boton
Contactar

• Ciberglosario

¿Qué es la Criptografía Post-Cuántica (PQC)?

La Criptografía Post-Cuántica (PQC) es el conjunto de algoritmos criptográficos diseñados para resistir ataques tanto de ordenadores clásicos como cuánticos. Los sistemas de clave pública clásicos RSA, Diffie-Hellman y ECC se apoyan en problemas matemáticos que un ordenador cuántico puede resolver eficientemente mediante el algoritmo de Shor. Los algoritmos PQC sustituyen esos fundamentos por problemas que siguen siendo difíciles para las máquinas cuánticas: problemas de retícula, funciones hash y códigos correctores de errores. NIST publicó los tres primeros estándares PQC definitivos en agosto de 2024 (FIPS 203, 204, 205) y la migración ya es un requisito regulatorio. Para redes empresariales protegidas mediante túneles IPsec y SD-WAN, la transición a la criptografía segura ante amenazas cuánticas ha dejado de ser opcional.

Definición de Criptografía Post-Cuántica

La Criptografía Post-Cuántica (PQC) es una familia de algoritmos criptográficos diseñados para resistir ataques de ordenadores cuánticos mientras se ejecutan sobre hardware clásico. El término diferencia estos algoritmos de la criptografía cuántica que requiere hardware cuántico como los dispositivos QKD porque los algoritmos PQC pueden desplegarse sobre la infraestructura de red existente sin modificaciones físicas.

La criptografía de clave pública moderna se sustenta en la dificultad computacional de dos problemas: la factorización de enteros (RSA) y los logaritmos discretos (Diffie-Hellman, ECC). Ambos son resolubles eficientemente por el algoritmo de Shor en un ordenador cuántico con suficientes qubits estables. La PQC sustituye esas bases por problemas en dominios matemáticos distintos geometría de retículas, funciones hash y códigos lineales correctores de errores para los que no se conoce ningún algoritmo cuántico eficiente.

NIST inició un proceso formal de estandarización en 2016 y publicó los primeros estándares definitivos en agosto de 2024: FIPS 203 (ML-KEM, para encapsulación de claves), FIPS 204 (ML-DSA, para firmas digitales) y FIPS 205 (SLH-DSA, para firmas basadas en hash). El gobierno de EE.UU. ha exigido a las agencias federales que inicien la migración, con RSA y ECDSA programados para su obsolescencia en 2030 y su prohibición total en 2035.

Estándares NIST: ML-KEM, ML-DSA, SLH-DSA

Los estándares NIST de 2024 definen los primeros algoritmos seguros ante amenazas cuánticas para despliegue en producción. Cada uno aborda una función criptográfica distinta y, en conjunto, cubren las dos categorías de las que más dependen las redes empresariales: el intercambio de claves y las firmas digitales.

1
ML-KEM (FIPS 203)
Anteriormente CRYSTALS-Kyber. El estándar NIST principal para la encapsulación de claves, diseñado para reemplazar ECDH en los handshakes TLS, IKEv2 e IPsec. Basado en el problema de retícula Module Learning With Errors (MLWE). ML-KEM-768 ofrece un nivel de seguridad de 128 bits y es el algoritmo integrado en el SD-WAN cuántico de Teldat para el intercambio de claves post-cuántico.
2
ML-DSA (FIPS 204)
Anteriormente CRYSTALS-Dilithium. El estándar NIST para firmas digitales de uso general, sustituyendo a RSA y ECDSA en la firma de certificados, firma de código y autenticación de dispositivos. También basado en la dureza de retículas. Produce firmas más grandes que ECDSA, pero sigue siendo práctico para infraestructuras de red.
3
SLH-DSA (FIPS 205)
Anteriormente SPHINCS+. Un esquema de firma basado en hash sin estado, construido íntegramente sobre la seguridad de las funciones hash; el enfoque PQC más conservador. Adecuado para credenciales de larga duración como certificados raíz y claves de firma de firmware, donde la longevidad del algoritmo prima sobre el tamaño de la firma.
4
FALCON
Un esquema de firma basado en retículas que ofrece firmas compactas y verificación rápida, especialmente indicado para entornos con recursos limitados. En evaluación por NIST como cuarto estándar. Recomendado cuando las restricciones de ancho de banda y procesamiento hacen que las firmas ML-DSA sean demasiado grandes.
5
Intercambio de claves híbrido
El enfoque recomendado a corto plazo: combinar un algoritmo clásico (ECDH P-256 o X25519) con ML-KEM en el mismo handshake IKEv2 o TLS. Si alguno de los dos componentes se ve comprometido, el otro sigue protegiendo la sesión. Descrito en RFC 9370 para IKEv2. El SD-WAN de Teldat admite despliegue híbrido durante el periodo de transición.
6
PS-PPK (Pre-Shared Post-Quantum Keys)
Una extensión IPsec de corto plazo estandarizada en RFC 8784. Añade un secreto simétrico precompartido a los intercambios IKEv2 existentes sin reemplazar el algoritmo de acuerdo de claves subyacente. Neutraliza inmediatamente los ataques de cosecha ahora, descifra después en los túneles SD-WAN con el hardware ya desplegado en campo.

