Post-quantum: lo que es, lo que no es, y cuánto tiempo te queda en realidad

Cada vez que aparece una noticia sobre computación cuántica, alguien en una institución financiera pregunta: “¿Cuándo tenemos que migrar?” La respuesta corta es ya empezaron, aunque el riesgo sea para 2030-2035. Este artículo explica por qué, separando lo que la computación cuántica realmente amenaza de lo que se exagera, y proponiendo un plan de migración pragmático.

Las cifras de qubits y los roadmaps en este artículo reflejan el estado público al cierre de 2025. Es un campo donde las cifras envejecen rápido; los enlaces a fuentes oficiales están al final.

Lo que una computadora cuántica realmente hace

Una computadora cuántica no es una computadora clásica más rápida. Es una máquina que aprovecha dos propiedades específicas de la mecánica cuántica:

1. Superposición — un qubit puede estar en múltiples estados simultáneos hasta que se mide.
2. Entrelazamiento — los qubits pueden estar correlacionados de tal forma que medir uno afecta instantáneamente al otro.

Estas propiedades permiten ejecutar algoritmos que exploran muchas posibilidades en paralelo. Para la mayoría de tareas computacionales esto no aporta nada útil — una hoja de cálculo no se beneficia de la computación cuántica. Pero para algunos problemas matemáticos muy específicos, sí.

Los dos algoritmos cuánticos que importan para criptografía:

Algoritmo de Shor (1994)

Resuelve eficientemente el problema de factorización de enteros y el problema del logaritmo discreto. Ambos son la base de toda la criptografía asimétrica clásica.

Consecuencia: una computadora cuántica suficientemente grande rompe estos algoritmos:

• RSA (cualquier tamaño de llave)
• DSA
• ECDSA (todas las curvas elípticas)
• ECDH y DH (Diffie-Hellman clásico y elíptico)

Algoritmo de Grover (1996)

Acelera búsquedas no estructuradas. Su efecto sobre criptografía simétrica y hashes es modesto: reduce a la mitad la fortaleza efectiva en bits.

Consecuencia:

• AES-128 queda con ~64 bits de fortaleza post-cuántica → débil.
• AES-256 queda con ~128 bits de fortaleza → todavía sólido para la próxima década.
• SHA-256 mantiene ~128 bits de resistencia a colisiones → sólido.
• SHA-512 queda con ~256 bits → muy sólido.

Lo que NO es

Conviene separar la realidad del marketing:

• NO rompe la criptografía simétrica de forma catastrófica. AES-256 sigue siendo seguro post-cuántico.
• NO rompe los hashes modernos. SHA-256 y superiores siguen funcionando.
• NO lee tus datos cifrados de manera mágica. Solo rompe asimétricos específicos.
• NO está a la vuelta de la esquina. Los anuncios de “supremacía cuántica” miden cosas distintas a romper criptografía real.
• NO afecta tu PIN ni tu MAC ni tu validación EMV directamente — esos usan criptografía simétrica. Lo que sí afecta es el intercambio de llaves y los certificados que sostienen esas operaciones.

Dónde está la tecnología hoy (real, no marketing)

Las computadoras cuánticas existentes a cierre de 2025 son muy grandes en titulares y muy pequeñas en capacidad real. Los hitos públicos relevantes:

• IBM publicó en diciembre de 2023 su roadmap hasta 2033 (IBM Quantum Roadmap), pasando por los procesadores Condor (1,121 qubits, anunciado ese mismo evento), Heron (133 qubits con tasas de error mucho mejores), Flamingo, Crossbill, Kookaburra y Loon. La estrategia explícita es priorizar calidad sobre cantidad después de la barrera del millar de qubits físicos.

• Google Research anunció en diciembre de 2024 el chip Willow (105 qubits), reportando por primera vez corrección de errores “below threshold” — el umbral donde añadir más qubits físicos reduce exponencialmente los errores en lugar de aumentarlos (Google Blog · Meet Willow). Es probablemente el avance más importante de los últimos años, no por número de qubits, sino por demostrar que la corrección escala.

• Atom Computing anunció en octubre de 2023 un arreglo neutral-atom de 1,225 sitios, con 1,180 qubits efectivamente poblados — el primer sistema en cruzar la barrera del millar (Atom Computing announcement). Arquitectura distinta a los superconductores de IBM y Google.

• Quantinuum opera la familia H-Series basada en iones atrapados; su modelo H2 alcanza qubits físicos all-to-all con tasas de error muy bajas, aunque a una escala mucho menor. Es el ejemplo más maduro de calidad sobre cantidad.

