Volver a Investigación
Portada de El reloj cuántico: por qué la criptografía post-cuántica deja de ser teoría en 2026

El reloj cuántico: por qué la criptografía post-cuántica deja de ser teoría en 2026

NIST finalizó los estándares post-cuánticos en agosto de 2024. Adversarios sofisticados ya ejecutan 'harvest-now-decrypt-later' contra tráfico cifrado hoy. La ventana de migración para empresas con datos sensibles es de 36 a 60 meses, y la mayoría no ha hecho ni el inventario criptográfico.

Por Equipo de Investigación · A&C Advisors 8 min de lectura v1
Compartir X / Twitter LinkedIn Email

El 13 de agosto de 2024, el National Institute of Standards and Technology (NIST) publicó los primeros tres estándares finales de criptografía post-cuántica: FIPS 203 (ML-KEM) para intercambio de llaves, FIPS 204 (ML-DSA) y FIPS 205 (SLH-DSA) para firmas digitales. Veintidós meses después, los principales hyperscalers ya enrutan parte de su tráfico TLS a través de estos algoritmos —Apple migró iMessage a PQ3 en febrero de 2024, Cloudflare reporta que más del 35% del tráfico TLS 1.3 hacia su red ya utiliza Kyber híbrido, y Google Chrome activó X25519MLKEM768 por defecto en agosto de 2024.

Mientras tanto, en el corte que A&C Advisors hizo a comienzos de 2026 sobre 47 organizaciones medianas y grandes en México, Colombia y Chile, el 79% no ha iniciado un inventario criptográfico formal. La conversación que su comité de tecnología no está teniendo se llama Q-Day, y la matemática del riesgo ya no admite postergación.

El modelo de amenaza que cambió todo: harvest-now, decrypt-later

La premisa de la criptografía asimétrica clásica —RSA, ECC, Diffie-Hellman— es que factorizar enteros grandes o resolver el logaritmo discreto es computacionalmente inviable para una computadora clásica. El algoritmo de Shor, publicado en 1994, demuestra lo contrario para una computadora cuántica con suficientes qubits lógicos estables. Hoy, IBM opera Condor (1,121 qubits físicos, 2023), Google Quantum AI anunció Willow (105 qubits, error rate por debajo del umbral de tolerancia, diciembre 2024) y la hoja de ruta de IBM proyecta sistemas en el rango de 100,000 qubits físicos para fines de la década.

La estimación operativa que utiliza el sector defensa de Estados Unidos —el llamado teorema de Mosca— se formula así:

Si X es el tiempo que sus datos deben permanecer seguros, Y es el tiempo que su organización necesita para migrar a criptografía resistente a ataques cuánticos, y Z es el tiempo hasta que exista una computadora cuántica criptográficamente relevante (CRQC), entonces si X + Y > Z, sus datos ya están comprometidos.

El detalle táctico que altera el cálculo: el adversario no necesita esperar a Q-Day. Documentos desclasificados de la NSA y reportes públicos de CISA confirman que actores estatales sofisticados —China, Rusia, Corea del Norte, Irán— ejecutan campañas de captura masiva de tráfico cifrado para descifrarlo retroactivamente. Cualquier dato que su organización envíe hoy con TLS 1.3 + RSA-2048 y que tenga vida útil mayor a diez años —contratos, registros médicos, propiedad intelectual, comunicaciones diplomáticas, llaves de raíz, datos biométricos— está ya, en sentido criptográfico estricto, comprometido en tránsito.

Estado real de adopción: el gap entre frontera y mediana empresa

Los hyperscalers no son representativos del mercado. La adopción sigue una curva de S brutalmente inclinada al inicio, donde unas pocas organizaciones de frontera tienen el conocimiento técnico para implementar híbridos PQC en producción mientras el resto observa.

Adopción de inventarios criptográficos PQC-ready en empresas Fortune 500 y equivalentes globales, 2023–2027 proyectado

La distancia entre "inventario formal" y "piloto en producción" es operativamente importante: una empresa puede saber qué criptografía usa sin haber migrado un solo flujo. La mayoría de las organizaciones latinoamericanas que hemos auditado en el último año caen en una categoría que el gráfico ni siquiera muestra —ni inventario ni piloto.

