Por Canuto Un nuevo análisis técnico sostiene que la computación cuántica sí obliga a reemplazar varias herramientas de criptografía asimétrica, pero no amenaza de forma práctica a AES-128 ni a SHA-256. La conclusión, respaldada por NIST, BSI y especialistas del área, apunta a que la transición poscuántica debe enfocarse en donde realmente está el riesgo.
***
- El artículo sostiene que AES-128 y SHA-256 siguen siendo seguros frente a ataques cuánticos realistas.
- La aceleración teórica de Grover no se traduce en una ruptura práctica, porque el ataque no paraleliza bien y su costo se dispara.
- NIST y BSI mantienen permitidos los tamaños actuales de clave simétrica y centran la migración poscuántica en la criptografía asimétrica.
La posibilidad de que las computadoras cuánticas alcancen relevancia criptográfica ha encendido las alarmas en la industria tecnológica. Sin embargo, no todas las herramientas de seguridad digital enfrentan el mismo nivel de riesgo. Mientras la criptografía asimétrica sí aparece bajo presión, un nuevo análisis argumenta que las claves simétricas de 128 bits no necesitan cambios como parte de la transición poscuántica.
La idea central es directa: AES-128 sigue siendo seguro frente a computadoras cuánticas, al igual que SHA-256. Esto contradice una creencia muy difundida según la cual la seguridad de las claves simétricas “se reduce a la mitad” en presencia de ataques cuánticos, lo que obligaría a pasar a claves de 256 bits para conservar 128 bits efectivos de seguridad.
El autor del análisis, Filippo Valsorda, sostiene en Quantum Computers Are Not a Threat to 128-bit Symmetric Keys que esa interpretación es incorrecta tanto en lo técnico como en lo regulatorio. También advierte que insistir en un cambio innecesario podría desviar atención y recursos del trabajo realmente urgente, que es reemplazar primitivas asimétricas vulnerables al algoritmo de Shor, como ECDH, RSA, ECDSA y EdDSA.
Para lectores menos familiarizados con el tema, la diferencia importa mucho. La criptografía asimétrica se usa en intercambios de claves y firmas digitales, pilares de TLS, PKI y buena parte de la infraestructura de Internet. La criptografía simétrica, en cambio, protege datos ya cifrados mediante algoritmos como AES, y opera bajo un modelo distinto frente a los ataques cuánticos conocidos.
Por qué Grover no equivale a romper AES-128
El origen del malentendido está en el algoritmo de Grover. Sobre el papel, Grover permite buscar una respuesta correcta en un espacio no estructurado de tamaño N usando aproximadamente π / 4 × √N invocaciones. Esto suele resumirse de forma simplista como que una clave AES-128 podría encontrarse en 2^64 pasos.
El problema es que esa lectura ignora las restricciones prácticas del ataque. El oráculo de la función debe estar implementado dentro del circuito cuántico, las invocaciones ocurren en serie y, además, no existe una mejor forma de paralelizar el proceso que dividir el espacio de búsqueda. Esa observación fue planteada por Zalka en 1997.
La diferencia con una fuerza bruta clásica es enorme. Un ataque clásico sobre una clave de 64 bits puede repartirse con gran eficiencia entre múltiples máquinas. Si cada intento tarda 5 ns, una sola CPU tardaría cerca de 3.000 años, pero con 2^16 CPU el trabajo baja a poco más de 16 días, sin aumentar el trabajo total agregado.
Con Grover no ocurre lo mismo. Si se intenta paralelizar un ataque sobre AES-128 usando 2^16 computadoras cuánticas, cada instancia no baja a 2^48 de trabajo como pasaría en el mundo clásico, sino a 2^56. El trabajo total del sistema sube de 2^64 a 2^72, precisamente porque al dividir la tarea se diluye la aceleración cuadrática que vuelve atractivo al algoritmo en teoría.
Ese punto cambia por completo la discusión. En seguridad práctica, no basta con que un ataque exista en abstracto. Debe poder ejecutarse dentro de límites realistas de tiempo, energía, estabilidad del sistema y costo de hardware. Y allí es donde el escenario para romper AES-128 se vuelve extraordinariamente adverso.