Punto clave: todos los números anteriores son qubits físicos ruidosos. Para criptografía rompible necesitas qubits lógicos tolerantes a errores. Con las técnicas actuales de corrección, se requieren entre 1,000 y 10,000 qubits físicos para construir un qubit lógico estable.

Cuántos qubits hacen falta realmente

Para ejecutar Shor sobre RSA-2048 (lo que rompería la mayoría de PKIs en producción hoy), la referencia académica más citada es Gidney & Ekerå (2019, refinada en 2021):

Factorizar un número RSA de 2,048 bits requeriría aproximadamente 20 millones de qubits físicos ruidosos ejecutando el algoritmo durante 8 horas, asumiendo tasas de error de 10⁻³ y una corrección de errores tipo surface code.

— “How to factor 2048 bit RSA integers in 8 hours using 20 million noisy qubits” (arXiv:1905.09749)

Esos 20 millones equivalen aproximadamente a 4,000 qubits lógicos una vez aplicada la corrección de errores.

Entre ~1,000 qubits físicos hoy y ~20,000,000 necesarios, hay cuatro órdenes de magnitud de diferencia. No es un problema de “más qubits” — es un problema de corrección de errores, coherencia, conectividad y escalabilidad. Las estimaciones de expertos serios para una Cryptographically Relevant Quantum Computer (CRQC):

• Más conservadoras: alrededor de 2030.
• Centrales: 2035-2040.
• Más pesimistas para los atacantes: nunca a escala práctica.

La NSA, en su Commercial National Security Algorithm Suite 2.0 (CNSA 2.0), publicada en septiembre de 2022, asume transición completa a algoritmos post-cuánticos para 2035 en sistemas de seguridad nacional norteamericanos.

Por qué entonces hay que actuar ya

Si el riesgo real es 2035, ¿por qué la urgencia? Tres razones concretas:

1. “Harvest Now, Decrypt Later” (HNDL)

Actores estatales y APTs sofisticados están capturando tráfico cifrado hoy, almacenándolo, esperando a tener capacidad cuántica. Cuando llegue, descifrarán retroactivamente todo lo que sigue siendo sensible.

Si tu información tiene valor más allá de 2035 —contratos largos, datos personales, secretos comerciales, información de seguridad nacional, transacciones financieras—, ya está expuesta si la cifras solo con asimétricos clásicos.

2. Los certificados de larga vida ya viven en zona de riesgo

Un certificado raíz emitido hoy con tiempo de vida de 20 años cubre 2026-2046. La mitad de ese período está en zona donde puede no ser cuánto-seguro. Lo mismo aplica a certificados de firma digital con validez extendida (LTV).

3. La migración real toma 5-7 años

Inventario completo + decisión de algoritmos + adopción de bibliotecas + actualización de hardware (HSMs, smart cards) + pruebas + despliegue gradual + retiro de los algoritmos viejos. En instituciones grandes, esto se mide en años, no en meses. Empezar en 2030 para llegar a 2035 listo es tarde.

Lo que NIST ya hizo por ti

En agosto de 2024, NIST publicó los primeros tres estándares post-cuánticos (NIST press release):

• FIPS 203 (ML-KEM) — antes conocido como CRYSTALS-Kyber. Para intercambio de llaves (KEM = Key Encapsulation Mechanism). El principal para uso general.
• FIPS 204 (ML-DSA) — antes CRYSTALS-Dilithium. Para firma digital, propósito general.
• FIPS 205 (SLH-DSA) — antes SPHINCS+. Para firma digital basada en hashes. NIST lo posiciona como respaldo conservador: llaves y firmas más grandes, pero seguridad anclada en propiedades de hashes (muy estudiadas).
• FIPS 206 (FN-DSA, draft) — antes Falcon. Firma con firmas más compactas que ML-DSA.

Decisión hecha. No tienes que elegir entre 80 candidatos académicos — solo entre estos. La discusión técnica ya no es “¿qué algoritmo?”, sino “¿dónde y en qué orden los aplicamos?”

Algunos despliegues en producción ya están corriendo. Cloudflare habilitó por defecto handshakes TLS híbridos (X25519 + Kyber512/Kyber768) para todos sus clientes desde octubre de 2022 (Cloudflare blog · Post-quantum for all) — años antes de la estandarización formal. Google ha hecho despliegues similares en Chrome y servicios internos.

