21 de abril de 2026 4 min lectura

La Resistencia Cuántica de las Claves Simétricas: Por qué AES-128 es Suficiente

Lecciones clave

→ No todas las amenazas cuánticas son iguales: distinguir entre la vulnerabilidad de la criptografía asimétrica (Shor) y la simétrica (Grover).
→ La paralelización no siempre es una solución mágica: comprender cómo la naturaleza secuencial de ciertos algoritmos cuánticos (Grover) limita su escalabilidad en ataques de fuerza bruta.
→ Confiar en los organismos de estandarización: NIST y BSI proporcionan guías claras basadas en análisis técnicos rigurosos para la transición post-cuántica.
→ Priorizar recursos: enfocar los esfuerzos de migración en los sistemas y algoritmos que presentan una vulnerabilidad real y demostrada.
→ Evitar el "security theater": no implementar cambios costosos y complejos sin una justificación técnica sólida, para evitar el churn innecesario y la fragmentación.
→ Considerar las limitaciones físicas de la computación cuántica: la profundidad de los circuitos y la coherencia de los qubits son factores críticos que limitan la viabilidad de ataques a gran escala.
→ Entender los fundamentos criptográficos: la seguridad de bits, los ataques de cumpleaños y el uso de nonces son conceptos clave para diseñar protocolos robustos, independientemente de la amenaza cuántica.

La emergencia de la computación cuántica ha generado una preocupación legítima sobre la seguridad de los sistemas criptográficos actuales. Mientras que algoritmos asimétricos como RSA y ECDSA son vulnerables al algoritmo de Shor, existe una confusión generalizada sobre el impacto en la criptografía simétrica, específicamente AES-128. La tesis central es que las claves simétricas de 128 bits, como las utilizadas en AES-128, permanecen seguras frente a los ataques de computadoras cuánticas, contrariamente a la idea errónea de que se requiere duplicar la longitud de la clave para mantener la seguridad.

Esta confusión surge de una interpretación incorrecta del algoritmo de Grover, que ofrece una aceleración cuadrática en la búsqueda de bases de datos no estructuradas. Sin embargo, la aplicación de Grover a la búsqueda de claves simétricas no se escala de manera eficiente en entornos paralelos, lo que es crucial para ataques de fuerza bruta. La necesidad de ejecutar las invocaciones del oráculo de Grover de forma secuencial y las limitaciones físicas de la profundidad de los circuitos cuánticos hacen que un ataque práctico sea inviable, incluso con computadoras cuánticas hipotéticas de alto rendimiento.

La relevancia de este análisis es crítica para la asignación de recursos en la transición a la criptografía post-cuántica. Desviar esfuerzos hacia la "actualización" innecesaria de claves simétricas distrae de la tarea urgente de reemplazar los algoritmos asimétricos verdaderamente vulnerables, introduciendo complejidad y costos sin un beneficio de seguridad real. Este artículo busca alinear la comprensión técnica con el consenso de los organismos de estandarización como NIST y BSI.

Arquitectura del Sistema

El análisis se centra en la interacción entre los algoritmos criptográficos simétricos existentes (AES-128, SHA-256) y el algoritmo de Grover en un contexto de computación cuántica. El algoritmo de Grover, en su forma ideal, permite buscar en un espacio de entrada de tamaño N en O(sqrt(N)) invocaciones de una función oráculo f. Para la criptografía simétrica, f sería una función que verifica si una clave candidata es correcta.

La implementación de este oráculo f dentro de un circuito cuántico es un componente clave. Para AES-128, esto implica un circuito cuántico con una profundidad (número de puertas secuenciales) y un ancho (número de qubits lógicos) específicos. Investigaciones como las de Liao y Luo (2025) han optimizado estos oráculos, estimando una profundidad de 232 T-gates y un ancho de 724 qubits lógicos para AES-128.

