque el cifrado en ese momento se considere seguro frente a ataques clásicos. Esa ventana temporal entre el robo y el descifrado es lo que hace tan urgente empezar la migración a algoritmos post-cuánticos ahora, y no cuando el problema ya esté encima.
Además, la sustitución de la criptografía clásica por esquemas post-cuánticos no será inmediata. Habrá que reemplazar protocolos, librerías, hardware, certificados y sistemas heredados en millones de dispositivos y servicios: servidores web, VPN, sistemas de correo, IoT, PKI corporativas, infraestructuras gubernamentales, etc.
El papel del NIST y el nacimiento de los nuevos estándares post-cuánticos
Consciente de la amenaza, el NIST lanzó en 2016 una convocatoria mundial para que expertos en criptografía propusieran nuevos algoritmos de clave pública resistentes a ataques cuánticos. Se recibieron 69 propuestas para distintos casos de uso, que fueron sometidas a varias rondas de evaluación pública.
En 2022, tras un proceso de cribado intenso, el NIST seleccionó un primer grupo de algoritmos finalistas: CRYSTALS-Kyber para cifrado y encapsulación de claves, y tres algoritmos de firma digital: CRYSTALS-Dilithium, FALCON y SPHINCS+. Desde entonces, estos esquemas se han sometido a un escrutinio continuo por parte de la comunidad científica.
El resultado de ese trabajo es la publicación de las primeras normas de criptografía post-cuántica del mundo: los estándares FIPS 203, 204 y 205, junto a un futuro FIPS 206. Estos documentos fijan las especificaciones formales de los algoritmos que se utilizarán para asegurar comunicaciones y autenticación de identidad en la era post-cuántica.
Los estándares FIPS 203, 204, 205 y el futuro 206
El NIST ha finalizado por ahora tres normas post-cuánticas, con una cuarta en marcha, cada una centrada en un caso de uso concreto y basada en familias de algoritmos diferentes para diversificar el riesgo:
El estándar FIPS 203 define ML-KEM, un mecanismo de encapsulación de claves derivado del algoritmo CRYSTALS-Kyber. Se trata de un esquema de cifrado basado en retículas modulares (module-lattice) que ofrece seguridad post-cuántica, tamaños de clave razonables y buen rendimiento, lo que lo convierte en el candidato principal para el cifrado general y el establecimiento de claves en Internet.
Por su parte, FIPS 204 especifica ML-DSA, evolución del algoritmo CRYSTALS-Dilithium. Es un esquema de firma digital también basado en retículas, diseñado para ser la norma principal a la hora de firmar software, documentos o mensajes. A cambio de claves y firmas algo más grandes, ofrece velocidades de verificación muy superiores a muchos algoritmos clásicos, lo que es crucial para infraestructuras de validación masiva.
El estándar FIPS 205 recoge SLH-DSA, que está basado en la familia SPHINCS+. Se trata de un esquema de firma digital sin estado, basado en funciones hash. Su gran ventaja es que está sustentado en una base matemática distinta a la de las retículas, lo que lo convierte en una valiosa alternativa de respaldo si en algún momento se descubriera una debilidad teórica en los esquemas basados en retículas.
Además, el NIST ha anunciado que está trabajando en un cuarto estándar, FIPS 206, fundamentado en el algoritmo FALCON (FN-DSA). Este esquema de firma digital basado en NTRU y transformada rápida de Fourier destaca por producir firmas muy compactas, lo que lo vuelve especialmente interesante para dispositivos con limitaciones de ancho de banda o almacenamiento.
Ascon y su papel en la criptografía moderna
Aunque el foco mediático se ha puesto en Kyber, Dilithium, FALCON y SPHINCS+, el ecosistema post-cuántico también incluye algoritmos como Ascon, seleccionado por el NIST en otro proceso como estándar de criptografía ligera para entornos con recursos limitados.
Ascon está pensado para cifrar y autenticar datos en dispositivos IoT, sensores, sistemas embebidos y otros entornos donde la potencia de cálculo y el consumo energético son muy reducidos. No es un esquema de clave pública post-cuántico como Kyber o Dilithium, sino un algoritmo simétrico ligero, pero forma parte del mismo movimiento: adaptar la criptografía a los retos de seguridad actuales y futuros, incluida la era cuántica.
IBM y la industria: impulsores clave de los algoritmos post-cuánticos
Buena parte de los algoritmos estandarizados por el NIST vienen de proyectos en los que IBM ha tenido un papel protagonista, en colaboración con socios del sector y del mundo académico. ML-KEM (Kyber) y ML-DSA (Dilithium) fueron desarrollados por equipos en los que participaron investigadores de IBM, y SPHINCS+ fue codesarrollado por un experto que posteriormente se incorporó a la compañía.
