Silueta hombre. Autor
Juan José Torres García Cofundador y responsable del desarrollo GuardedBox

PQC: entre la moda, el miedo y la realidad

Quantum Computer

Los ordenadores cuánticos funcionan a unos pocos mili Kelvin, aproximadamente -273ºC. Esta temperatura es menor a la del espacio profundo. Dependiendo del tipo de ordenador cuántico, también requieren otras condiciones físicas extremas como blindaje electromagnético o ultra vacío. ¿Para qué? Para preservar la coherencia cuántica. Los efectos cuánticos como la fase cuántica, la interferencia, la superposición y el entrelazamiento son extremadamente frágiles. Cuanto más aislado esté el sistema y menor sea la temperatura, menor es la probabilidad de sufrir decoherencia cuántica, que perturba estos efectos.

La criptografía

¿Qué tiene que ver esto con la criptografía? Primero, es necesario entender una operación matemática simple. Es trivial averiguar que 15 es 3 por 5. ¿Y 589? 19 por 31. No es fácil para un humano, pero sí para un ordenador. ¿Y con un número de 600 cifras? Para un ordenador actual es imposible, pero para uno cuántico podría ser posible.

Este juego de, dado un número, averiguar qué dos números primos multiplicados dan ese número (factorizar el número) rompería el algoritmo RSA, ampliamente utilizado para hacer cifrado y firma asimétricos. El juego se puede resolver averiguando el periodo de la función f(x)=2^x mod n, donde n es el número. Y esto es posible mediante la operación Transformada Cuántica de Fourier (QFT), que utiliza los efectos cuánticos mencionados. Es decir, se puede ejecutar en un ordenador cuántico. Otros algoritmos asimétricos como Diffie-Hellman y Curva Elíptica también se pueden romper de esta forma.

Criptografía poscuántica

Una forma de protegernos es utilizar algoritmos PQC como ML-KEM para cifrado o ML-DSA para firma. Estos algoritmos no requieren ejecutarse a -273ºC ni utilizan de efectos cuánticos; se ejecutan en un ordenador normal.

Son resistentes a ataques cuánticos porque su seguridad no está basada en la dificultad de factorizar números enormes o de calcular el periodo de una función, sino en otras operaciones matemáticas, como los retículos.

Apocalipsis cuántico

La gran cuestión es cuánto queda para que exista un ordenador cuántico capaz de romper RSA, Diffie-Hellman y Curva Elíptica.

Tal ordenador necesitaría miles de qubits. Pero los qubits, debido a la decoherencia cuántica y otros efectos, tienen una tasa de error, y al poner a miles de ellos a hacer miles de operaciones, la probabilidad de que ocurra un error que arruine el proceso es una certeza total. Por tanto, es necesario introducir más qubits para hacer corrección de errores.

Hoy por hoy se necesitan cientos o miles de qubits físicos para conseguir uno lógico; es decir, uno con corrección de errores. Esto implica que se necesitarían cientos de miles o incluso millones de qubits para romper RSA, Diffie-Hellman y Curva Elíptica, o bien un nuevo diseño de ordenador cuántico con qubits que tengan una tasa de error mucho menor.

Los ordenadores cuánticos actuales solo tienen unos cientos o miles de qubits físicos. Son capaces de averiguar que 15 es 3 por 5…, si no falla el proceso. Estamos muy lejos del primer ordenador cuántico criptográficamente relevante. Algunos estiman que tardará diez años; otros dicen que treinta o más. También hay quien sostiene o insinúa que lo veremos en pocos años, aunque casualmente suele coincidir con quienes se benefician de acortar esos plazos.

Datos firmados criptográficamente en los que confiamos hoy podrían ser manipulados cuando exista un ordenador cuántico relevante

No hay que relajarse

Esto no significa que nos podamos relajar. Por un lado, está el argumento del «Harvest Now, Decrypt Later», según el cual algunos actores podrían estar almacenando datos cifrados para descifrarlos el día que exista un ordenador cuántico criptográficamente relevante. Esto, en mi opinión, tiene sentido en algunos escenarios en los que el atacante busca información concreta y tiene los medios para recolectarla cifrada.

En el caso general, quizá no es tan sencillo recolectar masivamente la información cifrada, elegir qué preservar a ciegas, almacenar cantidades imposibles de datos cifrados o encontrar algo útil entre la maraña cuando se descifren. Y, si todo eso sucede, quizá la información que es relevante hoy no lo será tanto entonces.

Lección ya vivida

Esto tampoco significa que nos podamos relajar. Como no soy adivino, sino criptógrafo, voy a dar un argumento mirando al pasado.

En 2005, la NSA empezó a recomendar utilizar Curva Elíptica en lugar de RSA para seguridad nacional. Alrededor del año 2010, la industria de la criptografía ya tenía claro que la Curva Elíptica es mejor que RSA porque permite conseguir el mismo grado de seguridad utilizando claves de menor tamaño y mejor rendimiento.

En 2018, el IETF deprecó RSA para intercambio de clave en TLSv1.3 en favor de Curva Elíptica porque, gracias al rendimiento, permite generar claves efímeras, que garantizan una propiedad criptográfica conocida como Perfect Forward Secrecy. Y, en 2026, la inmensa mayoría de servidores en Internet siguen ofreciendo TLSv1.2 y RSA, casi todos los certificados HTTPS están firmados con RSA y muchísimos productos de cifra utilizan RSA.

Las transiciones criptográficas no se miden en años, sino en décadas.

Más allá del miedo

Los algoritmos criptográficos poscuánticos no tienen mucho que ver con la cuántica. Simplemente son una nueva generación de algoritmos. Si no fuera por los ordenadores cuánticos, el PQC se llamaría criptografía, sin más.

La seguridad de ML-KEM está basada en retículos, una operación matemática diferente a la de RSA y Curva Elíptica. Esto ofrece un mayor abanico de protección si se hibrida correctamente con Curva Elíptica.

Además, ML-KEM ofrece algunas ventajas. Al ser un KEM nativo, garantiza propiedades criptográficas como IND-CCA2. Y, al contrario de la creencia popular, ML-KEM tiene mejor rendimiento que Curva Elíptica (aunque esto no se cumple con otros algoritmos poscuánticos).

Conclusión

Deberíamos comenzar la transición a algoritmos PQC ya, incluso si el primer ordenador cuántico criptográficamente relevante tardase décadas en llegar, e incluso si ignoramos el argumento «Harvest Now, Decrypt Later«.

Os dejo un último argumento: «Trust Now, Forge Later«. Es el equivalente para firmas, según el cual datos firmados criptográficamente en los que confiamos hoy podrían ser manipulados el día que exista un ordenador cuántico criptográficamente relevante.