La limitación crítica reside en la paralelización del algoritmo de Grover. A diferencia de los ataques de fuerza bruta clásicos, que son "embarrassingly parallel" (la división del espacio de búsqueda no degrada la eficiencia), el algoritmo de Grover requiere que las invocaciones del oráculo se realicen secuencialmente para lograr su aceleración cuadrática completa. La paralelización de un ataque de Grover dividiendo el espacio de búsqueda entre múltiples computadoras cuánticas diluye la ventaja cuadrática, aumentando el trabajo total del sistema de O(sqrt(N)) a O(N/sqrt(P)), donde P es el número de instancias paralelas. Esto significa que el costo total del ataque aumenta con la paralelización, en contraste con los ataques clásicos donde el costo total se mantiene constante.

Además, la viabilidad de un ataque depende de la "profundidad máxima" (MAXDEPTH) que un circuito cuántico puede mantener operando de forma coherente y sin errores durante un período prolongado. Las estimaciones actuales de la velocidad de las puertas lógicas y la duración de la coherencia de los qubits demuestran que la profundidad requerida para un ataque de Grover a AES-128 (del orden de 2^64 operaciones secuenciales) excede con creces lo que es factible en décadas, incluso con arquitecturas cuánticas optimizadas.

Trade-offs

Ganancias

▲ Evitar la complejidad y el costo de una transición innecesaria de claves simétricas
▲ Focalizar recursos en la transición post-cuántica de criptografía asimétrica

Costes

△ Potencial percepción de riesgo si no se comprende la dinámica de Grover

Fundamentos Teóricos

La base teórica de este debate se asienta firmemente en los fundamentos de la computación cuántica y la criptografía. El algoritmo de Grover, propuesto por Lov Grover en 1996, es un algoritmo cuántico que resuelve el problema de búsqueda en una base de datos no estructurada más rápido que cualquier algoritmo clásico. Su aceleración cuadrática (de O(N) a O(sqrt(N))) es un pilar de la computación cuántica, junto con el algoritmo de Shor.

Sin embargo, la aplicabilidad práctica de Grover a la criptografía simétrica fue matizada por Zalka (1997), quien demostró que para obtener la aceleración cuadrática completa, todas las operaciones del algoritmo de Grover deben realizarse en serie. Esta restricción fundamental es lo que impide que la paralelización masiva de ataques de fuerza bruta clásicos se traduzca directamente en una aceleración equivalente en el dominio cuántico para Grover. La dilución de la ventaja cuadrática al paralelizar el espacio de búsqueda es un concepto clave que emerge de este trabajo.

La conexión con la academia también se extiende a la criptografía clásica, donde los conceptos de seguridad de bits y los ataques de cumpleaños (birthday attacks) son fundamentales. Estos últimos explican por qué, en ciertos contextos como las funciones hash, se requiere una longitud de salida de 256 bits para lograr 128 bits de seguridad contra colisiones, un principio distinto al impacto de Grover en la búsqueda de claves. La distinción entre estos diferentes tipos de ataques y sus implicaciones para la longitud de la clave es crucial para una comprensión precisa de la seguridad criptográfica.

Fuente original: https://words.filippo.io/128-bits/

compartir: X / Twitter LinkedIn WhatsApp

¿Te ha gustado este análisis? Recibe los 5 mejores de la semana →

Suscribirme al digest

Generación de Código Tipado con LLMs: Más Allá de la Inferencia Post-Hoc

La integración temprana de las restricciones de dominio (como los sistemas de tipos) en el proceso de entrenamiento de modelos generativos puede llevar a mejoras significativas en la eficiencia y la calidad de la salida, superando los enfoques de post-procesamiento.

LLM Inference ML Training

21 abr 2026

Cloudflare's Internal AI Engineering Stack: A Deep Dive into Agentic Development at Hyperscale

Priorizar un plano de control centralizado (ej. proxy Worker) para la gestión de IA desde el inicio, incluso si la conexión directa parece más simple, para habilitar futuras funcionalidades sin reconfiguración de clientes.

Distributed Tracing Kubernetes Performance Profiling

21 abr 2026

Cloudflare: Infraestructura para la Era de los Agentes Autónomos

Priorizar entornos de ejecución ligeros y de arranque rápido (isolates) para cargas de trabajo de agentes a escala masiva.

Kubernetes Distributed Tracing LLM Inference