El mundo está al borde de una revolución en el ámbito de la computación. Los ordenadores cuánticos, que hace poco parecían ciencia ficción, se están convirtiendo en realidad y representan una amenaza seria para los sistemas de cifrado existentes. Y en respuesta a esa amenaza ha surgido una nueva rama de la criptografía: la criptografía poscuántica (PQC). No es solo una concepción teórica, sino una necesidad urgente para garantizar la seguridad en el mundo digital del futuro. Ahora explicaré cómo y qué funciona.
Cómo proteger los datos en la era de la computación cuántica
La historia de la criptografía es una carrera constante entre quienes crean cifrados y quienes intentan romperlos. Desde los cifrados por sustitución más sencillos, usados ya por Julio César, hasta los modernos algoritmos asimétricos: cada nuevo método de cifrado tarde o temprano ha encontrado a su rompedor. Sin embargo, la criptografía nunca antes se había enfrentado a una amenaza como la de los ordenadores cuánticos.
Imaginen un sistema capaz de comprobar simultáneamente todas las combinaciones posibles de la contraseña de su tarjeta bancaria. O un dispositivo capaz de romper al instante cualquier mensaje cifrado. Esas son las capacidades que pueden tener los ordenadores cuánticos.
Para entender por qué las máquinas cuánticas son tan singulares, primero repasemos cómo funcionan las máquinas convencionales. Todos los dispositivos informáticos modernos, desde su teléfono hasta los superordenadores más potentes, manejan la información en forma de bits: unos y ceros. Cada bit solo puede estar en un estado a la vez: 1 o 0. Es como un interruptor que está encendido o apagado. Los ordenadores cuánticos, en cambio, usan cúbits —bits cuánticos— que, gracias a las propiedades de la mecánica cuántica, pueden estar simultáneamente en los estados 0 y 1. Además, los cúbits pueden estar "enredados" entre sí, de modo que el estado de un cúbit influye instantáneamente en el estado de otro, aunque estén en extremos opuestos del universo. Einstein llamó a esto "acción espeluznante a distancia" y no llegó a aceptarlo plenamente, pero los experimentos modernos lo confirman una y otra vez.
Esas propiedades únicas hacen que los ordenadores cuánticos sean increíblemente eficientes para resolver ciertos tipos de problemas. Por ejemplo, para romper sistemas de cifrado actuales. Hoy, gran parte de nuestra seguridad digital se basa en que a los ordenadores clásicos les llevaría millones de años recorrer todas las combinaciones posibles de una clave de cifrado. Pero un ordenador cuántico, gracias a la superposición, puede evaluar muchas variantes a la vez, transformando la tarea de "prácticamente imposible" a "factible en cuestión de minutos". Por eso la comunidad criptográfica trabaja activamente en crear métodos que sigan siendo fiables con la llegada de estas nuevas tecnologías. Eso es la criptografía poscuántica.
Perspectiva histórica y amenazas actuales
En 1994 ocurrió un hecho que llevó a los expertos en seguridad informática a replantearse el futuro. El matemático Peter Shor presentó un algoritmo diseñado para ordenadores cuánticos que podía resolver una tarea considerada prácticamente irresoluble: encontrar rápidamente los factores de números grandes. Este hallazgo fue una sensación en el mundo de la criptografía, porque amenazaba la seguridad de casi todos los sistemas de cifrado existentes.
Para comprender la importancia de ese descubrimiento, veamos qué es la factorización y por qué importa tanto en la criptografía moderna. La factorización es el proceso de encontrar números que, multiplicados entre sí, dan como resultado el número original. Por ejemplo, 15 se factoriza en 3 y 5. Esto es sencillo con números pequeños, pero se vuelve increíblemente complejo cuando los números son realmente grandes, por ejemplo con cientos o miles de cifras.
La seguridad del método de cifrado más difundido en internet —el algoritmo RSA— se basa en esa dificultad matemática. RSA, llamado así por las iniciales de sus creadores (Rivest, Shamir, Adleman), hoy protege:
- Todas las operaciones bancarias en línea
- Correspondencia y documentos confidenciales
- Datos personales de los usuarios en internet
- Comunicaciones corporativas
- Sistemas de información estatales
RSA funciona con un par de claves: una pública para cifrar datos y una privada para descifrarlos. Este sistema se considera seguro porque es relativamente fácil generar claves multiplicando dos números primos grandes, pero es prácticamente imposible para un ordenador clásico descomponer el producto para recuperar esos factores.
La magnitud de la dificultad es asombrosa: un RSA moderno con clave de 2048 bits trabaja con números que tienen más de 600 cifras decimales. Romper una clave así —es decir, factorizar ese número en sus dos primos— llevaría a la supercomputadora clásica más potente millones de años de cálculo continuo. Para ponerlo en perspectiva: ¡es más que la edad del universo! Por eso RSA se considera seguro: para los ordenadores clásicos esa tarea es prácticamente inabordable.
