Todos los artículos de SSL SSL y certificados

TLS post-cuántico: qué significa el HTTPS resistente a la computación cuántica en 2026

El TLS post-cuántico es HTTPS que se mantiene seguro incluso frente a un atacante que disponga de un gran ordenador cuántico. Reemplaza las matemáticas que sustentan el intercambio de claves actual —que un ordenador cuántico podría romper— por algoritmos diseñados para resistir los ataques cuánticos.

Esto no es un proyecto de investigación lejano. A mediados de 2026, más del 65% del tráfico web humano que pasa por Cloudflare ya está cifrado de forma post-cuántica, y Chrome, Edge y Firefox negocian por defecto un intercambio de claves resistente a la computación cuántica siempre que el servidor lo admita. Si has visitado Google recientemente desde un navegador moderno, es casi seguro que has usado TLS post-cuántico sin darte cuenta.

Por qué el TLS clásico está en riesgo

El TLS actual se apoya en dos tipos de matemáticas de clave pública:

  • Intercambio de claves (ECDHE, usando X25519 o P-256): acuerda un secreto compartido a través de un canal abierto.
  • Firmas (RSA, ECDSA): demuestra que el certificado es auténtico.

Ambos dependen de problemas que resultan difíciles para los ordenadores clásicos: factorizar números grandes (RSA) y el logaritmo discreto en curvas elípticas (ECC). El algoritmo de Shor, ejecutándose en un ordenador cuántico suficientemente grande, resuelve ambos de forma eficiente. Todavía no existe un «ordenador cuántico criptográficamente relevante» (CRQC), pero el campo avanza tan rápido que la planificación ha pasado de «si ocurre» a «cuándo ocurra».

Criptografía de clave pública → explica las matemáticas subyacentes que amenazan los ordenadores cuánticos.

«Cosechar ahora, descifrar después»: por qué esto es urgente hoy

Podrías pensar que no hay prisa: ningún ordenador cuántico puede romper el TLS hoy, así que ¿para qué cambiar ahora?

La amenaza es cosechar ahora, descifrar después (harvest now, decrypt later, HNDL). Un adversario graba tu tráfico cifrado hoy y lo almacena. Cuando un ordenador cuántico esté disponible —posiblemente en la década de 2030—, descifra retroactivamente el tráfico almacenado.

Esto hace que el plazo límite para el intercambio de claves sea mucho más temprano que la llegada de los ordenadores cuánticos. Cualquier dato con una vida útil de confidencialidad larga —historiales médicos, datos financieros, secretos gubernamentales, código fuente, credenciales— necesita cifrado resistente a la computación cuántica ahora, porque la grabación ya está ocurriendo.

El intercambio de claves es urgente. Las firmas, menos. No puedes falsificar retroactivamente una firma sobre tráfico que ya ocurrió: una firma solo necesita ser resistente a la computación cuántica antes de que existan los ordenadores cuánticos, no antes de eso. Por eso la industria desplegó primero el intercambio de claves post-cuántico.

Los estándares: ML-KEM y ML-DSA

En agosto de 2024, el NIST publicó los primeros estándares post-cuánticos finalizados:

EstándarNombreFunciónReemplaza a
FIPS 203ML-KEM (antes Kyber)Encapsulado de claves (intercambio de claves)Intercambio de claves ECDHE / RSA
FIPS 204ML-DSA (antes Dilithium)Firmas digitalesFirmas RSA / ECDSA
FIPS 205SLH-DSA (SPHINCS+)Firmas basadas en hashRespaldo de firma conservador

ML-KEM (Module-Lattice Key Encapsulation Mechanism, mecanismo de encapsulado de claves basado en retículos modulares) es el que ya está desplegado en TLS. Viene en tres tamaños: ML-KEM-512, ML-KEM-768 y ML-KEM-1024. ML-KEM-768 es el punto óptimo que se usa en la web.

Intercambio de claves híbrido: X25519MLKEM768

Los navegadores no abandonan la criptografía clásica para pasar a una solución puramente post-cuántica de un día para otro. Sería temerario: ML-KEM es nuevo, y un fallo podría romperlo todo. En su lugar, TLS 1.3 utiliza un intercambio de claves híbrido que combina un algoritmo clásico y uno post-cuántico.

El grupo con nombre que verás en 2026 es X25519MLKEM768:

X25519MLKEM768 = X25519 (ECDHE clásico)  +  ML-KEM-768 (post-cuántico)

Los dos secretos compartidos se concatenan (32 bytes de X25519 + 32 bytes de ML-KEM = un secreto combinado de 64 bytes) y se introducen en el calendario de claves de TLS.

La garantía de seguridad es «seguro si cualquiera de los dos aguanta». Un atacante tiene que romper ambos, X25519 y ML-KEM-768, para recuperar la clave de sesión. Así que:

  • Si resulta que ML-KEM-768 tiene un fallo → X25519 sigue protegiéndote (frente a atacantes clásicos).
  • Si un ordenador cuántico rompe X25519 → ML-KEM-768 sigue protegiéndote.

Este diseño de doble seguridad es la razón por la que el modo híbrido es el predeterminado en todas partes, y no el modo puramente post-cuántico.

Dónde encaja en el handshake

El intercambio de claves híbrido utiliza el mismo handshake de TLS 1.3 descrito en Qué es TLS 1.3 →. La única diferencia es el key_share: el ClientHello transporta un key share X25519MLKEM768 en lugar de uno X25519 sencillo. Las claves de ML-KEM son más grandes (~1,2 KB frente a 32 bytes), así que el ClientHello crece alrededor de un kilobyte —normalmente algo insignificante, aunque en ocasiones puede desbordar los límites de los paquetes en redes restringidas.