PQC frente a Criptografía Clásica

La criptografía clásica y la post-cuántica no compiten por la misma función: la PQC reemplaza los componentes vulnerables a amenazas cuánticas mientras que el cifrado simétrico (AES-256) permanece seguro sin cambios. La siguiente tabla recoge los atributos más relevantes para la planificación de la migración en redes empresariales.

Dimensión Criptografía clásica Criptografía Post-Cuántica
Base matemática Factorización de enteros (RSA) / logaritmo discreto (ECC, DH) Problemas de retícula (MLWE), funciones hash, códigos lineales sin algoritmo cuántico eficiente conocido
Vulnerabilidad cuántica Rota por el algoritmo de Shor en un ordenador cuántico criptográficamente relevante Diseñada para resistir ataques tanto clásicos como cuánticos
Tamaño de clave / texto cifrado Compacto: clave ECC de 256 bits, clave RSA de 2048 bits Mayor: clave pública ML-KEM-768 ≈ 1,2 KB; firma ML-DSA ≈ 2,4 KB
Rendimiento Altamente optimizado tras décadas de despliegue Comparable en CPUs modernas; se recomienda aceleración hardware a escala
Estandarización Madura: PKCS, RFC, décadas de uso en producción NIST FIPS 203/204/205 publicados definitivamente en agosto de 2024; ecosistema en maduración
Esfuerzo de migración No se requiere migración para simétrico (AES-256 sigue seguro) El intercambio de claves y los algoritmos de firma deben reemplazarse o aumentarse mediante modo híbrido
Soporte TLS / IPsec Completamente integrado en todas las implementaciones actuales Soporte híbrido en OpenSSL 3.x, BoringSSL, wolfSSL, IKEv2 mediante RFC 9370
Estado regulatorio RSA/ECDSA obsoletos por mandato federal de EE.UU. a partir de 2030 ML-KEM, ML-DSA, SLH-DSA: recomendados para despliegue inmediato

¿Por qué la urgencia? La amenaza de cosecha ahora, descifra después significa que el reloj de la migración comenzó antes de que los ordenadores cuánticos existan a escala. Los datos capturados hoy con un horizonte de confidencialidad largo tráfico de túneles VPN, registros sanitarios, contratos financieros podrán ser descifrados más adelante. Las organizaciones que inicien la migración ahora tienen tiempo de incorporar la PQC de forma gradual sin interrumpir las redes en producción.

La amenaza de cosecha ahora, se descifra después

La amenaza cuántica no es puramente futura: una de sus dimensiones más peligrosas ya está activa. Entender el panorama de ataques ayuda a los equipos de seguridad a priorizar qué sistemas proteger primero.