El plan de migración pragmático

Tienes razón en la intuición: es básicamente un inventario más una migración de algoritmos. Pero el inventario es la parte difícil y la migración tiene capas. Una receta razonable:

Fase 1 — Inventario (3-6 meses)

Levantar todo lugar donde hay criptografía asimétrica clásica:

• Certificados TLS — internos y externos.
• Certificados de firma digital — emisores y usuarios.
• VPNs e IPsec.
• SSH (los algoritmos viejos).
• Llaves dentro de HSMs y los flujos que las consumen.
• Firma de código y firma de software.
• Llaves embebidas en hardware: smart cards, tokens, dispositivos IoT, terminales POS.
• Llaves en servicios SaaS de terceros.
• Documentos firmados con LTV (validez de largo plazo).

Sin este inventario, no hay migración. Es típicamente la parte que más cuesta y la que la organización subestima.

Fase 2 — Crypto agility (paralelo, 6-12 meses)

Antes de migrar nada, hay que asegurar que el sistema permite migrar:

• Bibliotecas criptográficas actualizables.
• Configuración por componente, no por hardcode.
• Capacidad de soportar múltiples algoritmos en paralelo (hybrid).
• Procesos de rotación de algoritmos documentados.

Esto es trabajo de arquitectura. No es opcional.

Fase 3 — Modo híbrido (12-24 meses)

Adoptar combinaciones de algoritmo clásico + algoritmo post-cuántico simultáneamente. Si uno cede, el otro sostiene. La industria está convergiendo en esto para los próximos 5-10 años.

Cloudflare y Google ya están desplegando híbridos para TLS hoy. Los HSMs de Utimaco, Thales y otros vendors ya empiezan a soportar primitivas post-cuánticas en firmware.

Fase 4 — Sustitución pura (2030+)

Una vez maduro el ecosistema y resueltas las dependencias hacia atrás, retirar gradualmente los algoritmos clásicos. Esto no será un evento único: distintos sistemas migrarán a su ritmo según riesgo y costo.

Fase 5 — Retiro de algoritmos viejos (post-2035)

Cuando el último sistema clásico está fuera de uso, retirar las bibliotecas, las capacidades de fallback, y archivar los procedimientos viejos. Probablemente nunca termina del todo.

Qué hacer este mes, concretamente

Sin importar el tamaño de tu institución:

1. Lista en una hoja todos los lugares donde sabes que hay criptografía asimétrica. Probablemente sea incompleta. No importa — es el punto de partida.
2. Identifica el responsable de cada uno. Si nadie es responsable, ese es el problema más urgente.
3. Pregunta a cada responsable cuándo se renuevan las llaves y cuál es el tiempo de vida actual. Cualquier cosa con vida útil más allá de 2030 entra en lista de prioridad.
4. Pregunta a tus vendors críticos (HSM, PKI, CMS, terminales) cuál es su roadmap post-cuántico. Si no tienen respuesta, ese también es información.
5. Lleva el resultado al directorio una vez. Una hoja. Punto.

Ningún paso requiere comprar tecnología nueva. Todos requieren mirar.

Fuentes y referencias

• NIST · primeros 3 estándares post-cuánticos finales (FIPS 203, 204, 205), agosto 2024 — https://www.nist.gov/news-events/news/2024/08/nist-releases-first-3-finalized-post-quantum-encryption-standards
• Google Research · Meet Willow, our state-of-the-art quantum chip, diciembre 2024 — https://blog.google/technology/research/google-willow-quantum-chip/
• IBM Quantum · Roadmap 2033 (Condor, Heron, Kookaburra, Loon, …) — https://www.ibm.com/quantum/blog/quantum-roadmap-2033
• Atom Computing · First to exceed 1,000 qubits (1,225-sites, 1,180 populated), octubre 2023 — https://atom-computing.com/quantum-startup-atom-computing-first-to-exceed-1000-qubits/
• Gidney & Ekerå · How to factor 2,048-bit RSA in 8 hours using 20M noisy qubits, arXiv 1905.09749 — https://arxiv.org/abs/1905.09749
• Cloudflare · Post-quantum for all (X25519+Kyber TLS híbrido en producción), octubre 2022 — https://blog.cloudflare.com/post-quantum-for-all
• NSA · Commercial National Security Algorithm Suite 2.0 (CNSA 2.0), septiembre 2022 — disponible en nsa.gov y cisa.gov. Mirror público frecuente bajo media.defense.gov.
• Quantinuum · H-Series (H2, iones atrapados) — quantinuum.com/products-solutions/quantinuum-systems.

---

En 2PSECURE acompañamos a instituciones financieras y empresas con infraestructura crítica en la fase de inventario criptográfico, la auditoría de crypto agility, y el roadmap de migración post-cuántica. Si tu organización todavía no tiene visibilidad clara de su superficie cuántica-expuesta, conversemos.

---