¿Se romperán todas las contraseñas actuales cuando los computadores cuánticos sean prácticos?

No, esto es un concepto erróneo. Lo que los computadores cuánticos rompen directamente es la criptografía de clave pública como RSA y ECC - el impacto en el hashing de contraseñas (bcrypt, Argon2, etc.) es limitado. Aunque el algoritmo de Grover reduce el espacio de búsqueda de fuerza bruta a su raíz cuadrada, contraseñas aleatorias de 16+ caracteres hasheadas con Argon2id siguen siendo difíciles de romper incluso con computadores cuánticos en plazos prácticos. Sin embargo, si el proceso de contraseñas transmitidas vía TLS es interceptado, podrían potencialmente ser descifradas en el futuro.

¿Son las passkeys seguras contra computadores cuánticos?

Las passkeys actuales se basan en ECDSA (criptografía de curva elíptica) y teóricamente podrían ser rotas por el algoritmo de Shor. Sin embargo, la Alianza FIDO ya está considerando la migración a criptografía post-cuántica, y el protocolo FIDO2 subyacente a las passkeys está diseñado para permitir el reemplazo de algoritmos criptográficos. Antes de que los computadores cuánticos sean prácticos, se espera que los fundamentos criptográficos de las passkeys se actualicen a algoritmos post-cuánticos. Las passkeys tienen más probabilidades de transicionar suavemente a la era cuántica que las contraseñas.

¿Cómo puedo protegerme de los ataques "Harvest Now, Decrypt Later"?

A nivel individual, priorice el uso de servicios y aplicaciones que soporten criptografía post-cuántica. Signal ya ha implementado intercambio de claves post-cuántico (PQXDH), y Chrome soporta ML-KEM en TLS 1.3. Mantener su navegador y aplicaciones actualizados proporciona automáticamente estas protecciones. Para datos que necesitan mantener confidencialidad durante largos períodos (registros médicos, documentos legales, información financiera), también considere adoptar algoritmos post-cuánticos para cifrado en reposo.

Seguridad de contraseñas post-cuántica - qué cambiarán las computadoras cuánticas

Lectura de 14 min aprox.

La computación cuántica no romperá sus contraseñas - al menos no de la manera que la mayoría asume. La distinción crítica que gran parte de la cobertura mediática omite es esta: el algoritmo de Shor devasta la criptografía de clave pública (RSA, ECC, Diffie-Hellman), pero los algoritmos de hashing de contraseñas como bcrypt y Argon2 enfrentan solo una aceleración cuadrática del algoritmo de Grover, reduciendo un espacio de búsqueda de 128 bits a efectivamente 64 bits. La hoja de ruta cuántica de IBM apunta a 100.000 qubits para 2033, pero ejecutar el algoritmo de Grover contra un hash Argon2 correctamente salado requeriría millones de qubits lógicos con corrección de errores - muy lejos de cualquier línea temporal proyectada. Mientras tanto, NIST finalizó tres estándares de cifrado post-cuántico en 2024 (ML-KEM, ML-DSA, SLH-DSA) y recomienda completar la migración de algoritmos vulnerables para 2035. La amenaza real e inmediata es "Harvest Now, Decrypt Later" - adversarios recolectando datos cifrados hoy para descifrarlos cuando los computadores cuánticos maduren. Este artículo separa los hechos de la exageración, explica qué cambia realmente la computación cuántica para la seguridad de contraseñas y describe qué deben hacer individuos y organizaciones ahora.

Algoritmo de Shor vs Algoritmo de Grover - Mapeando el impacto con precisión

Para entender con precisión el impacto de la computación cuántica en la seguridad, debe distinguir claramente entre dos algoritmos cuánticos. El algoritmo de Shor puede resolver la factorización de enteros grandes y problemas de logaritmo discreto en tiempo polinomial. Esto rompe fundamentalmente el cifrado RSA (que depende de la dificultad de la factorización), la criptografía de curva elíptica (que depende del problema del logaritmo discreto) y el intercambio de claves Diffie-Hellman. Casi todas las comunicaciones cifradas actuales de internet (TLS/SSL), firmas digitales e infraestructura PKI se ven afectadas.

El algoritmo de Grover, por otro lado, proporciona una aceleración cuadrática para problemas de búsqueda no estructurada. Aplicado a ataques de fuerza bruta de contraseñas, reduce el costo computacional de buscar N candidatos de N a √N. Específicamente, para un hash con fortaleza de seguridad de 128 bits, el algoritmo de Grover efectivamente lo reduce a fortaleza de 64 bits. Aunque esto pueda sonar serio, 2^64 computaciones siguen siendo enormes en la práctica - una escala que requiere décadas incluso en computadores clásicos actuales. Más importante aún, las funciones de hashing de contraseñas como bcrypt y Argon2 están intencionalmente diseñadas con alto costo computacional, y este costo se aplica a cada iteración del algoritmo de Grover.