1
Cosecha ahora, descifra después (HNDL)
Actores adversarios incluidos agentes estatales están capturando y almacenando tráfico de red cifrado hoy. Cuando un ordenador cuántico criptográficamente relevante (CRQC) esté disponible, descifrarán los datos almacenados. Los túneles IPsec, las sesiones TLS y el tráfico VPN que transportan datos sensibles con requisitos de confidencialidad prolongados son los objetivos principales. El ataque ocurre ahora; el descifrado ocurrirá después.
2
El teorema de Mosca
Un marco formal para evaluar la urgencia de la migración: si el tiempo necesario para migrar los sistemas (X) más el horizonte de confidencialidad requerido para los datos (Y) supera el tiempo hasta que exista un CRQC (Z), la migración ya se ha retrasado. Para muchas organizaciones que gestionan datos sensibles de larga duración sobre redes SD-WAN, X + Y > Z hoy.
3
Exposición de túneles IPsec y SD-WAN
El SD-WAN empresarial depende de túneles IKEv2/IPsec con intercambio de claves ECDH o RSA. Un CRQC ejecutando el algoritmo de Shor podría recuperar las claves de sesión del tráfico de handshake almacenado, descifrando retrospectivamente todos los paquetes del túnel. Cada sede conectada mediante SD-WAN quedaría expuesta simultáneamente si el intercambio de claves se ve comprometido.
4
PKI y vigencia de certificados
Los certificados raíz y las autoridades de certificación intermedias firmados con RSA o ECDSA hoy pueden tener una validez de 10 a 20 años. Un CRQC podría falsificar firmas sobre esos certificados antes de que expiren, permitiendo ataques de suplantación de identidad en toda la cadena PKI. Los esquemas de firma PQC deben incorporarse a las jerarquías de certificados ahora.
5
Aceleración de los plazos
Los plazos de los expertos para la aparición de CRQCs se han acortado significativamente. La investigación de Google en 2024 revisó a la baja el número de qubits físicos necesarios para romper la criptografía de curva elíptica de 256 bits. NIST, NSA (CNSA 2.0) y ENISA recomiendan iniciar la migración de inmediato, no cuando lleguen los ordenadores cuánticos.
6
El cifrado simétrico: una historia diferente
AES-256 no es roto por ordenadores cuánticos. El algoritmo de Grover reduce su seguridad efectiva de 256 bits a 128 bits, lo que sigue considerándose seguro. La mayor carga de migración recae sobre los algoritmos de clave pública: el intercambio de claves (sustituir por ML-KEM) y las firmas digitales (sustituir por ML-DSA o SLH-DSA).

El umbral de acción: El NCCoE de NIST recomienda que las organizaciones inicien la migración si sus datos tienen un requisito de confidencialidad superior a cinco años. Para los operadores de SD-WAN, esto significa desplegar PS-PPK ahora como mitigación inmediata contra HNDL, seguido de la integración de ML-KEM como parte de una hoja de ruta estructurada de transición cuántica.

Desafíos de la migración en la criptografía

La transición de la criptografía empresarial a PQC es un proceso que abarca varios años. Cada desafío tiene una mitigación definida; ninguno justifica el retraso, pero todos requieren planificación.

