8. marzo 2026 | Imprimir artículo | |

Criptografía Postcuántica: Alemania se prepara

8 min de lectura

En agosto de 2024, el NIST publicó los primeros tres estándares finalizados de criptografía poscuántica. En noviembre de 2024, el BSI y otras 17 autoridades europeas instaron a la industria y la administración a comenzar activamente la migración. Y las Fuerzas Armadas alemanas ya han protegido su red de fibra óptica de 13.000 kilómetros con algoritmos seguros frente a la amenaza cuántica. Alemania se está preparando, pero el sector privado va rezagado. Ninguna gran empresa tecnológica alemana ha implementado criptografía poscuántica en producción.

En resumen

  • Estándares del NIST finalizados: ML-KEM (FIPS 203), ML-DSA (FIPS 204) y SLH-DSA (FIPS 205) son obligatorios desde agosto de 2024: la base para la migración global a PQC
  • Recomendación del BSI: migrar los sistemas más sensibles antes de finales de 2030, enfoque híbrido como solución de transición y criptoagilidad como principio de diseño
  • Harvest Now, Decrypt Later: actores estatales están recolectando hoy datos cifrados para descifrarlos en el futuro con computadoras cuánticas; todas las principales agencias de seguridad confirman esta amenaza
  • Fuerzas Armadas como pioneras: red de fibra óptica de 13.000 kilómetros protegida con algoritmos seguros frente a la amenaza cuántica
  • Costos de migración: el gobierno estadounidense estima 7.100 millones de dólares solo para agencias federales hasta 2035

Por qué la amenaza es real hoy, no mañana

La suposición más común sobre los ordenadores cuánticos y la criptografía es: «Aún tenemos tiempo». Técnicamente, esto es cierto: los ordenadores cuánticos criptográficamente relevantes aún no existen. IBM planea un sistema con aproximadamente 200 qubits lógicos para 2028/2029, y Google apunta a magnitudes similares. Romper RSA-2048 requeriría varios millones de qubits lógicos. El BSI estima que este escenario podría darse en unos 16 años, quizás antes.

Pero la amenaza no es el día en que un ordenador cuántico rompa RSA. La amenaza ya está aquí. La estrategia se llama «Harvest Now, Decrypt Later» (HNDL): actores estatales están recolectando hoy comunicaciones y tráfico de datos cifrados, los almacenan y esperan poder descifrarlos con futuros ordenadores cuánticos. El Departamento de Seguridad Nacional de EE. UU., el NCSC británico, la ENISA y el ASD australiano confirman esta amenaza en sus recomendaciones oficiales sobre PQC. La Comisión Europea advirtió explícitamente en abril de 2024 que los datos con confidencialidad a largo plazo ya están expuestos al riesgo HNDL.

Para empresas con datos sensibles a largo plazo – patentes, datos de salud, secretos de Estado, contratos financieros – esto significa que cada día sin cifrado resistente a cuánticos es un día en que esos datos podrían estar siendo interceptados y almacenados para su descifrado futuro. Los requisitos de seguridad en la cadena de suministro de NIS2 intensifican aún más esta presión.

3 estándares
NIST FIPS 203/204/205 finalizados
13.000 km
Fibra óptica de las Fuerzas Armadas segura frente a cuánticos
7.100 M$
Costos de migración en EE. UU. hasta 2035

Fuentes: NIST FIPS agosto 2024, DGAP Policy Brief 2024, White House PQC Report julio 2024

Los nuevos estándares: qué significan ML-KEM, ML-DSA y SLH-DSA

El 13 y 14 de agosto de 2024, el NIST publicó los primeros tres estándares de criptografía poscuántica como Estándares Federales de Procesamiento de Información. Entraron en vigor inmediatamente y definen la base algorítmica para la migración global.

FIPS 203 (ML-KEM) se basa en CRYSTALS-Kyber y es el nuevo estándar para encapsulación de claves, es decir, para el intercambio seguro de claves. Cada vez que dos sistemas establecen un canal cifrado (TLS, VPN, mensajería), se necesita un mecanismo como este. ML-KEM reemplazará progresivamente a RSA y Diffie-Hellman en este ámbito.

FIPS 204 (ML-DSA) se basa en CRYSTALS-Dilithium y es el estándar principal para firmas digitales. Actualizaciones de firmware, certificados de software, firmas de correo electrónico y transacciones blockchain: en todos los lugares donde hoy se usan RSA o ECDSA, ML-DSA actuará como alternativa segura frente a cuánticos.