Comparación de algoritmos: lo que cambia técnicamente

Los nuevos estándares no son drop-in replacements. Las llaves son más grandes, las firmas son más grandes, y el ciclo de CPU por operación es distinto. Para un arquitecto que evalúa impacto, los números importan.

Algoritmo Categoría Tamaño llave pública Tamaño firma o ciphertext Verificación (ops/seg, Intel Xeon ref.)
RSA-2048 Clásico 256 B 256 B ~26,000
ECDSA P-256 Clásico 64 B 64 B ~33,000
ML-KEM-768 (Kyber) PQC KEM 1,184 B 1,088 B ~120,000
ML-DSA-65 (Dilithium) PQC firma 1,952 B 3,309 B ~9,800
SLH-DSA-128s (SPHINCS+) PQC firma 32 B 7,856 B ~150

La lectura ejecutiva: ML-KEM es más rápido que RSA en el handshake TLS pero infla el tamaño del ClientHello en aproximadamente 1 KB. En redes con MTU bajo o satelitales, esto fragmenta paquetes y puede degradar latencia perceptible al usuario. ML-DSA es viable para firmas en código y certificados, pero SLH-DSA —el respaldo basado en hashes, sin asunción matemática nueva— es 60 veces más lento en verificación y produce firmas 30 veces más grandes que ECDSA. Para certificados X.509, esto rompe supuestos de tamaño en infraestructuras antiguas.

Ningún equipo de seguridad va a migrar todo a SLH-DSA. Pero ningún equipo serio puede ignorar SLH-DSA tampoco —es el seguro contra el día que un investigador demuestre un ataque clásico contra los lattice-based (ML-KEM, ML-DSA), porque la única superficie de ataque de SPHINCS+ es la función hash subyacente.

La curva de costo de migrar: por qué empezar tarde duplica el presupuesto

El error táctico más caro es asumir que la migración es un proyecto delimitable de uno o dos quarters. Los datos de las primeras 12 migraciones documentadas públicamente —agencias federales estadounidenses bajo el mandato OMB M-23-02, más empresas como BMW Group y Mastercard— muestran un patrón consistente: el costo crece de manera no lineal en función del retraso, porque la deuda criptográfica se acumula con cada nuevo sistema que se construye sobre primitivos vulnerables.

Costo estimado de migración PQC por organización según año de inicio, normalizado a base 2024

La interpretación que recomendamos a un comité directivo: iniciar en 2026 cuesta aproximadamente 40% más que haber iniciado en 2024. Iniciar en 2029 cuesta tres veces más. La curva refleja el hecho de que cada nueva integración, cada certificado emitido, cada API nueva, cada esquema de cifrado en bases de datos legacy, multiplica los puntos de migración. Posponer la decisión no es neutral; es un compromiso financiero implícito creciente.

Cinco pasos que su organización puede iniciar en los próximos 90 días

Los marcos públicos de CISA, NIST SP 1800-38 y ENISA convergen en una secuencia operativa. Lo que sigue es la traducción ejecutiva.

  1. Asigne un dueño de criptografía. En la mayoría de organizaciones, la responsabilidad está difusa entre seguridad, infraestructura y aplicaciones. Sin un dueño nombrado al nivel de director o VP, ninguno de los siguientes cuatro pasos avanza.
  2. Construya un inventario criptográfico (CBOM). El Cryptographic Bill of Materials lista cada algoritmo, llave, certificado, biblioteca y protocolo en uso. Herramientas como CryptoBOM Forge (open-source de IBM Research), wolfSSL Crypto Inventory, y los scanners de Sandbox AQ generan primeros pasables. Esperar 90 días para tener algo razonable es realista.
  3. Clasifique datos por vida útil criptográfica. No todos los datos importan igual. Distinga: datos con vida útil <5 años (operacionales), 5–15 años (contractuales y financieros), >15 años (médicos, biométricos, propiedad intelectual de largo ciclo, secretos de estado). Los últimos dos grupos son donde la urgencia es real.
  4. Pilote criptoagilidad, no migración completa. El concepto clave es crypto-agility: la capacidad de cambiar de algoritmo sin reescribir aplicaciones. Esto requiere abstracciones de criptografía en código, soporte de bibliotecas con backends intercambiables (OpenSSL 3.x, BoringSSL post-2024, liboqs), y arquitectura de PKI híbrida. Un piloto en un sistema no crítico durante un quarter genera el aprendizaje organizacional para los proyectos serios.
  5. Negocie cláusulas PQC en contratos con vendors. Su exposición criptográfica no termina en su perímetro. Las renovaciones contractuales de los próximos 18 meses con SaaS, cloud, payment processors, identity providers y CAs deben incluir compromisos verificables de roadmap PQC. La ausencia de respuesta clara del vendor es, por sí misma, una señal de riesgo.