Las cifras del ataque cuántico que se necesitaría
Para aterrizar el debate, el análisis propone una hipótesis deliberadamente conservadora. Supone una arquitectura cuántica rápida, como la de qubits superconductores, con puertas lógicas de 1 µs, y además una operación continua durante 10 años, sin cortes de energía ni pérdidas de fidelidad. Eso daría una profundidad máxima de alrededor de 2^48 puertas en serie.
Luego incorpora una estimación reciente del costo de implementar AES-128 dentro de un circuito cuántico. Liao y Luo, en 2025, ofrecieron un oráculo de Grover altamente optimizado para AES-128 con profundidad de 232 puertas T y una anchura de 724, entendida en términos generales como el número de qubits lógicos operando en paralelo.
Con esos datos, el cálculo arroja que sería necesario un factor de paralelización cercano a 2^47 para que cada instancia del ataque permaneciera dentro de la profundidad máxima de 2^48. Traducido a infraestructura, eso implica unos 140 billones de circuitos cuánticos de 724 qubits lógicos cada uno, todos operando en paralelo durante 10 años.
El costo también puede expresarse como profundidad por anchura, una métrica similar a pensar en ciclos por núcleos en computación clásica. El resultado aproximado es 2^104,5. El texto subraya que, a diferencia de Shor o de la corrección de errores cuánticos, aquí hay poco margen restante para reducir drásticamente el costo, porque solo unos pocos términos de la fórmula podrían optimizarse más.
Las mejoras acumuladas en las estimaciones tampoco alteran la conclusión. Según el análisis, Liao y Luo recortaron 7,5 bits frente a Grassl y colaboradores en 2015 y 1,5 bits frente a una estimación previa específica de Grover atribuida a Samuel Jaques y coautores en 2019. Aun así, el ataque seguiría estando fuera de escala práctica.
La comparación con Shor muestra dónde está el verdadero problema
Una de las secciones más contundentes del análisis compara este escenario con ataques cuánticos contra curvas elípticas de 256 bits. Allí la situación es muy distinta, porque esas primitivas sí son vulnerables al algoritmo de Shor, el principal motor detrás de la urgencia poscuántica actual.
El texto cita a Babbush y colaboradores en 2026, quienes afirman una ejecución de Shor en 70M, equivalente a cerca de 2^26 puertas. En una arquitectura con tiempo de puerta de 10 µs, eso tomaría minutos. Frente a ese orden de magnitud, el costo de romper AES-128 con Grover queda completamente desalineado.
La comparación cuantitativa es radical. Dividir 2^104,5 entre 2^26 produce 2^78,5. En otras palabras, romper AES-128 con Grover sería 430.000.000.000.000.000.000.000 veces más caro que romper curvas elípticas de 256 bits con Shor, según los números presentados.
Ese contraste ayuda a entender por qué la migración poscuántica se concentra hoy en intercambio de claves y firmas digitales. No se trata de minimizar el avance de la computación cuántica, sino de asignar prioridades. Si una parte de la infraestructura es vulnerable en plazos plausibles y otra no, mezclar ambas discusiones puede complicar la respuesta de la industria.
NIST, BSI y especialistas respaldan la misma conclusión
La postura del análisis no aparece en aislamiento. El Instituto Nacional de Estándares y Tecnología de Estados Unidos considera a AES-128 como el punto de referencia para la Categoría 1 de seguridad poscuántica. Según la explicación recogida en el texto, NIST reconoce explícitamente que un análisis ingenuo de Grover sobreestima la ventaja real del atacante debido a la dificultad de mantener computación serial de larga duración.
El mismo organismo reiteró en su borrador NIST IR 8547, Transition to Post-Quantum Cryptography Standards, que los algoritmos vulnerables a ataques cuánticos deberán dejarse atrás a partir de 2035. No obstante, también indicó que todos los tamaños de clave de AES siguen permitidos. En su visión, las primitivas simétricas aprobadas por NIST con al menos 128 bits de seguridad clásica cumplen como mínimo el umbral de la Categoría 1.