FIPS 205 (SLH-DSA) se basa en SPHINCS+ y es un algoritmo de firma basado en funciones hash. Sirve como opción de respaldo en caso de que ML-DSA revele vulnerabilidades: un concepto de redundancia deliberado. Un cuarto estándar (FN-DSA, basado en FALCON) está en preparación.

Para las empresas, estos tres estándares significan que la base técnica ya está disponible. La pregunta ya no es «¿qué algoritmo elegimos?», sino «¿cuándo empezamos?». Y la respuesta del BSI es clara: ahora.

BSI: enfoque híbrido y criptoagilidad como estrategia

El BSI ha ampliado por primera vez su Directriz Técnica TR-02102-1 (Procedimientos criptográficos: recomendaciones y longitudes de clave) en su versión 2026-01, incorporando completamente los estándares NIST-PQC. Procedimientos recomendados para encapsulación de claves: ML-KEM, FrodoKEM y Classic McEliece. Para firmas digitales: ML-DSA, SLH-DSA, LMS/HSS y XMSS.

Dos conceptos están en el centro de la estrategia del BSI. Primero, el enfoque híbrido: hasta que la PQC esté plenamente establecida, el BSI recomienda combinar un método clásico con uno seguro frente a cuánticos. La ventaja: la comunicación es segura mientras al menos uno de los dos métodos lo sea. La implementación técnica sigue la especificación ETSI TS 103 744 («Cat-then-KDF»).

Segundo, la criptoagilidad: los sistemas deben diseñarse para permitir el cambio de algoritmo sin necesidad de un rediseño completo. Esto suena obvio, pero no lo es. Muchos sistemas actuales tienen algoritmos criptográficos tan integrados en su arquitectura que un cambio equivale a una reconstrucción total. Por eso, el BSI recomienda que en cada nuevo sistema o actualización, la criptoagilidad se establezca como principio de diseño, un requisito que el Cyber Resilience Act hará obligatorio a partir de 2027.

En noviembre de 2024, el BSI, junto con 17 autoridades europeas asociadas, publicó una declaración instando a la industria, a los operadores de infraestructuras críticas y a la administración pública a comenzar activamente la transición a PQC. Para los casos de uso más sensibles, el BSI recomienda completar la migración antes de finales de 2030. El NIST fija el objetivo para una implementación generalizada en 2035.

La ventaja investigadora de Alemania: CISPA, HGI, Fraunhofer

En investigación sobre PQC, Alemania está entre los líderes mundiales. Fraunhofer AISEC dirige un centro de competencia en criptografía poscuántica con unos 100 expertos en PQC procedentes de agencias, empresas, universidades e institutos de investigación. En la conferencia PQC Update 2024 celebrada en mayo, Fraunhofer formuló el mensaje central: «Migra ahora para estar seguro más tarde». El instituto trabaja en implementaciones concretas: desde el enfoque Impeccable-Keccak para proteger SPHINCS+, hasta el proyecto KBLS (bibliotecas criptográficas poscuánticas duraderas) y el proyecto Aquorypt para PQC en sistemas con recursos limitados como tarjetas inteligentes y controles industriales.

El Instituto Horst Görtz (HGI) de la Universidad Ruhr de Bochum participó directamente en el desarrollo de los algoritmos que hoy forman parte de los estándares del NIST. CRYSTALS-Kyber y CRYSTALS-Dilithium, base de ML-KEM y ML-DSA, fueron desarrollados con una participación decisiva de investigadores del entorno del HGI. CISPA en Saarbrücken, número uno mundial en seguridad informática, trabaja en la próxima generación de protocolos seguros frente a cuánticos. Y el SFB CROSSING de la Universidad Técnica de Darmstadt investiga desde 2014 soluciones criptográficas para la era poscuántica.

Alemania, por tanto, tiene la competencia investigadora. El problema está en la transferencia.

Las Fuerzas Armadas han protegido su red de fibra óptica de 13.000 kilómetros con algoritmos seguros frente a cuánticos, uno de los pocos despliegues concretos de PQC en el mundo. Ninguna gran empresa tecnológica alemana tiene algo comparable en producción.

DGAP Policy Brief 2024

Sector público adelantado, sector privado rezagado

La Sociedad Alemana para la Política Exterior (DGAP) publicó en 2024 un análisis riguroso. El diagnóstico: el sector público alemán está a la par con las naciones líderes en PQC. El sector privado queda claramente rezagado respecto a las empresas estadounidenses.

