AIO APEX
Security

Los estándares de criptografía post-quantum de NIST son definitivos — El cronograma de migración que toda organización necesita

Compartir:
Los estándares de criptografía post-quantum de NIST son definitivos — El cronograma de migración que toda organización necesita

Los estándares son definitivos — El reloj ya está corriendo

En agosto de 2024, NIST publicó FIPS 203, 204 y 205 — tres estándares de criptografía post-quantum finalizados que reemplazan a RSA, ECDSA y ECDH para la mayoría de los casos de uso criptográfico. Estos algoritmos han estado en evaluación pública desde 2016 y han sobrevivido ocho años de criptoanálisis sin que se haya encontrado una vulnerabilidad.

La parte difícil del despliegue aún no ha comenzado para la mayoría de las organizaciones. Y el cronograma de amenazas es más urgente de lo que la mayoría de los equipos de seguridad reconoce: los ataques harvest-now-decrypt-later (HNDL) no son un riesgo futuro — son un riesgo presente. Cualquier organización cuyas comunicaciones o datos almacenados tengan requisitos de confidencialidad a largo plazo ya se encuentra dentro de la ventana de riesgo.

En qué consisten realmente los tres estándares de NIST

ML-KEM (FIPS 203), basado en el algoritmo CRYSTALS-Kyber, es un mecanismo de encapsulación de claves — un reemplazo de ECDH en los handshakes de TLS. ML-KEM genera claves compartidas que son difíciles de romper incluso para computadoras quantum que ejecuten el algoritmo de Shor. Los tamaños de clave llegan a 800–1.568 bytes para claves públicas (frente a 32–65 bytes para ECC), y la encapsulación tarda aproximadamente 0,1 milisegundos en hardware moderno.

ML-DSA (FIPS 204), basado en CRYSTALS-Dilithium, es un algoritmo de firma digital que reemplaza a ECDSA. Los tamaños de firma son mayores — de 2.420 a 4.627 bytes — pero la velocidad de firma es comparable a RSA-2048. Para la firma de código, las autoridades de certificación y los tokens de autenticación, el incremento de tamaño es un coste real pero manejable.

SLH-DSA (FIPS 205), basado en SPHINCS+, es un esquema de firma basado en hash que depende únicamente de la seguridad de las funciones hash. Si la seguridad basada en retículos de ML-DSA se viera comprometida en el futuro, SLH-DSA seguiría siendo válido. Está posicionado como una alternativa de alta garantía antes que como un algoritmo primario.

La amenaza harvest-now-decrypt-later en términos concretos

Un adversario con almacenamiento suficiente registra sesiones TLS, correo electrónico cifrado o tráfico VPN hoy. No necesita descifrarlo ahora — espera. Cuando las computadoras quantum tolerantes a fallos estén disponibles, descifra el archivo de forma retroactiva.

El cronograma relevante: el consenso entre los investigadores de computación quantum sitúa el hardware quantum tolerante a fallos capaz de romper RSA-2048 a entre 5 y 15 años de distancia. La hoja de ruta quantum de IBM tiene como objetivo qubits lógicos con corrección de errores a escala para 2029. Para datos con un requisito de confidencialidad de más de 10 años — registros de salud, comunicaciones clasificadas, datos financieros a largo plazo — la ventana de amenaza ya está abierta.

Dónde los navegadores y proveedores cloud ya están desplegando PQC

Google ha desplegado X25519Kyber768 — un intercambio de claves híbrido que combina ECC y ML-KEM — en Chrome y su infraestructura backend desde 2023. A mediados de 2026, el intercambio de claves PQC híbrido está activo en aproximadamente el 40% de las conexiones HTTPS de Chrome. Cloudflare ha desplegado esquemas híbridos similares en su CDN edge. AWS ofrece soporte de ML-KEM en su implementación de TLS 1.3.

Estos despliegues utilizan intercambio de claves híbrido — combinando algoritmos clásicos y post-quantum — como estrategia de transición. Los esquemas híbridos son el patrón de despliegue recomendado hasta que los algoritmos post-quantum hayan acumulado más criptoanálisis en tiempo de despliegue.

Una lista de verificación de migración para organizaciones

  • TLS/HTTPS (urgente, 2 años): Habilitar el intercambio de claves ML-KEM híbrido en todos los endpoints TLS con exposición externa. Aquí es donde el riesgo HNDL es más alto.
  • PKI interna y autoridades de certificación (urgencia media, 3–4 años): Planificar la migración de las cadenas de certificados internas a ML-DSA. Comenzar con un inventario de todas las CAs internas y los plazos de vencimiento de sus certificados.
  • Datos en reposo con sensibilidad a largo plazo (urgente para datos de alta sensibilidad): Identificar los datos almacenados cifrados con RSA o ECC que deban permanecer confidenciales más allá de 2030. Volver a cifrar con AES-256 o esquemas híbridos.
  • Criptografía a nivel de aplicación (continuo, horizonte de 5 años): Claves SSH, certificados de firma de código, claves de firma JWT — catalogar todos los usos de RSA y ECDSA en el código de aplicación. Reemplazar con ML-DSA o híbridos de Ed25519 a medida que se roten las claves de forma natural.

Conclusiones accionables

  • Habilitar el intercambio de claves PQC híbrido (X25519Kyber768) en los endpoints TLS con exposición externa ahora mismo. Tiene bajo riesgo y es ampliamente compatible.
  • Realizar un inventario de activos criptográficos antes de fin de año. No se puede migrar lo que no se ha catalogado.
  • Identificar todos los datos almacenados con un período de sensibilidad que se extienda más allá de 2030 — registros de salud, documentos legales, datos de fusiones y adquisiciones.
  • El cifrado simétrico que ya se está usando — AES-128 y superior — es resistente al quantum. Concentrar el esfuerzo de migración en la criptografía asimétrica (RSA, ECDSA, ECDH, DH).
cybersecuritypost-quantum-cryptographyencryptionnist-standards
Compartir:
Estándares PQC de NIST finalizados: guía de migración post-quantum para organizaciones | AIO APEX