La criptografía post-cuántica está llegando. Esto es lo que su organización debe hacer antes de 2030

En agosto de 2024, NIST publicó sus primeros estándares criptográficos post-cuánticos finalizados: ML-KEM (FIPS 203), ML-DSA (FIPS 204), SLH-DSA (FIPS 205) y FN-DSA (FIPS 206). El anuncio fue ampliamente cubierto. La respuesta de la mayoría de las organizaciones fue añadirlo a una hoja de ruta de seguridad futura y pasar a prioridades más inmediatas.

Esa es la decisión equivocada, y la razón se reduce a una amenaza que no espera a que la migración esté completa. Entender el riesgo real — y los pasos específicos necesarios para abordarlo — es lo que separa a las organizaciones que manejarán bien esta transición de las que estarán improvisando en 2029.

El modelo de amenaza: cosechar ahora, descifrar después

El argumento estándar para la urgencia en torno a la criptografía resistente a cuánticos es: las computadoras cuánticas criptográficamente relevantes aún no existen, entonces, ¿por qué apresurarse? La respuesta es el ataque de "cosechar ahora, descifrar después" (HNDL), y hace que la línea de tiempo del desarrollo de computadoras cuánticas sea en gran medida irrelevante para las decisiones de migración de hoy.

Adversarios estatales y organizaciones criminales sofisticadas están grabando tráfico cifrado hoy — sesiones TLS, túneles VPN, transferencias de archivos cifrados — y almacenándolo para descifrarlo una vez que exista una computadora cuántica capaz de ejecutar el algoritmo de Shor a escala. Los datos que se cifran hoy con RSA-2048 o ECDSA P-256 incluyen información sensible de larga vida: registros médicos, transacciones financieras, propiedad intelectual, comunicaciones clasificadas. Si esos datos necesitan permanecer confidenciales durante 10 a 20 años, la pregunta relevante no es "¿cuándo romperán las computadoras cuánticas RSA?" sino "¿es posible una computadora cuántica capaz dentro de la ventana de confidencialidad de los datos que estoy cifrando hoy?"

La mayoría de las estimaciones creíbles sitúan la computación cuántica criptográficamente relevante (CRQC) a entre 8 y 15 años de distancia. Las estimaciones creíbles más pesimistas la sitúan a entre 5 y 7 años. La cosecha está ocurriendo ahora. El reloj corre desde el momento en que se capturan los datos, no desde el momento en que se enciende una computadora cuántica.

Los cuatro estándares NIST y para qué sirven

ML-KEM (FIPS 203) — basado en el algoritmo CRYSTALS-Kyber — es un Mecanismo de Encapsulación de Claves diseñado para reemplazar RSA y ECDH en el intercambio de claves. Este es el estándar más importante de inmediato para la mayoría de las organizaciones: el intercambio de claves TLS 1.3, la configuración de sesiones VPN y los protocolos de mensajería segura dependen de mecanismos de intercambio de claves que ML-KEM reemplaza.

ML-DSA (FIPS 204) — basado en CRYSTALS-Dilithium — es un algoritmo de firma digital que reemplaza a RSA y ECDSA para firmar. Es relevante dondequiera que la autenticación dependa de firmas: firma de código, emisión de certificados, firma de documentos, autenticación SSH.

SLH-DSA (FIPS 205) — basado en SPHINCS+ — es un esquema de firma basado en hash sin estado. Es más lento y produce firmas más grandes que ML-DSA, pero tiene una prueba de seguridad basada únicamente en la seguridad de la función hash, lo que lo convierte en un valioso algoritmo de respaldo si se encuentra una vulnerabilidad en los esquemas basados en retículos. Recomendado para casos que requieren verificación de firmas a largo plazo (años a décadas).

FN-DSA (FIPS 206) — basado en FALCON — es un esquema de firma con tamaños de firma más pequeños que ML-DSA, útil en entornos con restricciones de ancho de banda. Requiere una implementación cuidadosa para evitar ataques de canal lateral, lo que lo convierte en una prioridad menor para la mayoría de las organizaciones en comparación con ML-DSA.

El orden de prioridad de migración para la mayoría de las organizaciones: ML-KEM primero (proteger el intercambio de claves en tránsito), luego ML-DSA (proteger la autenticación), luego considerar SLH-DSA para firmas de larga duración. FN-DSA es para entornos especializados.

