CRIPTOGRAFÍA POST-CUÁNTICA

Cifrado post-cuántico para PYMEs:
ML-KEM-768 y FIPS 203 explicados

📅 8 de junio de 2025 ✍️ ChacalSecurity Research Team ⏱ 9 min lectura

Los ordenadores cuánticos no son ciencia ficción. El NIST ya publicó el estándar post-cuántico. Los atacantes ya están acumulando tus datos cifrados. Esta guía explica qué significa todo esto para tu empresa y qué puedes hacer hoy.

// ÍNDICE
  1. El problema: por qué el cifrado actual tiene los días contados
  2. Harvest Now, Decrypt Later: el ataque que ya ocurre
  3. Qué es ML-KEM-768 y cómo funciona
  4. ¿Y AES-256? ¿También está en riesgo?
  5. El esquema híbrido: la solución correcta
  6. ¿Necesita mi PYME actuar ahora?
  7. Preguntas frecuentes

El problema: por qué el cifrado actual tiene los días contados

El cifrado que protege hoy las comunicaciones de tu empresa — HTTPS, VPN, email cifrado, firma digital — se basa en un principio matemático simple: ciertos problemas son extremadamente difíciles de resolver para un ordenador clásico. RSA se basa en la dificultad de factorizar números grandes. ECDH se basa en el problema del logaritmo discreto en curvas elípticas.

El problema es que estos mismos problemas son triviales para un ordenador cuántico suficientemente potente. El algoritmo de Shor, propuesto en 1994, puede factorizar un número de 2.048 bits en horas o días en un ordenador cuántico. Lo que hoy requeriría más tiempo que la edad del universo, mañana podría resolverse mientras tomas un café.

⚠ CRONOLOGÍA ESTIMADA

Las estimaciones más conservadoras del sector sitúan los primeros ordenadores cuánticos criptográficamente relevantes (CRQC — Cryptographically Relevant Quantum Computers) entre 2030 y 2035. Algunos expertos lo adelantan a 2028. El margen es menor de lo que parece.

En agosto de 2024, el NIST tomó nota de esta realidad y publicó tres estándares de criptografía post-cuántica: FIPS 203 (ML-KEM, para encapsulación de claves), FIPS 204 (ML-DSA, para firmas digitales) y FIPS 205 (SLH-DSA, firma alternativa basada en hash). Es la mayor renovación de estándares criptográficos desde la adopción de AES en 2001.

Harvest Now, Decrypt Later: el ataque que ya ocurre

Aquí viene la parte que muchas empresas no conocen: no necesitas tener un ordenador cuántico para ser víctima de un ataque cuántico. Solo necesitas que alguien guarde tus comunicaciones cifradas hoy.

El ataque se llama Harvest Now, Decrypt Later (HNDL). El mecanismo es sencillo: un actor avanzado — agencia de inteligencia, grupo APT, ciberdelincuente sofisticado — intercepta y almacena tráfico cifrado hoy. No puede descifrarlo ahora. Pero cuando tenga acceso a un ordenador cuántico en 2030, podrá descifrar retroactivamente todo lo que acumuló durante años.

2030

Año estimado para los primeros CRQC. Tus datos cifrados hoy podrían ser legibles entonces.
Un contrato firmado en 2025 podría estar en manos de un competidor en 2031.

¿Quién hace esto? El informe CISA 2024 sobre amenazas cuánticas señala explícitamente que actores de estado nación ya están implementando estrategias HNDL. Pero no hace falta ser objetivo de una agencia de inteligencia: cualquier dato que valga dinero en el futuro es un objetivo válido para almacenamiento especulativo.

Datos de salud que deben protegerse décadas. Propiedad intelectual. Estrategias empresariales. Comunicaciones con clientes. Si cualquiera de estos datos tiene valor en 2030, alguien podría estar guardando sus versiones cifradas ahora mismo.