1
Agilidad criptográfica
Los sistemas con opciones de algoritmo codificadas de forma estática no pueden migrar a PQC sin cambios arquitectónicos. La agilidad criptográfica la capacidad de reemplazar primitivas criptográficas sin rediseñar el sistema es el prerrequisito de cualquier migración. Las redes gestionadas a través de plataformas centralizadas como el CNM de Teldat tienen aquí una ventaja estructural.
2
Mayor tamaño de claves y textos cifrados
Las claves públicas ML-KEM-768 son aproximadamente cinco veces más grandes que una clave ECC P-256. Las firmas ML-DSA son unas diez veces más grandes que las ECDSA. Esto afecta al tamaño del handshake TLS, los almacenes de certificados y el ancho de banda en enlaces WAN con restricciones. Los despliegues híbridos añaden la sobrecarga de ambos algoritmos simultáneamente.
3
Interoperabilidad durante la transición
No todos los extremos migrarán simultáneamente. El intercambio de claves híbrido permite que los algoritmos seguros ante amenazas cuánticas y los clásicos coexistan en el mismo handshake, manteniendo la conectividad con los extremos que aún no han migrado mientras se añade resistencia cuántica donde importa. Este es el enfoque recomendado por IETF en RFC 9370.
4
Complejidad de la migración PKI
Las CA raíz, las CA intermedias, los certificados de dispositivo y los certificados de firma de código tienen vigencias y procedimientos de renovación distintos. Una migración PKI por fases empezando por las nuevas credenciales de larga duración emitidas con ML-DSA es más práctica que la sustitución simultánea de todos los certificados existentes.
5
Rendimiento en hardware con recursos limitados
Los dispositivos IoT y los controladores industriales pueden carecer de los recursos de cómputo necesarios para las operaciones de retícula. Las actualizaciones de firmware, los coprocesadores de hardware para la descarga criptográfica, o la protección en la capa de red mediante una pasarela SD-WAN cuántico segura son enfoques viables para los extremos que no pueden actualizarse directamente.
6
Preparación para la auditoría y el cumplimiento normativo
El NCCoE de NIST, el CNSA 2.0 de NSA y el marco NIS2 de la UE están publicando directrices de migración PQC con plazos concretos. Las organizaciones sujetas a estos marcos necesitan hojas de ruta de migración documentadas, inventarios criptográficos y trazas de auditoría para las transiciones de algoritmos, no solo despliegues técnicos.

Marco de implantación

Un enfoque por fases permite a las organizaciones abordar los riesgos más urgentes de inmediato mientras avanzan hacia la migración PQC completa a lo largo del tiempo. Los pasos siguientes siguen las directrices actuales del NCCoE de NIST y el CNSA 2.0 de NSA, adaptadas para operadores de redes empresariales.

1
Inventario criptográfico
Catalogar cada primitiva criptográfica en uso: versiones de biblioteca TLS, configuraciones IKEv2/IPsec, autoridades de certificación, tipos de clave SSH y cifrado en capa de aplicación. Este inventario guía la priorización. El Proyecto de Migración a la Criptografía Post-Cuántica de NIST ofrece marcos de inventario de referencia.
2
Clasificación del riesgo por sensibilidad de los datos
Clasificar los flujos de datos según el horizonte de confidencialidad. El tráfico que debe permanecer secreto durante más de cinco años ya está en riesgo por ataques de cosecha ahora, descifra después. Priorizar el intercambio de claves seguro ante amenazas cuánticas para esos flujos primero: túneles VPN que transporten propiedad intelectual, datos sanitarios o registros financieros.
3
Desplegar PS-PPK como mitigación inmediata
Las Pre-Shared Post-Quantum Keys (RFC 8784) añaden un secreto simétrico a los intercambios IKEv2 existentes sin reemplazar la pila criptográfica completa. Esto neutraliza inmediatamente los ataques de cosecha ahora, descifra después. El SD-WAN de Teldat admite el despliegue de PS-PPK hoy, gestionado de forma centralizada a través de CNM.
4
Migrar el intercambio de claves a ML-KEM
Implementar ML-KEM (FIPS 203) para el intercambio de claves IKEv2 en los túneles SD-WAN, empezando por los enlaces más sensibles. Usar el modo híbrido (ML-KEM + ECDH) para mantener la interoperabilidad con los extremos que aún no han migrado. El SD-WAN cuántico de Teldat integra ML-KEM de forma nativa.
5
Actualizar la PKI con firmas PQC
Comenzar a emitir nuevos certificados con firmas ML-DSA (FIPS 204) o SLH-DSA (FIPS 205) para las credenciales de larga duración. Utilizar certificados híbridos durante la transición para mantener la compatibilidad con los verificadores clásicos. Priorizar la renovación de la CA raíz, ya que esos certificados tienen la mayor vigencia.
6
Evaluar QKD para enlaces de alta seguridad
La Distribución Cuántica de Claves (QKD) genera claves criptográficas mediante propiedades de la mecánica cuántica, haciendo la interceptación físicamente detectable. Evaluar QKD para los enlaces de mayor sensibilidad a medida que la tecnología madure. La hoja de ruta de SD-WAN cuántico de Teldat incluye compatibilidad con QKD a través de interfaces estandarizadas con proveedores de infraestructura QKD.