Impacto real en el hashing de contraseñas - Una evaluación sobria

Evaluemos sobriamente la amenaza de la computación cuántica al hashing de contraseñas. Considere una contraseña aleatoria de 16 caracteres hasheada con Argon2id (configuración recomendada por OWASP: 19 MiB de memoria, 2 iteraciones, paralelismo 1). La fuerza bruta en computadores clásicos requiere aproximadamente 2^95 computaciones. Incluso aplicando el algoritmo de Grover, se necesitan aproximadamente 2^47.5 operaciones cuánticas, con cada operación multiplicada por el costo computacional de Argon2 (incluyendo acceso a 19 MiB de memoria). Considerando las velocidades de operación actuales de los computadores cuánticos (operaciones de puerta en escalas de microsegundos), esta computación requeriría tiempo astronómico.

En otras palabras, los sistemas de hashing de contraseñas correctamente diseñados mantienen una resistencia considerable incluso contra computadores cuánticos. La contramedida es directa: asegure longitud suficiente de contraseña (16+ caracteres recomendados) y use funciones de hashing modernas como Argon2id con parámetros apropiados, y la seguridad del hash de contraseñas se mantendrá incluso en la era cuántica. Sin embargo, esto aplica solo al hashing de contraseñas - la criptografía de clave pública usada para cifrado de comunicaciones TLS y firmas digitales será completamente rota por el algoritmo de Shor, haciendo la migración allí urgente.

Estado actual de la estandarización de criptografía post-cuántica del NIST

NIST (Instituto Nacional de Estándares y Tecnología) inició el proceso de estandarización de criptografía post-cuántica en 2016 y finalizó los primeros tres estándares en agosto de 2024. ML-KEM (Mecanismo de Encapsulación de Claves Basado en Retículos Modulares, anteriormente CRYSTALS-Kyber) es un mecanismo de encapsulación de claves usado para intercambio de claves en handshakes TLS y protocolos similares. ML-DSA (Algoritmo de Firma Digital Basado en Retículos Modulares, anteriormente CRYSTALS-Dilithium) es un algoritmo de firma digital usado para firma de código y verificación de certificados. SLH-DSA (Algoritmo de Firma Digital Basado en Hash Sin Estado, anteriormente SPHINCS+) es un algoritmo de firma basado en hash posicionado como respaldo con una base matemática diferente a la criptografía de retículos.

Estos estándares ya están siendo adoptados. Google Chrome ha soportado ML-KEM en TLS 1.3 desde la versión 131 (noviembre 2024), y Signal Protocol integró PQXDH (Diffie-Hellman extendido post-cuántico) en septiembre de 2023. Para una comprensión más profunda de los fundamentos criptográficos, nuestro artículo sobre fundamentos de cifrado y la entrada del glosario sobre PKI proporcionan contexto esencial sobre por qué la infraestructura de clave pública es el objetivo principal.

"Harvest Now, Decrypt Later" - La amenaza que existe hoy

El aspecto más pasado por alto de las discusiones sobre criptografía post-cuántica es el ataque "Harvest Now, Decrypt Later" (HNDL). Los atacantes a nivel estatal están interceptando y almacenando volúmenes masivos de comunicaciones cifradas actuales. Aunque estos datos no pueden ser descifrados ahora, es una estrategia a largo plazo anticipando futuros computadores cuánticos que puedan descifrarlos. Comunicaciones diplomáticas, inteligencia militar, propiedad intelectual corporativa y registros médicos - datos que retienen valor durante largos períodos - son los objetivos principales.

El impacto de los ataques HNDL en la seguridad de contraseñas es indirecto pero significativo. Aunque los hashes de contraseñas en sí son resistentes a la cuántica, si el proceso de contraseñas transmitidas cifradas vía TLS es interceptado, las contraseñas en texto plano podrían potencialmente ser recuperadas en el futuro. Esto es particularmente riesgoso para usuarios que no cambian sus contraseñas durante períodos prolongados. Además, si los tokens de sesión o tokens de autenticación son interceptados y almacenados, podrían potencialmente ser descifrados en el futuro y usados para ataques de repetición.

