Criptografía post-cuántica, sin pánico.

Un fundador al que respeto me preguntó, en una llamada el mes pasado: ¿tengo que hacer algo con lo cuántico? Maneja una fintech con siete años de datos de clientes en el cable. Había leído un post alarmista. Quería saber si entrar en pánico, ignorarlo, o algo intermedio. La respuesta honesta es: algo intermedio, más chico de lo que dicen los posts del pánico pero más grande que cero. Este post es esa respuesta, escrita para ingenieros que no son criptógrafos pero que son dueños de sistemas que guardan secretos de larga vida.

Voy a definir la amenaza, contar qué publicó NIST en 2024 exactamente, dar los números prácticos, y terminar con el único hábito de ingeniería que importa más que elegir el algoritmo correcto. No hace falta matemática; se muestra algo.

Qué significa realmente 'lo cuántico rompe la cripto'

La frase es demasiado amplia para ser útil, así que precisemos. Una computadora cuántica suficientemente grande corriendo el algoritmo de Shor factorizaría enteros grandes y resolvería logaritmos discretos en tiempo polinomial. Eso mata a RSA, Diffie-Hellman y la criptografía de curva elíptica — las tres primitivas que sostienen casi toda la criptografía de clave pública en producción hoy, incluido el handshake TLS que corrió tu navegador para cargar esta página.

El algoritmo de Grover es el otro que citan. Acelera la búsqueda por fuerza bruta de forma cuadrática, lo que significa que una clave simétrica de n bits tiene aproximadamente n/2 bits de seguridad efectiva contra un atacante cuántico. AES-128 queda equivalente a AES-64 (incómodo), AES-256 queda equivalente a AES-128 (sigue siendo aceptable). La solución para la cripto simétrica es básicamente: usá AES-256. El problema difícil está en el lado de la clave pública.

Por qué esto ya es un problema, no un problema de 2032

El argumento que despierta a los ingenieros: harvest-now, decrypt-later — capturá ahora, descifrá después. Un adversario paciente no necesita una computadora cuántica hoy. Necesita un disco rígido. Captura el tráfico cifrado ahora — túneles VPN, sesiones TLS, backups archivados, logs de mensajes federados — lo guarda barato, y lo descifra el día que exista una máquina capaz de Shor.

Eso cambia el cálculo. La pregunta ya no es ¿cuándo llega la computadora cuántica? La pregunta es: ¿qué datos, cifrados con las claves de hoy, todavía van a importar ese día? Historias clínicas. Documentos de identidad. Contratos legales. Secretos de estado. Secretos comerciales que tienen que mantenerse secretos por dos décadas. Para sistemas que protegen datos con un horizonte de secreto largo, la amenaza ya está viva, porque el cifrado se está coleccionando ahora.

Para datos efímeros — un token de sesión que vence en una hora, el precio que pagaste por un café — capturar-ahora es mayormente teatro. El dato ya es inútil para cuando lo descifran. La seriedad de la amenaza es exactamente proporcional a cuánto tiempo tienen que seguir secretos tus secretos.

Qué publicó NIST exactamente

Después de un concurso público de ocho años, NIST cerró tres estándares post-cuánticos en agosto de 2024. Son reales, son deployables, y ya aparecen en OpenSSL, BoringSSL, libsodium, AWS KMS, el edge de Cloudflare y el handshake TLS de Chrome. Los nombres son feos; te acostumbrás.

• ML-KEM (FIPS 203) — el algoritmo de encapsulado de clave, derivado de Kyber. Reemplaza a RSA/ECDH para intercambio de claves. Cuando dos partes acuerdan una clave simétrica compartida sobre internet abierto, ML-KEM es la forma nueva de hacerlo.
• ML-DSA (FIPS 204) — el algoritmo de firma digital, derivado de Dilithium. Reemplaza a RSA/ECDSA para firmar. Firmas de código, JWTs, firmas de documentos, firmas de certificados — todo.
• SLH-DSA (FIPS 205) — un esquema de firma stateless basado en hashes, derivado de SPHINCS+. Más lento y más grande que ML-DSA, pero depende sólo de la seguridad de la función hash, así que sobrevive incluso si las redes lattice resultan ser cuánticamente débiles. El seguro contra todo riesgo, para firmas de alta criticidad.

Dos de estos (ML-KEM, ML-DSA) están construidos sobre problemas de redes lattice — específicamente, learning-with-errors sobre lattices modulares. La versión corta de por qué es una buena apuesta: no se conoce ningún algoritmo cuántico eficiente para los problemas lattice subyacentes, y los mejores ataques clásicos llevan décadas estudiados sin caer. No es una prueba; es una apuesta muy bien testeada. SLH-DSA es el hedge: si la apuesta lattice pierde, las firmas hash-based siguen en pie.