El análisis también recuerda una respuesta directa de las preguntas frecuentes de NIST sobre si conviene duplicar hoy la longitud de clave de AES para protegerse de la computación cuántica. La respuesta fue clara: es bastante probable que el algoritmo de Grover ofrezca poca o ninguna ventaja al atacar AES, y que AES-128 permanezca seguro durante décadas. Por eso, las aplicaciones actuales pueden seguir usando AES de 128, 192 o 256 bits.
La Oficina Federal Alemana para la Seguridad de la Información, o BSI, llega a una conclusión similar. En su documento TR-02102-1, actualizado en materia de criptografía poscuántica, recomienda AES-128, AES-192 y AES-256 para nuevos sistemas criptográficos. Al mismo tiempo, sí recomienda abandonar mecanismos clásicos de acuerdo de claves antes que NIST, concretamente hasta finales de 2031.
Además, Samuel Jaques, profesor asistente en la Universidad de Waterloo y especialista en criptografía y computación cuántica, había llegado a conclusiones equivalentes en una presentación de 2024. Jaques resaltó lo difícil que es construir incluso un solo qubit lógico, mencionó la decoherencia y añadió que la métrica adecuada para optimizar los circuitos de Grover es profundidad² por anchura.
También señaló que cada puerta T lógica en una arquitectura de código de superficie exige 2^16 operaciones físicas. Eso sugiere que incluso las cuentas más conservadoras todavía omiten parte del costo real de llevar un ataque de este tipo al terreno práctico. En otras palabras, la barrera para Grover no parece estar siendo subestimada.
Por qué cambiar AES ahora podría ser un error estratégico
El artículo va más allá del debate académico y entra en la gestión del riesgo tecnológico. Su argumento es que la transición poscuántica ya exige enormes recursos de coordinación, desarrollo e interoperabilidad. Si se mezclan cambios necesarios con otros innecesarios, se generará agitación en sistemas que podrían permanecer intactos sin sacrificar seguridad real.
En ecosistemas abiertos como TLS, donde intervienen múltiples bibliotecas, lenguajes y perfiles de implementación, ponerse de acuerdo sobre el objetivo es crucial. La fuente sostiene que es más fácil coordinar una migración cuando el blanco técnico está bien definido. En cambio, sumar metas confusas o mal justificadas aumenta la complejidad y favorece decisiones fragmentadas.
Esto no significa que las claves de 256 bits carezcan siempre de sentido. El texto aclara que en contextos donde importan colisiones y límites de cumpleaños, como en funciones hash, sí se necesita una salida de 256 bits para alcanzar 128 bits de seguridad frente a colisiones. También menciona que ciertos ataques multiobjetivo pueden requerir más margen según el diseño de nonce y protocolo.
Pero esas consideraciones, explica el análisis, pertenecen al trabajo de ingeniería criptográfica a nivel de protocolo, no a decisiones generales de política o administración de sistemas. Como ejemplo, indica que TLS con AES-128 ya satisface el nivel de seguridad de 128 bits con amplios márgenes multiobjetivo gracias a su diseño de nonce.
La excepción regulatoria más visible es CNSA 2.0, que sí exige claves simétricas de 256 bits. Sin embargo, el análisis afirma que eso no responde a un ajuste motivado por computación cuántica, sino a una decisión de uniformar todo bajo un nivel de seguridad de 256 bits. En ese mismo esquema se exigen ML-KEM-1024 y ML-DSA-87, y la adopción de AES-256 en lugar de un inexistente AES-512 también implicaría reconocer que Grover no reduce a la mitad la seguridad de AES.
La conclusión es clara: el riesgo cuántico concreto y urgente está en la criptografía asimétrica hoy desplegada, no en AES-128 ni en SHA-256. Por eso, la recomendación práctica es enfocar la transición poscuántica donde el consenso técnico sí ve una amenaza real, evitando gastar tiempo en reemplazos que no aportan una mejora proporcional en seguridad.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Hardware
PrismML lanza Ternary Bonsai, modelos de IA de 1,58 bits con mayor precisión y menor memoria
Curiosidades
KindBio busca cultivar órganos en animales sin cerebro para enfrentar la escasez de trasplantes
Estados Unidos
Peptides reabren debate sobre FDA, Big Pharma y fármacos para perder peso
Asia