El algoritmo FALCON (FN-DSA), seleccionado para ser la futura cuarta norma post-cuántica, también procede de un equipo con participación de IBM. Esta implicación no se queda en la teoría: la empresa está integrando la criptografía post-cuántica en productos reales como IBM z16, IBM Cloud y otros servicios de infraestructura y consultoría.
IBM ha definido además una hoja de ruta denominada IBM Quantum Safe, que estructura la transición hacia la seguridad cuántica en tres fases: descubrimiento (identificar y mapear activos criptográficos), observación (monitorizar y evaluar riesgos) y transformación (migrar a algoritmos post-cuánticos y reforzar la gobernanza criptográfica).
Dentro de esa estrategia ha introducido el concepto de Cryptography Bill of Materials (CBOM), una especie de “lista de materiales criptográficos” para documentar qué algoritmos, parámetros, librerías y claves usa un sistema o software. Esta transparencia es vital para gestionar la migración y mantener el cumplimiento normativo en un entorno donde los algoritmos se irán actualizando con frecuencia.
Impacto global de los nuevos algoritmos: gobiernos, empresas y navegadores
La publicación de estos estándares por parte del NIST es un antes y un después para la ciberseguridad. A partir de ahora, gobiernos, grandes empresas, navegadores y Autoridades de Certificación (CA) cuentan con referencias claras de qué algoritmos deben adoptar para prepararse frente a ordenadores cuánticos.
Los nuevos esquemas están diseñados para proteger tanto los datos que circulan por redes públicas (por ejemplo, cuando nos conectamos a un sitio web o usamos una API) como las firmas digitales que autentican identidades y software. Esto incluye certificados TLS, firmas de actualizaciones, firmas de código, certificados de dispositivos IoT, identidades de servidores y mucho más.
Sin embargo, no todo son buenas noticias. Hoy por hoy, muchas CA aún no disponen de módulos de seguridad hardware (HSM) compatibles con estos nuevos algoritmos, y marcos como el Foro CA/B (que regula los certificados web) todavía están trabajando en cómo integrar de forma ordenada la criptografía post-cuántica.
Esto implica que habrá un largo periodo de transición en el que coexistirán algoritmos clásicos y post-cuánticos, así como certificados híbridos, protocolos de negociación de doble capa y soluciones puente. La coordinación entre fabricantes, proveedores de software, navegadores y organismos reguladores será clave para evitar vulnerabilidades inesperadas.
Cómo se está probando la criptografía post-cuántica en casos reales
Más allá de los laboratorios, algunas organizaciones ya han empezado a experimentar con la integración de estos algoritmos en servicios de producción o preproducción. Un ejemplo llamativo es el proveedor de correo cifrado Tutanota, que ha desarrollado un prototipo de cifrado de correo electrónico usando CRYSTALS-Kyber y CRYSTALS-Dilithium.
En el marco del proyecto de investigación PQMail, llevado a cabo junto con la institución L3S de la Universidad Leibniz de Hannover, se evaluaron los algoritmos candidatos del NIST de segunda ronda en cuanto a seguridad, consumo de recursos y rendimiento. Tras las pruebas, se decantaron por la familia CRYSTALS, que mostró mejor equilibrio entre tamaño de claves/firmas y velocidad, manteniendo un nivel de seguridad equivalente al menos a 128 bits clásicos.
El plan de Tutanota es implementar un nuevo protocolo de cifrado post-cuántico que se aplique de forma transparente: los usuarios no tendrían que hacer nada, ya que el sistema migraría automáticamente a los nuevos algoritmos, cifrando correos, contactos y calendarios con esquemas resistentes a ataques cuánticos.
Este tipo de proyectos demuestran que la criptografía post-cuántica no es solo una teoría académica, sino una tecnología que ya se está integrando en servicios reales, anticipándose a los riesgos y validando en la práctica el rendimiento de estos algoritmos.
Estrategia de migración a criptografía post-cuántica (PQC)
Para muchas organizaciones, la pregunta ya no es si deben prepararse para un mundo post-cuántico, sino cómo abordar la migración de forma ordenada. No hay una receta única, pero sí pasos clave que se repiten en todas las metodologías serias.
El primer elemento fundamental es construir un inventario criptográfico o CBOM lo más completo posible: identificar qué algoritmos, tamaños de clave, protocolos, certificados y librerías se usan en cada sistema, aplicación y servicio. Sin esta radiografía es prácticamente imposible planificar una transición sin sobresaltos.