Qué es ML-KEM-768 y cómo funciona

ML-KEM son las siglas de Module Lattice-based Key Encapsulation Mechanism. Es el nombre oficial del algoritmo anteriormente conocido como CRYSTALS-Kyber, estandarizado como FIPS 203 por el NIST.

A diferencia de RSA o ECDH, ML-KEM no se basa en factorización ni en logaritmos discretos. Se basa en el problema Module-LWE (Module Learning With Errors): dado un sistema de ecuaciones lineales sobre un retículo algebraico con errores aleatorios añadidos, encontrar la solución es computacionalmente inviable tanto para ordenadores clásicos como cuánticos.

// NIVELES DE SEGURIDAD ML-KEM

ML-KEM-512 → Nivel 1 NIST (equivalente AES-128) — 128 bits seguridad clásica
ML-KEM-768 → Nivel 3 NIST (equivalente AES-192) — 192 bits seguridad post-cuántica
ML-KEM-1024 → Nivel 5 NIST (equivalente AES-256) — 256 bits seguridad post-cuántica

El número 768 hace referencia al parámetro del módulo del retículo. ML-KEM-768 es el nivel recomendado para la mayoría de aplicaciones empresariales: ofrece 192 bits de seguridad post-cuántica con un overhead razonable. La clave pública ocupa 1.184 bytes y el ciphertext KEM 1.088 bytes — tamaños perfectamente manejables para cualquier aplicación moderna.

El mecanismo de funcionamiento es una encapsulación de clave: en lugar de intercambiar una clave directamente, el sistema genera un secreto compartido que nunca viaja por la red. El que cifra usa la clave pública del destinatario para encapsular el secreto. Solo el destinatario, con su clave privada, puede desencapsularlo.

# Generación del par de claves private_key = generate_mlkem768_key() public_key = private_key.public_key() # Encapsulación (lado cifrador) → secreto compartido único shared_secret, kem_ciphertext = public_key.encapsulate() # Desencapsulación (solo con clave privada) shared_secret = private_key.decapsulate(kem_ciphertext) # → shared_secret idéntico en ambos lados, sin transmitirse nunca

¿Y AES-256? ¿También está en riesgo?

Esta es una confusión habitual. AES-256 no está roto por los ordenadores cuánticos. El algoritmo de Grover puede reducir su seguridad efectiva de 256 a 128 bits en un escenario cuántico — lo que sigue siendo completamente seguro para cualquier uso práctico actual y futuro.

Algoritmo Uso Vulnerable a cuántico Alternativa post-cuántica
RSA-2048 Intercambio de claves, firmas ✗ Shor lo rompe ML-KEM-768 / ML-DSA
ECDH P-256 Intercambio de claves ✗ Shor lo rompe ML-KEM-768
ECDSA Firmas digitales ✗ Shor lo rompe ML-DSA (FIPS 204)
AES-128 Cifrado simétrico ⚠ Grover reduce a 64-bit Subir a AES-256
AES-256 Cifrado simétrico ✓ Grover reduce a 128-bit (seguro) No necesita migración
SHA-256 Hash ⚠ Grover reduce a 128-bit SHA-384 / SHA-512

El problema real no es el cifrado de datos en sí, sino el intercambio de claves. Cuando tu navegador establece una conexión HTTPS, negocia una clave de sesión usando ECDH o RSA. Esa negociación es lo que un ordenador cuántico puede atacar. Los datos cifrados con AES-256 resultante siguen siendo seguros — pero si la clave se obtuvo mediante un algoritmo vulnerable, el atacante puede descifrar igualmente.

El esquema híbrido: la solución correcta

El propio NIST recomienda durante el período de transición el uso de esquemas híbridos: combinar un algoritmo post-cuántico con uno clásico probado, de forma que la seguridad total sea al menos tan buena como la del mejor de los dos.