Las Fuerzas Armadas han protegido su red de fibra óptica de 13.000 kilómetros con algoritmos seguros frente a cuánticos: un despliegue concreto que convierte a Alemania en un líder global en implementación estatal de PQC. El BSI ha desarrollado como primera autoridad europea directrices amplias sobre PQC. Y la estrecha coordinación con los estándares del NIST garantiza la interoperabilidad en la OTAN y la UE.

El sector privado, en cambio: SAP ha realizado pruebas de concepto, pero aún no ha implementado PQC en sistemas productivos. Siemens confirma actividades en el área de PQC sin revelar detalles de implementación. Deutsche Telekom trabaja en proyectos de investigación para redes seguras frente a cuánticos (DemoQuanDT, QSNP, EuroQCI), pero no hay evidencia de despliegue comercial. La conclusión de DGAP es clara: ninguna gran empresa tecnológica alemana ha implementado PQC en producción, mientras que Amazon (AWS), IBM y Apple en EE. UU. ya están implementando activamente.

Particularmente crítico: los proveedores de correo electrónico alemanes no ofrecen soluciones seguras frente a cuánticos. El software de acceso remoto (la peor categoría según DGAP) no tiene ni un solo proveedor con anuncios de PQC. E incluso BWMessenger y BundesMessenger, los servicios oficiales de mensajería de las Fuerzas Armadas y la administración federal, aún carecen de protección cuántica.

CRA y NIS2: la regulación como motor de migración

El Cyber Resilience Act (en vigor desde diciembre de 2024) hará obligatoria de facto la PQC a partir de 2027. Los productos deben diseñarse con criptoagilidad y permitir actualizaciones de firmware firmadas con algoritmos seguros frente a cuánticos. El CRA exige cifrado «de última generación» (State-of-the-Art), y en el momento en que existen estándares del NIST y el BSI los recomienda, la PQC forma parte de este estándar.

La Comisión Europea publicó en abril de 2024 una hoja de ruta de implementación coordinada (C(2024) 2393) con hitos para 2026, 2030 y 2035. Una hoja de ruta final coordinada de la UE estaba prevista para junio de 2025. NIS2 intensifica aún más la presión: el requisito de medidas de seguridad «de última generación» también se extiende a la criptografía utilizada. Para las más de 30.000 empresas reguladas por NIS2 en Alemania, la preparación para PQC se convierte así en un requisito de cumplimiento, no en una medida voluntaria.

La cascada regulatoria es clara: quien venda productos en el mercado de la UE a partir de 2027, deberá soportar criptoagilidad y actualizaciones de firmware seguras frente a cuánticos (CRA). Quien esté sujeto a NIS2, deberá emplear criptografía de última generación, lo que incluye PQC una vez que los estándares estén establecidos. El BSI ya ha incluido estos estándares en sus recomendaciones. Para los CISO y CTO, esto significa que la migración a PQC no es algo para más adelante. Es la siguiente carrera regulatoria de cumplimiento tras la implementación de NIS2.

Cuánto cuesta la migración y cuánto tiempo lleva

El gobierno estadounidense estima que el costo de la migración a PQC solo para agencias federales será de aproximadamente 7.100 millones de dólares entre 2025 y 2035. Las estimaciones varían mucho entre empresas: las pequeñas necesitan entre 5 y 7 años, las medianas entre 8 y 12 años, y las grandes entre 12 y 15 años o más.

Los costos surgen en cuatro fases. Primero: el inventario criptográfico, un levantamiento completo de todos los métodos de cifrado utilizados. Este es el paso más laborioso, ya que muchas organizaciones no saben dónde se utiliza la criptografía. Segundo: actualizaciones de software y nuevas bibliotecas. Tercero: reemplazo de hardware para sistemas que no pueden soportar PQC mediante actualización. Cuarto: el esfuerzo de prueba para asegurar que los métodos híbridos y nuevos funcionen correctamente en todos los sistemas.

Quien quiera migrar antes de 2030 (recomendación del BSI para los sistemas más sensibles), debe empezar ahora. Solo el inventario criptográfico puede tardar entre seis y doce meses en una gran empresa. Después comienza la migración propiamente dicha, que requiere tiempo porque debe probarse y validarse en cada sistema.

Alemania vs. EE. UU. vs. China: tres estrategias

Las tres naciones líderes en PQC siguen estrategias diferentes. EE. UU. apuesta por el sector privado como motor: Amazon, IBM y Apple ya están implementando PQC activamente. La Memoranda de Seguridad Nacional NSM-10 exige la migración para los sistemas de seguridad nacional. En Alemania, el sector público lidera: BSI, Fuerzas Armadas y agencias son pioneros, mientras que el sector privado va rezagado.

