Se están desarrollando computadoras cuánticas activamente que, con el tiempo,
podrán descifrar la criptografía actual de la que dependemos para proteger las
comunicaciones modernas. Los
avances recientes
en computación cuántica han puesto de relieve la vulnerabilidad de la
criptografía convencional a estos ataques.
Por ejemplo,
más del 35% del tráfico HTTPS
no relacionado con bots
que llega a Cloudflare es seguro poscuántico. El Instituto Nacional de Estándares y Tecnología (NIST) también reconoce la
urgencia de esta transición. El 15 de noviembre de 2024, el
NIST realizó un anuncio histórico
al establecer un cronograma para la eliminación gradual de RSA y la
Criptografía de Curva Elíptica (ECC), los algoritmos criptográficos
convencionales que sustentan prácticamente todo el internet actual. Según el
anuncio del NIST,
estos algoritmos tradicionales quedarán obsoletos para 2030 y completamente
prohibidos para 2035.
La privacidad es un derecho humano fundamental y que la
criptografía avanzada debe ser accesible para todos
sin concesiones.
Nadie debería estar obligado a pagar más por la seguridad poscuántica. Más de
un tercio del tráfico humano que pasa por Cloudflare actualmente ya disfruta
de esta seguridad mejorada, y se preve que esta proporción aumente a medida
que más navegadores y clientes se actualicen para admitir la criptografía
poscuántica.
Si bien se han logrado grandes avances en la protección del tráfico web
humano, no todas las aplicaciones son aplicaciones web. Y todas las
organizaciones tienen aplicaciones internas (tanto web como de otro tipo) que
no admiten la criptografía poscuántica.
¿Cómo deberían las organizaciones actualizar el tráfico confidencial de su red
corporativa para que sea compatible con la criptografía poscuántica? Las
organizaciones pueden tunelizar el tráfico de su red corporativa a través de
la
plataforma Zero Trust de Cloudflare, protegiéndolo contra adversarios cuánticos sin la molestia de actualizar
individualmente cada aplicación, sistema o conexión de red corporativa.
¿Por qué migrar a la criptografía poscuántica y por qué ahora?
1. El reto de la desactualización de la criptografía
La historia demuestra que actualizar o eliminar algoritmos criptográficos
obsoletos de los sistemas operativos es extremadamente difícil. Por ejemplo,
aunque
la función hash MD5 se consideró insegura en 2004
y quedó obsoleta hace tiempo, siguió utilizándose con el protocolo de
autenticación empresarial RADIUS hasta 2024. Este ejemplo subraya el enorme
reto que supone actualizar los sistemas heredados —la dificultad para lograr
criptoagilidad—, que será igual de exigente cuando llegue el momento de migrar a la
criptografía poscuántica. Por lo tanto, tiene sentido comenzar este proceso
ahora.
2. La amenaza de «recolectar ahora, descifrar después» (harvest now, decrypt
later)
Aunque las computadoras cuánticas carecen de suficientes cúbits para descifrar
la criptografía convencional hoy en día, los adversarios pueden recolectar y
almacenar comunicaciones cifradas o robar conjuntos de datos con la intención
de descifrarlos una vez que la tecnología cuántica madure. Los datos datos
cifrados hoy con criptografía débil, podrían convertirse en un lastre en 10 o
15 años. Por esta razón, es importante trabajar con proveedores de servicios
que puedan asegurar una transición hacia la seguridad cuántica.
El gobierno de EE.UU. ya está abordando estos riesgos. El 16 de enero de 2025,
la Casa Blanca emitió la
Orden Ejecutiva 14144
sobre el Fortalecimiento y la Promoción de la Innovación en la Ciberseguridad
Nacional. Esta orden exige a las agencias gubernamentales
«actualizar periódicamente una lista de categorías de productos en las que
los productos compatibles con la criptografía poscuántica (PQC) estén
ampliamente disponibles».
Migración en dos fases hacia la criptografía poscuántica
En Cloudflare, por ejemplo, se han centrado principalmente en migrar el
protocolo TLS v1.3 a criptografía poscuántica. TLS protege principalmente las
comunicaciones de las aplicaciones web, pero también se utiliza ampliamente
para proteger el correo electrónico, la mensajería, las conexiones VPN, el DNS
y muchos otros protocolos. Esto convierte a TLS en el protocolo ideal para
migrar a la criptografía poscuántica.
La migración implica la actualización de dos componentes críticos de TLS v1.3:
las
firmas digitales utilizadas en los certificados
y los
mecanismos de intercambio de claves.
Fase 1: Migración de intercambio de claves
Los protocolos de acuerdo de intercambio de claves permiten a dos partes
establecer de forma segura una clave secreta compartida que pueden utilizar
para proteger y cifrar sus comunicaciones. Hoy en día, los proveedores han
convergido en gran medida en la transición de TLS v1.3 para dar soporte a un
protocolo de intercambio de claves poscuántico conocido como
ML-KEM
(Module-lattice based Key-Encapsulation Mechanism Standard). Hay dos
razones principales para priorizar la migración del acuerdo de claves:
-
Rendimiento: ML-KEM funciona bien con el protocolo TLS v1.3, incluso
en conexiones de red de corta duración. -
Seguridad: La criptografía convencional es vulnerable a ataques de
«recoger ahora, descifrar después». En este modelo de amenaza, un adversario
intercepta y almacena comunicaciones cifradas hoy y, posteriormente (en el
futuro), utiliza una computadora cuántica para obtener la clave secreta,
comprometiendo la comunicación.
Aquí mostramos cómo verificar si el navegador Chrome está usando ML-KEM para
el intercambio de claves al visitar un sitio web: inspeccionar la página >
pestaña Seguridad > buscar
X25519MLKEM768.
Esto indica que el navegador utiliza el protocolo de acuerdo de claves ML-KEM
en combinación con
criptografía de curva elíptica convencional
en la curva
X25519. Esto proporciona la protección de la criptografía convencional de eficacia
probada (X25519) junto con el nuevo acuerdo de claves postcuántico (ML-KEM).
Fase 2: Migración de firmas digitales
Las
firmas digitales se utilizan en los certificados TLS
para validar la autenticidad de las conexiones, lo que permite al cliente
estar seguro de que realmente se está comunicando con el servidor y no con un
adversario que se hace pasar por él.
Sin embargo, las firmas digitales postcuánticas son significativamente más
grandes y, por lo tanto, más lentas que sus contrapartes actuales. Este
impacto en el rendimiento ha ralentizado su adopción, especialmente porque
ralentizan las conexiones TLS de corta duración.
Afortunadamente, las firmas postcuánticas no son necesarias para prevenir
ataques de recolección inmediata y descifrado posterior. En cambio, protegen
principalmente contra ataques de un adversario que utiliza activamente un
ordenador cuántico para manipular una conexión TLS activa. Aún queda tiempo
antes de que las computadoras cuánticas puedan lograr esto, por lo que la
migración de firmas digitales es una prioridad menor.
Para obtener más información sobre criptografía postcuántica se puede
consultar el
boletín de GuardedBox, los
cursos de Alfred Menezes,
PQC de Cloudflare
y
PQC de NIST.