Soluciones SD-WAN cuántico de Teldat

Teldat ha integrado la protección post-cuántica directamente en su infraestructura SD-WAN, permitiendo a las organizaciones afrontar las amenazas cuánticas en la capa de red sin esperar a una renovación criptográfica completa de cada aplicación y extremo. La hoja de ruta del SD-WAN cuántico se articula en cuatro pilares tecnológicos, cada uno dirigido a una fase distinta del horizonte de amenaza cuántica:

1
PS-PPK (Pre-Shared Post-Quantum Keys)
El primer pilar de la hoja de ruta SD-WAN cuántico de Teldat. PS-PPK introduce una capa criptográfica adicional en el establecimiento del túnel IPsec combinando el material de clave tradicional con claves post-cuánticas precompartidas. Esto protege frente a ataques de cosecha ahora, descifra después de forma inmediata, sin requerir cambios en la arquitectura de red. Basado en RFC 8784 y recomendado por NIST, NSA y ENISA como salvaguarda eficaz a corto plazo.
2
Integración ML-KEM
El segundo pilar: integrar ML-KEM (FIPS 203) de NIST en el proceso de intercambio de claves IKEv2 para reemplazar el acuerdo de claves ECDH vulnerable ante amenazas cuánticas. Teldat integra ML-KEM en su plataforma SD-WAN junto con los algoritmos clásicos en un modelo de despliegue híbrido, siguiendo RFC 9370. Gestionado de forma centralizada a través del CNM de Teldat sin configuración manual por dispositivo.
3
Compatibilidad con QKD
El tercer pilar: soporte para la Distribución Cuántica de Claves. QKD usa las propiedades físicas de la mecánica cuántica para generar claves criptográficas que son demostrablemente seguras frente a cualquier ataque computacional. Los dispositivos SD-WAN de Teldat están diseñados para consumir claves generadas por QKD a través de interfaces estandarizadas, integrándolas en los motores IPsec y de overlay SD-WAN para una generación de claves segura ante amenazas cuánticas.
4
Gestión centralizada CNM
Todas las capacidades del SD-WAN cuántico se gestionan a través de Teldat Cloud Net Manager (CNM), que proporciona configuración centralizada, gestión de políticas de rotación de claves y supervisión del estado criptográfico post-cuántico en todo el tejido SD-WAN. CNM permite a las organizaciones gestionar la transición cuántica de PS-PPK a ML-KEM y a QKD desde una única consola de gestión.
5
El servicio de seguridad de entrega en la nube de Teldat extiende la protección segura ante amenazas cuánticas más allá del perímetro WAN, combinando Secure Web Gateway, CASB y ZTNA con seguridad de transporte preparada para post-cuántico. A medida que las bibliotecas TLS adopten los estándares PQC, be.Safe Pro SSE incorporará cifrado seguro ante amenazas cuánticas para todos los servicios de seguridad de entrega en la nube, cerrando la brecha entre la postura de seguridad WAN y nube.
6
Los routers de borde de Teldat incluyen capacidades de Next Generation Firewall integradas que complementan el overlay SD-WAN cuántico. El NGFW proporciona prevención de intrusiones, control de aplicaciones e inteligencia de amenazas en cada nodo de red, añadiendo defensa en profundidad que permanece efectiva independientemente de la fase de transición criptográfica subyacente.

La ventaja cuántica de Teldat: Como fabricante de hardware de red y proveedor de ciberseguridad, Teldat ofrece capacidades SD-WAN cuántico seguro desde un ecosistema unificado. PS-PPK para protección inmediata, ML-KEM para resistencia cuántica basada en estándares, QKD para generación de claves a prueba de futuro, NGFW integrado para defensa en profundidad y CNM para gestión centralizada, todo integrado en una única plataforma. Las organizaciones pueden iniciar su transición cuántica hoy sin sustituir su infraestructura de red ni gestionar soluciones de múltiples proveedores.

Preguntas frecuentes sobre Criptografía Post-Cuántica – (FAQ’s)

❯ ¿Qué es la Criptografía Post-Cuántica en términos sencillos?