Aquí entra el algoritmo de Shor. Aprovechando las propiedades de la computación cuántica —la capacidad de operar con muchos estados a la vez—, este algoritmo puede factorizar con una eficiencia sorprendente. Un ordenador cuántico con suficiente número de cúbits estables (del orden de varios miles) podría romper una clave RSA en minutos, cuando a un ordenador clásico le llevaría millones de años. No es solo una mejora teórica: sería la desvalorización completa de los métodos de protección actuales, que podría producirse en cuanto existan ordenadores cuánticos lo bastante potentes.
Principios fundamentales de la criptografía poscuántica
Como hemos visto, a diferencia de la criptografía clásica, que a menudo se apoya en la factorización y el logaritmo discreto, la criptografía poscuántica (PQC) se basa en principios matemáticos completamente distintos.
1. Criptografía basada en retículos: protección mediante estructuras matemáticas
La criptografía basada en retículos es una de las direcciones más prometedoras para proteger datos, y utiliza para el cifrado estructuras matemáticas especiales: los retículos. Puede imaginarse como una red regular de puntos en un espacio. Pero a diferencia de una cuadrícula bidimensional en una hoja, los retículos criptográficos existen en espacios con cientos o miles de dimensiones, lo que hace que descifrar sin la clave secreta sea prácticamente imposible. Con el aumento de la dimensionalidad, la complejidad crece exponencialmente.
En la base de la criptografía basada en retículos hay dos problemas matemáticos fundamentales:
- Problema del vector más corto (SVP) — consiste en encontrar el camino más corto entre dos puntos en el retículo, teniendo en cuenta todas las dimensiones
- Problema del vector más cercano (CVP) — requiere encontrar el punto del retículo más cercano a un punto arbitrario del espacio
El algoritmo CRYSTALS-Kyber, que se convirtió en el primer estándar oficial de la criptografía poscuántica, emplea una variante de la criptografía basada en retículos conocida como el problema de aprendizaje con errores (LWE). Es similar a intentar descifrar un mensaje escrito sobre papel mojado: algunas letras están borrosas, y aun teniendo la clave no puedes estar completamente seguro de la lectura correcta. En criptografía esa incertidumbre es positiva, porque protege los datos frente al descifrado.
2. Criptosistemas multivariables: un rompecabezas matemático de nuevo nivel
Se trata de una clase particular de métodos de cifrado basada en fórmulas matemáticas complejas. En su núcleo están ecuaciones polinómicas donde las variables pueden elevarse a potencias y multiplicarse entre sí. Un ejemplo sencillo sería: x² + xy + y² = z. Pero en sistemas reales se usan construcciones mucho más complejas, con decenas de variables y grados altos.
La seguridad de estos sistemas se fundamenta en que, incluso si un criptoanalista intercepta un mensaje cifrado y conoce parte de las variables, no podrá reconstruir el mensaje original. Resolver un sistema de ecuaciones no lineales es matemáticamente difícil, especialmente cuando hay muchas ecuaciones interconectadas.
Para crear el algoritmo Rainbow, uno de los primeros representantes del tipo, se empleó una técnica particular. Allí las variables se dividían en dos grupos según su participación en las ecuaciones. El primer grupo (llamado "oil" o "variables aceite") generaba muchas relaciones no lineales entre las ecuaciones. El segundo grupo ("variables vinegar" o "vinagre") participaba en menos ecuaciones, creando una estructura que permitía al receptor legítimo descifrar, pero dificultaba el ataque al adversario.
Aunque Rainbow fue después comprometido (se hallaron métodos matemáticos que aceleran su ruptura), sus fundamentos ayudaron en gran medida a los investigadores. A partir de él se han desarrollado algoritmos más avanzados, como HFEv- (Hidden Field Equations with Vinegar variables) y UOV (Unbalanced Oil and Vinegar). En ellos se introducen estructuras matemáticas más complejas y capas adicionales de protección, que hacen al sistema resistente tanto a ataques clásicos como cuánticos.
3. Funciones hash: el viejo conocido que sigue siendo valioso
Las funciones hash son un tipo especial de funciones matemáticas que actúan como una picadora de datos: lo que pongas produce siempre un "picado" de longitud fija. Y así como no puedes reconstruir un trozo de carne a partir del picado, tampoco puedes recuperar los datos originales a partir del hash.
A nivel técnico, una función hash toma datos de cualquier tamaño (ya sea una contraseña corta o un archivo entero) y los transforma en una cadena de longitud fija mediante un algoritmo matemático riguroso. Cada bit de entrada influye en el resultado de manera que una mínima modificación en los datos de entrada (por ejemplo, cambiar una letra) produce un hash completamente distinto. Es esencial que el proceso sea irreversible: con solo el resultado del hashing no es posible recuperar los datos originales, ya que en la transformación se pierde información de forma intencional. Esa característica hace a las funciones hash ideales para almacenar contraseñas y verificar la integridad de datos.