China desarrolla sus propios estándares de PQC independientes del NIST. Esto significa divergencia algorítmica: los sistemas chinos y occidentales serán incompatibles en la era poscuántica. China también se considera la principal amenaza HNDL para los datos a largo plazo occidentales e invierte significativamente más en investigación cuántica que la mayoría de los estados occidentales individualmente.

Para Alemania, esto significa: la competencia investigadora está presente (el HGI co-desarrolló CRYSTALS-Kyber). La infraestructura administrativa también está (estándares del BSI, despliegue de las Fuerzas Armadas). Lo que falta es la transferencia al sector privado. Las 1.700 campeonas ocultas de la industria media alemana aún no tienen este problema en su radar.

Qué deben hacer ahora las empresas

1. Crear un inventario criptográfico. Cada empresa debe saber dónde se utiliza cada cifrado. Esto incluye conexiones TLS, túneles VPN, cifrado de bases de datos, firmas de correo electrónico, firma de código y todos los componentes criptográficos integrados en productos.

2. Clasificar los datos según su necesidad de protección. No todos los datos tienen el mismo riesgo HNDL. Patentes, datos de salud y contratos a largo plazo tienen un horizonte de protección de 10 a 30 años y requieren migración inmediata. Los correos electrónicos de marketing no.

3. Implementar cifrado híbrido. El enfoque híbrido recomendado por el BSI (clásico más PQC) es la vía de migración más segura. Protege inmediatamente contra ataques HNDL y sigue siendo seguro incluso si un algoritmo PQC revela vulnerabilidades.

4. Establecer la criptoagilidad como principio de diseño. Cada nuevo sistema y cada actualización debe permitir el cambio de algoritmo sin necesidad de rediseño. El CRA hará esto obligatorio a partir de 2027.

5. Aprovechar la experiencia de Fraunhofer. El centro de competencia PQC de Fraunhofer AISEC ofrece asesoramiento, proyectos de prueba de concepto y apoyo concreto en implementación. Para la industria media, este es el punto de entrada más pragmático.

Preguntas frecuentes

¿Qué es la criptografía poscuántica?

Métodos de cifrado que no pueden ser descifrados por ordenadores cuánticos. La cifrado estándar actual (RSA, Diffie-Hellman, ECDSA) es teóricamente vulnerable a los ordenadores cuánticos. Los nuevos estándares del NIST ML-KEM, ML-DSA y SLH-DSA se basan en problemas matemáticos que ni siquiera los ordenadores cuánticos pueden resolver eficientemente.

¿Cuándo podrán los ordenadores cuánticos romper el cifrado actual?

Estudios encargados por el BSI estiman posiblemente 16 años, quizás antes. IBM planea un sistema con aproximadamente 200 qubits lógicos para 2028/2029, pero para romper RSA-2048 se necesitan millones de qubits lógicos. El NIST recomienda migrar los sistemas críticos antes de 2030 y una implementación generalizada antes de 2035.

¿Qué significa «Harvest Now, Decrypt Later»?

Actores estatales están recolectando hoy datos cifrados y los almacenan para descifrarlos con futuros ordenadores cuánticos. Esto afecta especialmente a datos con confidencialidad a largo plazo como patentes, datos de salud o secretos de Estado. Todas las principales agencias de seguridad occidentales confirman esta amenaza.

¿Qué recomienda el BSI para la migración a PQC?

Un enfoque híbrido (clásico más seguro frente a cuánticos) como solución de transición, la criptoagilidad como principio de diseño y la migración de los sistemas más sensibles antes de finales de 2030. En noviembre de 2024, el BSI y 17 autoridades europeas asociadas instaron conjuntamente a comenzar la migración activa.

¿Qué tan avanzado está Alemania en la implementación de PQC?

El sector público es pionero: las Fuerzas Armadas han protegido 13.000 kilómetros de fibra óptica con seguridad cuántica. El sector privado va rezagado: ninguna gran empresa tecnológica alemana ha implementado PQC en producción. La competencia investigadora (CISPA, HGI, Fraunhofer) es excelente, pero falta la transferencia.

Leer más

Fuente de imagen: Pexels / Markus Spiske (px:1089438)

Imprimir artículo
Alec Chizhik

Sobre el autor: Alec Chizhik

Más artículos de

También disponible en

FrançaisEnglishDeutsch

Leer el artículo

Una revista de Evernine Media GmbH