Lo que los usuarios individuales deben hacer ahora

Las acciones que los usuarios individuales deben tomar ahora contra las amenazas de la computación cuántica son claras. Primero, asegure que sus contraseñas tengan al menos 16 caracteres. Incluso considerando la aceleración del algoritmo de Grover, contraseñas aleatorias de 16+ caracteres mantienen un margen de seguridad suficiente contra computadores cuánticos. Usar un gestor de contraseñas facilita la gestión de contraseñas largas y complejas. Segundo, persiga activamente la migración a passkeys. Las passkeys son un método de autenticación basado en FIDO2/WebAuthn que elimina las contraseñas en sí, resolviendo fundamentalmente todos los riesgos relacionados con contraseñas incluyendo phishing, fuerza bruta y ataques cuánticos.

Tercero, mantenga su software y navegadores actualizados. A medida que la criptografía post-cuántica se integra en TLS 1.3 y otros protocolos, mantenerse actualizado asegura que se beneficie de estas protecciones automáticamente. Nuestra guía de passkeys y el artículo sobre desafíos de migración a passkeys detallan los pasos prácticos para la transición desde contraseñas. Para quienes quieran entender el panorama más amplio de autenticación, la entrada del glosario sobre passkeys proporciona una visión general concisa.

Acciones que las organizaciones deben tomar y cronograma

La prioridad más importante para las organizaciones es asegurar la agilidad criptográfica (Crypto Agility) - la capacidad de cambiar rápidamente los algoritmos criptográficos en el diseño del sistema. Los sistemas con algoritmos criptográficos codificados requerirán tiempo y costo enormes para migrar a criptografía post-cuántica. Primero, cree un inventario de todos los algoritmos criptográficos usados dentro de su organización. Identifique cada ubicación donde se usa criptografía: certificados TLS, VPNs, cifrado de bases de datos, firma de código, autenticación API y más. Luego identifique algoritmos vulnerables que NIST recomienda migrar antes de 2035, como RSA-2048 y ECC P-256, y desarrolle un plan de migración.

Adoptar arquitectura zero trust también es una preparación efectiva para la era post-cuántica. En zero trust, la autenticación y autorización se realizan para cada solicitud individual en lugar de en el perímetro de red, por lo que incluso si alguna criptografía es rota, el daño puede ser localizado. Además, el despliegue organizacional de passkeys y llaves de seguridad de hardware es la estrategia a largo plazo más efectiva para reducir la dependencia de contraseñas y eliminar por completo el riesgo de ataques de contraseñas por computadores cuánticos.

Para quienes buscan profundizar su comprensión de los fundamentos criptográficos y estrategias resistentes a la cuántica, libros de referencia de criptografía (Amazon) proporcionan cobertura completa desde algoritmos clásicos hasta post-cuánticos.

Preguntas frecuentes

¿Se romperán todas las contraseñas actuales cuando los computadores cuánticos sean prácticos?: No, esto es un concepto erróneo. Lo que los computadores cuánticos rompen directamente es la criptografía de clave pública como RSA y ECC - el impacto en el hashing de contraseñas (bcrypt, Argon2, etc.) es limitado. Aunque el algoritmo de Grover reduce el espacio de búsqueda de fuerza bruta a su raíz cuadrada, contraseñas aleatorias de 16+ caracteres hasheadas con Argon2id siguen siendo difíciles de romper incluso con computadores cuánticos en plazos prácticos. Sin embargo, si el proceso de contraseñas transmitidas vía TLS es interceptado, podrían potencialmente ser descifradas en el futuro.
¿Son las passkeys seguras contra computadores cuánticos?: Las passkeys actuales se basan en ECDSA (criptografía de curva elíptica) y teóricamente podrían ser rotas por el algoritmo de Shor. Sin embargo, la Alianza FIDO ya está considerando la migración a criptografía post-cuántica, y el protocolo FIDO2 subyacente a las passkeys está diseñado para permitir el reemplazo de algoritmos criptográficos. Antes de que los computadores cuánticos sean prácticos, se espera que los fundamentos criptográficos de las passkeys se actualicen a algoritmos post-cuánticos. Las passkeys tienen más probabilidades de transicionar suavemente a la era cuántica que las contraseñas.
¿Cómo puedo protegerme de los ataques "Harvest Now, Decrypt Later"?: A nivel individual, priorice el uso de servicios y aplicaciones que soporten criptografía post-cuántica. Signal ya ha implementado intercambio de claves post-cuántico (PQXDH), y Chrome soporta ML-KEM en TLS 1.3. Mantener su navegador y aplicaciones actualizados proporciona automáticamente estas protecciones. Para datos que necesitan mantener confidencialidad durante largos períodos (registros médicos, documentos legales, información financiera), también considere adoptar algoritmos post-cuánticos para cifrado en reposo.