Lo más interesante de las funciones hash es que resultan sorprendentemente resistentes a ataques cuánticos. Incluso el famoso algoritmo cuántico de Grover solo puede acelerar su ruptura en un factor aproximado de cuatro. Es como si un ordenador cuántico pudiera probar contraseñas cuatro veces más rápido que uno clásico: molesto, pero no catastrófico. Basta con aumentar la longitud de la contraseña en un par de caracteres para compensar ese avance.
SPHINCS+ es uno de los estándares aprobados para firmas digitales y utiliza una estructura de múltiples niveles de funciones hash organizada en forma de árbol. Cada firma digital se crea aplicando secuencialmente funciones hash a los datos, donde el resultado de cada nivel influye en el siguiente, formando una cadena de transformaciones criptográficas. Para cada firma nueva se usa una ruta única en ese árbol de hashes, y la propia estructura está diseñada de tal manera que cambiar un solo bit en el mensaje original produce resultados completamente distintos en todos los niveles, lo que hace inviable la falsificación de la firma incluso para un ordenador cuántico.
Estandarización: el camino hacia un futuro seguro
En 2016, el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) lanzó un proyecto de gran envergadura para seleccionar los algoritmos que se convertirían en estándares de la criptografía poscuántica. Fue como una competición entre algoritmos: de 69 participantes iniciales, tras varios años de pruebas, análisis y selección quedaron solo los mejores:
- CRYSTALS-Kyber — para cifrado e intercambio de claves
- CRYSTALS-Dilithium — algoritmo general para firmas digitales
- FALCON — genera firmas muy compactas, pero exige más potencia de cálculo
- SPHINCS+ — la opción más conservadora y fiable, basada únicamente en funciones hash probadas
Cada uno de estos algoritmos, como una navaja suiza, tiene sus ventajas y escenarios de uso óptimos. Por ejemplo, FALCON es ideal cuando importa el tamaño de la firma (por ejemplo, en tecnologías de cadena de bloques), mientras que CRYSTALS-Dilithium ofrece un equilibrio óptimo entre tamaño de firma y velocidad, lo que lo hace idóneo para la mayoría de aplicaciones web.
Aspectos prácticos de la implementación
Desafíos técnicos
Claro que implantar la criptografía poscuántica no será sencillo. Por varias razones. En primer lugar, muchos algoritmos PQC requieren muchos más recursos que los sistemas criptográficos clásicos. Por ejemplo, el tamaño de las claves públicas en sistemas basados en retículos puede alcanzar varios kilobytes, lo que añade carga a la infraestructura de red.
Además, algunos algoritmos demandan potencia de cálculo significativa. Esto es especialmente crítico para dispositivos del Internet de las cosas (IoT) y sistemas embebidos, donde los recursos son limitados. Los desarrolladores deben buscar un compromiso entre seguridad y practicidad.
Estrategias de transición
La mayoría de organizaciones opta por un enfoque híbrido. Esto implica el uso simultáneo de algoritmos clásicos y poscuánticos. Ese enfoque ofrece la mayor seguridad: incluso si uno de los algoritmos se ve comprometido (el clásico por un ordenador cuántico, o el poscuántico por una vulnerabilidad descubierta), el otro seguirá protegiendo los datos.
El proceso de transición suele incluir las siguientes etapas:
- Auditoría de sistemas criptográficos
En esta fase las organizaciones identifican todos los lugares donde se emplea criptografía y que podrían ser vulnerables a ataques cuánticos. Esto incluye no solo áreas obvias como SSL/TLS, sino también elementos menos visibles, por ejemplo sistemas de firmas digitales para actualizaciones de software.
- Evaluación de riesgos
Se determina la criticidad de distintos sistemas y datos, y se valora su periodo de vigencia. Se presta especial atención a los datos que deben permanecer confidenciales durante mucho tiempo.
- Implementación piloto
Las organizaciones comienzan con sistemas pequeños y no críticos para evaluar el impacto de los nuevos algoritmos en el rendimiento y detectar posibles problemas de compatibilidad.
Investigación y desarrollo
Las investigaciones en criptografía poscuántica continúan en varias direcciones. Se presta especial atención a mejorar la eficiencia de los algoritmos existentes. Por ejemplo, se investigan métodos de compresión de claves para sistemas basados en retículos, lo que permitiría reducir su tamaño sin sacrificar seguridad.
Otra dirección importante es la búsqueda de nuevos problemas matemáticos que puedan servir de base a algoritmos poscuánticos. Se investigan estructuras algebraicas exóticas, como las isogenias supersingulares de curvas elípticas (SIKE), aunque ese enfoque en particular fue comprometido recientemente.
En general, la criptografía poscuántica no es solo una respuesta a una amenaza hipotética, sino un paso necesario en la evolución de la seguridad de la información. Aunque los ordenadores cuánticos completos aún no existen, la preparación para su aparición debe comenzar ahora. Las organizaciones que empiecen a adoptar algoritmos poscuánticos con antelación obtendrán una ventaja considerable.