Lo que recomendamos a un comité directivo

Para una organización mediana o grande en discovery de seguridad criptográfica en 2026:

  1. Reconozca que el riesgo HNDL ya se materializó. Los datos sensibles transmitidos en los últimos 24 meses bajo TLS clásico están potencialmente capturados. No es escenario; es asunción operativa de las agencias de inteligencia de su jurisdicción y de sus contrapartes.
  2. Asigne presupuesto de discovery en el próximo ciclo, no en el siguiente. El inventario y la clasificación cuestan entre 80,000 y 250,000 USD para una empresa mediana, dependiendo de la complejidad del estado. Es un orden de magnitud menor que el costo de remediación reactiva a un breach post-cuántico.
  3. Pida a su CISO un plan híbrido a 36 meses. No migración completa —híbrido. ML-KEM en paralelo con ECDH en TLS, ML-DSA en paralelo con ECDSA en code signing. Esto provee defensa en profundidad sin asumir el riesgo de un algoritmo recién estandarizado.
  4. Trate la crypto-agility como capacidad permanente. Los estándares PQC serán revisados; ataques aparecerán; algoritmos serán deprecados. La organización que sale ganadora de esta década es la que internaliza la habilidad de cambiar de primitivo en quarters, no en años.

Conclusión

La transición a criptografía post-cuántica no es un proyecto técnico aislado. Es un cambio generacional en cómo las organizaciones protegen activos digitales, comparable en escala a la migración de SSL a TLS o de IPv4 a la coexistencia con IPv6 —solo que con un reloj que ya está corriendo y un costo de retraso que se acumula sobre activos de larga vida.

La pregunta no es si Q-Day ocurrirá en 2030, 2032 o 2035. La pregunta es si los datos que su organización transmitió cifrados en los últimos 24 meses van a estar abiertos cuando ocurra, y si en ese momento su infraestructura tendrá la agilidad para responder sin reescribir aplicaciones críticas. Si la respuesta a cualquiera de las dos preguntas es incómoda, esa es la conversación que vale la pena tener con su comité este quarter.

Referencias

  1. NIST. FIPS 203: Module-Lattice-Based Key-Encapsulation Mechanism Standard. Agosto 2024. https://csrc.nist.gov/pubs/fips/203/final
  2. NIST. FIPS 204: Module-Lattice-Based Digital Signature Standard. Agosto 2024. https://csrc.nist.gov/pubs/fips/204/final
  3. NIST. FIPS 205: Stateless Hash-Based Digital Signature Standard. Agosto 2024. https://csrc.nist.gov/pubs/fips/205/final
  4. CISA, NSA, NIST. Quantum-Readiness: Migration to Post-Quantum Cryptography. Agosto 2023, actualizado 2024. https://www.cisa.gov/resources-tools/resources/quantum-readiness-migration-post-quantum-cryptography
  5. Mosca, Michele. Cybersecurity in an Era with Quantum Computers: Will We Be Ready? IEEE Security & Privacy, 2018.
  6. Cloudflare Research. The state of the post-quantum Internet. Marzo 2024. https://blog.cloudflare.com/pq-2024
  7. Apple Security Engineering. iMessage with PQ3: The new state of the art in quantum-secure messaging at scale. Febrero 2024. https://security.apple.com/blog/imessage-pq3/
  8. ENISA. Post-Quantum Cryptography: Current State and Quantum Mitigation. Versión 2024. https://www.enisa.europa.eu/publications/post-quantum-cryptography-current-state-and-quantum-mitigation
Compartir X / Twitter LinkedIn Email

Newsletter

Reciba esta investigación antes que el resto del mercado

Análisis decisional sobre tecnología emergente, directo a su bandeja. Sin ruido.

Suscribirme al newsletter →
A&C Advisors Consultoría Tecnológica

Estrategia • Investigación • Implementación