La Criptografía Post-Cuántica (PQC) es un conjunto de algoritmos criptográficos diseñados para ser seguros frente a ataques tanto de ordenadores clásicos como cuánticos. A diferencia de los sistemas de clave pública actuales que se basan en la factorización de grandes números o en problemas de logaritmo discreto, ambos resolubles por un ordenador cuántico mediante el algoritmo de Shor los algoritmos PQC se fundamentan en problemas matemáticos para los que no se conoce ningún algoritmo cuántico eficiente, como la búsqueda de vectores cortos en retículas de alta dimensión.

❯ ¿Por qué el cifrado actual es vulnerable a los ordenadores cuánticos?

La criptografía de clave pública clásica RSA, Diffie-Hellman y ECC se apoya en la dificultad computacional de la factorización de enteros y los problemas de logaritmo discreto. El algoritmo de Shor, ejecutado en un ordenador cuántico suficientemente potente, resuelve ambos problemas en tiempo polinómico, rompiendo efectivamente los mecanismos de intercambio de claves y firma que protegen prácticamente todas las comunicaciones cifradas actuales. Los cifrados simétricos como AES-256 se ven mucho menos afectados y permanecen seguros sin cambio de algoritmo.

❯ ¿Qué es ML-KEM y por qué es importante?

ML-KEM (Module Lattice Key Encapsulation Mechanism), estandarizado como NIST FIPS 203, es el algoritmo post-cuántico principal para el intercambio de claves. Reemplaza ECDH en los handshakes TLS e IKEv2/IPsec, proporcionando un acuerdo de claves resistente a amenazas cuánticas basado en la dureza del problema de retícula Module Learning With Errors (MLWE). Es el algoritmo en el núcleo del intercambio de claves post-cuántico del SD-WAN cuántico de Teldat.

❯ ¿Qué es la amenaza de cosecha ahora, descifra después?

Cosecha ahora, descifra después (HNDL) es una estrategia de ataque activa en la que los adversarios capturan y almacenan tráfico de red cifrado hoy y lo descifran una vez que un ordenador cuántico suficientemente potente para romper el intercambio de claves esté disponible. Es especialmente peligrosa para datos con requisitos de confidencialidad prolongados: tráfico de túneles SD-WAN, comunicaciones clasificadas, registros sanitarios, contratos financieros. El ataque ocurre ahora; el descifrado ocurre en el futuro.

❯ ¿Cómo protege Teldat frente a las amenazas cuánticas?

El SD-WAN cuántico de Teldat proporciona una hoja de ruta de transición cuántica por capas: PS-PPK (Pre-Shared Post-Quantum Keys, RFC 8784) para mitigación inmediata de HNDL en los túneles existentes; integración de ML-KEM (FIPS 203) para intercambio de claves post-cuántico estandarizado por NIST en IKEv2/IPsec; y compatibilidad con QKD para generación de claves segura ante amenazas cuánticas en el futuro. Todas las capacidades se gestionan de forma centralizada a través del CNM de Teldat, con be.Safe Pro SSE extendiendo la protección a los servicios de seguridad de entrega en la nube.

❯ ¿Cuándo deben iniciar las organizaciones la migración a PQC?

Ahora. NIST, NSA (CNSA 2.0) y ENISA recomiendan iniciar la migración de inmediato, dado el riesgo activo de cosecha ahora, descifra después y los largos plazos que implica la migración criptográfica empresarial. El primer paso recomendado es un inventario criptográfico para identificar los algoritmos vulnerables ante amenazas cuánticas en uso, seguido del despliegue de PS-PPK como mitigación inmediata a corto plazo, y después la integración por fases de ML-KEM para el intercambio de claves y ML-DSA para las firmas digitales.

Prepara tu red para la Era Cuántica con Teldat

Desde PS-PPK para protección inmediata frente a ataques de cosecha ahora, descifra después, hasta ML-KEM para el intercambio de claves post-cuántico estandarizado por NIST, el SD-WAN cuántico de Teldat ofrece seguridad de red ante amenazas cuánticas desde una única plataforma integrada.