Una vez mapeado el entorno, toca detectar los sistemas heredados que no soportan fácilmente nuevos algoritmos (por hardware, firmware, software obsoleto, etc.). Esos sistemas tendrán que actualizarse, sustituirse o encapsularse con soluciones intermedias que permitan introducir criptografía post-cuántica sin romper la operativa.
Otro paso clave es priorizar los activos y datos más críticos (las “joyas de la corona”): información altamente sensible, servicios de misión crítica, componentes centrales de la infraestructura de identidad digital, etc. Estos son los candidatos prioritarios para la migración a algoritmos post-cuánticos.
A continuación, hay que seleccionar qué algoritmos PQC son los más adecuados para cada caso de uso (por ejemplo, Kyber para establecimiento de claves, Dilithium o FALCON para firmas, SPHINCS+ como opción alternativa) y montar entornos de laboratorio o pilotos para probar su comportamiento real en la infraestructura existente.
Por último, la organización debe desplegar, monitorizar y ajustar la implementación, manteniendo siempre una postura de criptoagilidad: capacidad para cambiar de algoritmo, tamaño de clave o esquema de firma sin tener que rehacer toda la arquitectura de seguridad desde cero.
Consultoría en cifrado y preparación cuántica
Debido a la complejidad técnica y organizativa de este cambio, han surgido servicios especializados de consultoría en criptografía post-cuántica, ofrecidos tanto por grandes tecnológicas como por firmas expertas en seguridad y cifrado.
Estas consultoras suelen arrancar con una evaluación de amenazas cuánticas: análisis del estado actual de la infraestructura criptográfica de la empresa, revisión de políticas de gestión de claves, identificación de brechas frente a estándares de seguridad y normativas, y valoración de posibles escenarios de ataque en un contexto con ordenadores cuánticos operativos.
También ayudan a diseñar una hoja de ruta de preparación cuántica, que define fases, prioridades, proyectos piloto, plazos y recursos necesarios para migrar a algoritmos post-cuánticos sin paralizar el negocio. En muchos casos, esto implica combinar cambios técnicos (nuevos algoritmos, nuevos HSM, nuevas librerías) con cambios de gobernanza (políticas, procedimientos, formación).
Otro bloque esencial es el desarrollo de la criptoagilidad dentro de la organización. Esto incluye elegir arquitecturas y herramientas que permitan cambiar de CA, de tipo de certificado o de algoritmo de firma de forma rápida, automatizar la gestión del ciclo de vida de las claves y certificados, y mantener un cumplimiento continuo frente a normas del sector.
Además, estas consultoras suelen trabajar en la evaluación de proveedores y pruebas de concepto (POC): comparan soluciones del mercado, las mapean contra los casos de uso del cliente, diseñan escenarios de test y documentan resultados, facilitando decisiones informadas sobre qué tecnologías adoptar.
En paralelo, ayudan a las empresas a seguir el ritmo de las novedades del NIST y otros organismos, interpretando cómo afectan los nuevos estándares, recomendaciones y descubrimientos criptográficos a su entorno concreto, y ajustando la estrategia cuando es necesario.
Retos y oportunidades en la transición a un mundo post-cuántico
El proceso que se abre ahora no está exento de riesgos. Migrar a gran escala desde algoritmos ampliamente probados como RSA a esquemas más recientes implica desafíos técnicos, organizativos y de cumplimiento. Habrá bugs, incompatibilidades, casos límite y sorpresas.
Por ejemplo, no todos los dispositivos IoT actuales podrán manejar claves y firmas más grandes sin un impacto en memoria, tiempo de procesado o batería. En otros casos, sistemas críticos con hardware muy antiguo podrían quedar bloqueados si no se diseña bien la estrategia de transición.
Además, la coexistencia prolongada de algoritmos clásicos y post-cuánticos abre la puerta a configuraciones híbridas mal diseñadas donde se degrade la seguridad a esquemas vulnerables, ya sea por error de implementación o por mal entendimiento de los protocolos.
Con todo, esta transición también es una oportunidad para modernizar y ordenar la infraestructura criptográfica de muchas organizaciones, documentar lo que hoy está “en la sombra”, automatizar la gestión de claves y certificados, y elevar el nivel general de seguridad.
En el centro de todo están los nuevos algoritmos: Ascon, Kyber, Dilithium, FALCON y SPHINCS+ forman parte de un ecosistema en evolución que busca garantizar que, cuando los ordenadores cuánticos alcancen la relevancia criptográfica, nuestras comunicaciones, datos e identidades sigan estando protegidos. Empezar a prepararse ahora no es una opción exagerada, sino una forma realista de adelantarse a un cambio tecnológico que, tarde o temprano, llegará.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.