El precio — las claves y las firmas se hicieron más grandes

Hay un impuesto. Las claves y firmas post-cuánticas son más grandes que lo que reemplazan, a veces por mucho. Números redondos, hoy:

• Firma Ed25519: 64 bytes. Firma ML-DSA-65: ~3.300 bytes. Alrededor de 50× más grande.
• Clave pública X25519: 32 bytes. Clave pública ML-KEM-768: ~1.184 bytes. Alrededor de 37× más grande.
• Firma SLH-DSA: 8.000–50.000 bytes según los parámetros. Sí, en serio.

Para un handshake TLS esto es manejable — un costo único en la apertura de conexión. Para un sistema que mete una firma en cada header HTTP, o un token en cada URL, el delta de tamaño importa. Plantealo. Medilo en tu tráfico real antes de cambiar nada.

Qué quiere decir realmente 'migrar a post-cuántico'

Nadie serio recomienda un swap limpio de clásico a PQ en una sola fecha de deploy. La migración que está ocurriendo de verdad, en las compañías que conocés, tiene tres etapas y todas son incrementales.

1. Inventario. Encontrá cada lugar donde tu sistema depende de RSA, ECDSA, ECDH, DH. Endpoints TLS, firmadores JWT, firmadores de código, hosts SSH, proveedores OIDC, claves de módulos de seguridad por hardware (HSM), encriptación cliente-side de S3, tokens federados entre servicios. No podés migrar lo que no podés ver. La mayoría de los equipos descubre que el inventario es el doble de grande de lo que esperaban.
2. Híbrido primero. La mejor práctica actual es el intercambio de claves híbrido — corré X25519 y ML-KEM juntos; la clave de sesión se deriva de los dos. Si las lattices se rompen mañana, la mitad X25519 sigue. Si se encuentra un defecto futuro en X25519, la mitad ML-KEM sigue. Híbrido es lo que Cloudflare y Chrome ya hacen en internet público; es el camino del menor arrepentimiento.
3. Cripto-agilidad antes que elección de algoritmo. La mayor victoria de ingeniería no es elegir ML-KEM frente a otra cosa. Es hacer que tu sistema sea capaz de cambiar el algoritmo sin reescribir tu aplicación. Si tu código dice RSA en 400 lugares, tenés un problema de código, no un problema de cripto. Más sobre esto en el próximo post.

Quién debería estar moviéndose ahora, y quién puede esperar

Triage, áspero pero útil.

• Moverse este año: cualquiera que tenga secretos de larga vida (salud, identidad, legal, archivos financieros), cualquiera cuyo cifrado se esté capturando de manera realista (telcos, proveedores de VPN, cualquier cosa que cruza redes hostiles), y cualquiera que firme actualizaciones de software o firmware que tengan que ser verificables dentro de una década.
• Planificar este año, moverse el próximo: SaaS con datos sensibles de clientes, plataformas B2B con contratos multianuales, cualquiera que haga federación o single-sign-on entre organizaciones.
• Estar informado, sin apuro: apps de consumo con datos efímeros, herramientas internas detrás de una VPN corporativa, cualquier cosa cuyos secretos quedan inútiles en meses.

Para los sistemas de agentes que construimos en GOGOGO LLC la pregunta relevante es más estrecha: ¿qué secretos tiene un agente, y por cuánto tiempo? Un token de sesión efímero que un agente usa por los próximos 30 segundos está en el balde de abajo. Una clave de firma que autentica la salida trazable de un agente durante años está en el balde de arriba. El mismo producto puede tener los dos, y por eso, exactamente, el problema operativamente interesante es la cripto-agilidad — no la elección de algoritmo.

“Post-cuántico no es una emergencia, y no es teatro. Es una fecha límite cuya fecha no conocés, sobre un problema cuyo peor caso ya está ocurriendo — el cifrado se está guardando ahora mismo. La postura correcta es: inventario primero, híbrido segundo, agilidad en todos lados.”

Hacia dónde sigue esto

El trabajo interesante no es elegir ML-KEM. El trabajo interesante es construir sistemas donde el algoritmo sea un componente intercambiable — donde el día que un estándar de NIST sea reemplazado (y va a pasar), la migración sea un cambio de configuración, no una reescritura. Esa disciplina tiene un nombre — cripto-agilidad — y es el tema del próximo post. El siguiente es sobre qué significa todo esto, específicamente, para sistemas donde muchos agentes comparten, firman y verifican estado. Si tus productos están corriendo hoy, este es el momento correcto para empezar el inventario. Ni muy temprano. Ni muy tarde. Más sobre cómo pensamos la construcción en gogogollc.com.