Lo que CISA y NIST han requerido realmente

La Publicación Especial NIST 1800-38C (diciembre de 2024) proporciona orientación de migración para TLS 1.3 y recomienda configuraciones híbridas específicas de intercambio de claves: X25519MLKEM768 (ML-KEM-768 combinado con X25519) para implementación inmediata. Los modos híbridos ejecutan el intercambio de claves clásico y post-cuántico simultáneamente — si uno es seguro, la sesión es segura — lo que permite a las organizaciones implementar PQC sin apostarlo todo a los nuevos algoritmos antes de que hayan tenido más tiempo en el campo.

La guía de CISA de 2025 para agencias civiles federales estableció dos hitos: completar el inventario criptográfico para fines de 2026 y completar la migración de los sistemas prioritarios para fines de 2030. "Sistemas prioritarios" significa sistemas que manejan información clasificada, control de infraestructura crítica y sistemas que procesan información de identificación personal a escala.

Para el sector privado, estos no son mandatos legales. Pero las industrias reguladas ya están viendo migrar los requisitos: los reguladores de servicios financieros de la UE han incorporado la preparación para PQC en sus estándares técnicos DORA 2026. La guía HIPAA actualizada en 2025 hace referencia a los estándares PQC de NIST para sistemas de salud que manejan registros de retención prolongada. Los requisitos de adquisición te llevan la delantera: si provees a agencias federales, los sistemas con capacidad PQC serán un requisito contractual antes de 2028.

Por dónde empezar: el inventario criptográfico

El primer paso, y el más subestimado, es saber qué criptografía estás ejecutando actualmente. La mayoría de las organizaciones no tienen una imagen completa de dónde se usan RSA y ECDSA en todos sus sistemas. El inventario es más difícil de lo que parece porque los primitivos criptográficos están incrustados en bibliotecas de aplicaciones, infraestructura de red, sistemas PKI, módulos de seguridad de hardware y software de terceros.

El proceso de inventario debe producir una lista de: todos los certificados y sus algoritmos, todos los mecanismos de intercambio de claves en uso (por protocolo y sistema), toda la infraestructura de firma de código y documentos, todos los HSM y su soporte de algoritmos, y todos los proveedores de terceros cuyas capacidades criptográficas afecten tu postura de seguridad.

Herramientas que ayudan: el Centro Nacional de Ciberseguridad de NIST ha publicado un proyecto de migración PQC con herramientas de código abierto. Proveedores como Keyfactor, AppViewX y Venafi han lanzado herramientas de inventario de certificados con mapeo de migración PQC. Herramientas de escaneo de redes como Qualys y Tenable han añadido capacidades de detección de PQC. El punto no es tener un inventario perfecto de inmediato — es tener un punto de partida defendible.

Qué es desplegable hoy

Varios sistemas importantes ya soportan el intercambio de claves post-cuántico en modo híbrido:

OpenSSH 9.0 (lanzado en abril de 2022) usa sntrup761x25519 para el intercambio de claves por defecto. Si bien esto es anterior a los estándares finales de NIST y usa un algoritmo diferente, demuestra el patrón: el intercambio de claves híbrido funciona en producción y ha funcionado durante años.

TLS 1.3 con X25519MLKEM768 es compatible con Chrome 131 (lanzado en noviembre de 2024), Firefox 132 y OpenSSL 3.5. Cloudflare habilitó el intercambio de claves híbrido PQC para todo el tráfico en septiembre de 2024. Apple habilitó el intercambio de claves híbrido ML-KEM en iMessage en febrero de 2025 como parte del Protocolo PQ3, reemplazando el esquema PQXDH lanzado en 2024.

El punto de partida práctico para la mayoría de las organizaciones en 2026: habilitar X25519MLKEM768 en tu capa de terminación TLS (balanceadores de carga, puertas de enlace API, configuraciones CDN) y actualizar tu hoja de ruta de PKI interna para incluir capacidad de emisión de certificados ML-DSA para 2028. Ninguno de estos requiere heroísmos organizativos: son cambios de configuración y trabajo de planificación de PKI que pueden comenzar de inmediato.

Las organizaciones que tendrán dificultades en 2029 son aquellas que tratan esto como un problema futuro. Las que lo manejan bien están haciendo inventario ahora, desplegando intercambio de claves híbrido en el borde y construyendo requisitos de proveedores que incluyan PQC en los ciclos de adquisición a partir de hoy.