Este es exactamente el enfoque de ChacalCrypt Quantum:

# Esquema híbrido ML-KEM-768 + AES-256-GCM # # 1. ML-KEM-768 genera secreto compartido post-cuántico ss, kem_ct = public_key.encapsulate() # # 2. HKDF-SHA256 deriva clave AES desde secreto compartido aes_key = HKDF(SHA256, ss, salt="ChacalQuantumV1") # # 3. AES-256-GCM cifra los datos con autenticación ciphertext = AESGCM(aes_key).encrypt(nonce, data) # # Resultado: seguro contra ataques clásicos Y cuánticos
✓ POR QUÉ FUNCIONA

Para descifrar un archivo, un atacante necesitaría romper ambos algoritmos simultáneamente: ML-KEM-768 (resistente a cuántico) Y AES-256-GCM (resistente a cuántico). La seguridad combinada es mayor que cualquiera de los dos por separado.

¿Necesita mi PYME actuar ahora?

La respuesta honesta es: depende del tipo de datos que manejes. Aquí tienes una guía rápida:

Deberías actuar ahora si...

Manejas datos de salud, datos legales, contratos a largo plazo, propiedad intelectual, datos financieros de clientes o cualquier información que deba mantenerse confidencial durante más de 5 años. El riesgo HNDL es real y presente.

Puedes esperar si...

Tus datos son transaccionales y de corto plazo — pedidos, comunicaciones del día a día, contenido de marketing. La información que ya no tiene valor en 3 años no es un objetivo prioritario para almacenamiento especulativo.

Lo que puedes hacer hoy sin coste

Realiza un inventario criptográfico: identifica qué sistemas de tu empresa usan RSA o ECDH para intercambio de claves. VPN, email cifrado, software de firma digital, almacenamiento en la nube. Esos son los puntos que necesitarán migración.

// LECTURA RECOMENDADA

Juan Manuel Castilla Delgado ha publicado dos libros específicos sobre este tema: "Ciberseguridad en la Era Post-Cuántica" y "Criptografía Post-Cuántica 2026: ML-KEM", disponibles en Amazon. Son la referencia en español sobre migración post-cuántica para profesionales.

⚛ Empieza a proteger tus archivos hoy

ChacalCrypt Quantum implementa ML-KEM-768 (FIPS 203) + AES-256-GCM sobre OpenSSL 4.0. El primer software de cifrado post-cuántico para PYMEs españolas. Desde 79€/año.

Ver ChacalCrypt Quantum →

Preguntas frecuentes

¿Qué es ML-KEM-768 y por qué es importante? +
ML-KEM-768 es el estándar de encapsulación de claves post-cuántico publicado por el NIST en agosto de 2024 como FIPS 203. Está basado en el problema Module-LWE, que no tiene solución eficiente conocida ni para ordenadores clásicos ni cuánticos. Proporciona 192 bits de seguridad post-cuántica, equivalente al nivel 3 del NIST.
¿Cuándo romperán los ordenadores cuánticos el cifrado actual? +
Las estimaciones más conservadoras sitúan los primeros CRQC entre 2030 y 2035. Sin embargo, el ataque Harvest Now Decrypt Later ya está ocurriendo: actores avanzados recopilan datos cifrados hoy para descifrarlos cuando tengan acceso a un ordenador cuántico. Por eso la migración debe empezar ahora.
¿AES-256 también es vulnerable a los ordenadores cuánticos? +
AES-256 es resistente a los ordenadores cuánticos. El algoritmo de Grover reduce su seguridad efectiva a 128 bits en un escenario cuántico, lo que sigue siendo seguro. El problema real está en los algoritmos de intercambio de claves como RSA y ECDH, que el algoritmo de Shor puede romper eficientemente.
¿Necesita mi PYME implementar cifrado post-cuántico ahora? +
Depende del tipo de datos que manejes. Si tus datos deben mantenerse confidenciales durante más de 5-10 años, deberías migrar ahora. Si manejas datos transaccionales de corto plazo, puedes esperar. En cualquier caso, empezar la evaluación hoy es recomendable.
// ARTÍCULOS RELACIONADOS
CIFRADO

Cómo cifrar archivos en tu empresa: la guía completa
GUÍA GRATUITA

Guía post-cuántica: inventario criptográfico y cronograma 2025-2027