También sigue proporcionándote secreto hacia adelante →: un par de claves nuevo por conexión, en su edición post-cuántica.

Qué ya está desplegado en 2026

ComponenteEstado post-cuántico (mediados de 2026)
Chrome / EdgeX25519MLKEM768 negociado por defecto
FirefoxX25519MLKEM768 admitido y habilitado
CloudflareMás del 65% del tráfico humano cifrado de forma PQ; intercambio de claves resuelto
GoogleSirve intercambio de claves post-cuántico
AWSML-KEM en KMS, ACM y Secrets Manager; retira el Kyber heredado en 2026
OpenSSL 3.5+Soporte nativo de ML-KEM y X25519MLKEM768
Java (SunJSSE)X25519MLKEM768 habilitado por defecto

La pieza que aún no está resuelta a gran escala son los certificados post-cuánticos: firmar certificados con ML-DSA en lugar de RSA/ECDSA. Las firmas y claves públicas de ML-DSA son mucho más grandes (kilobytes frente a ~64 bytes), lo que infla el handshake y tensiona los límites de tamaño de la cadena de certificados. Cloudflare planea usar ML-DSA en las conexiones de origen para mediados de 2026 y está explorando los Merkle Tree Certificates (certificados de árbol de Merkle) para mantener el tamaño manejable, con el objetivo de lograr un escenario plenamente post-cuántico (incluida la autenticación) para 2029.

Cómo comprobar si estás usando TLS post-cuántico

En el navegador

Abre cualquier sitio importante en Chrome → DevTools → pestaña Security → fíjate en los detalles de la conexión. Una conexión post-cuántica muestra un intercambio de claves como X25519MLKEM768 (o X25519Kyber768 en compilaciones más antiguas).

Con OpenSSL 3.5+

openssl s_client -connect cloudflare.com:443 -groups X25519MLKEM768 2>/dev/null   | grep -i "Negotiated TLS1.3 group"
# Esperado: Negotiated TLS1.3 group: X25519MLKEM768

Si obtienes un error o un grupo distinto, o bien tu OpenSSL es anterior a la versión 3.5, o bien el servidor todavía no ofrece intercambio de claves post-cuántico.

Comprueba tu versión de OpenSSL

openssl version
# Necesitas: OpenSSL 3.5+ para soporte nativo de X25519MLKEM768

Cómo habilitarlo en tu servidor

Para la mayoría de los sitios, la respuesta es actualizar y no deshabilitarlo: el intercambio de claves híbrido post-cuántico se habilita automáticamente en cuanto tu pila lo admite.

Nginx / Apache

El intercambio de claves post-cuántico reside en tu biblioteca de TLS, no en la configuración del servidor web. Compila o ejecuta contra OpenSSL 3.5+ (o BoringSSL con ML-KEM). Una vez enlazado, X25519MLKEM768 se ofrece automáticamente junto a X25519, sin necesidad de ninguna directiva nueva. No fijes ssl_ecdh_curve a una única curva clásica, o excluirás el grupo híbrido.

Detrás de una CDN

La vía más sencilla: pon tu sitio detrás de Cloudflare (u otra CDN compatible con PQC). La conexión del navegador al borde de la red se vuelve post-cuántica de inmediato, sin cambios en tu origen. Así es como la mayor parte de ese 65% del tráfico se volvió resistente a la computación cuántica: los operadores no tocaron sus servidores de origen en absoluto.

Tu certificado todavía no cambia

No necesitas un certificado nuevo para el intercambio de claves post-cuántico. Tu certificado RSA o ECC actual funciona perfectamente: el intercambio de claves híbrido protege la sesión, mientras que el certificado, por ahora, sigue usando firmas clásicas. Los certificados post-cuánticos (ML-DSA) son una migración aparte y posterior.

Preguntas frecuentes

¿Necesito comprar un «certificado resistente a la computación cuántica» especial?

No. El intercambio de claves post-cuántico (la parte urgente) no toca tu certificado en absoluto: tu certificado RSA/ECC actual sigue funcionando. Cualquiera que venda hoy un «certificado SSL resistente a la computación cuántica» está haciendo sobre todo marketing; las firmas post-cuánticas (ML-DSA) en producción todavía no las emiten ampliamente las CA públicas.

¿Es el TLS post-cuántico más lento?

Apenas. ML-KEM-768 es rápido a nivel computacional —a menudo más rápido que ECDHE. El coste principal es el tamaño: los key shares más grandes añaden ~1 KB al handshake, lo que puede costar una vuelta de ida y vuelta adicional únicamente en redes con límites de paquete muy pequeños. Para casi todos los usuarios la diferencia es imperceptible.

¿Cuándo romperán realmente RSA los ordenadores cuánticos?

Nadie lo sabe. Las estimaciones creíbles van desde principios de la década de 2030 hasta «puede que nunca a gran escala». Pero, debido a la estrategia de cosechar ahora y descifrar después, el plazo límite de despliegue para el intercambio de claves ya ha llegado, que es precisamente la razón por la que los navegadores y las CDN se movieron en 2024-2026 en lugar de esperar.

¿Y qué pasa con TLS 1.2?

El intercambio de claves híbrido post-cuántico está definido solo para TLS 1.3. Esta es una razón más para habilitar TLS 1.3 →: es la única vía hacia un HTTPS resistente a la computación cuántica. TLS 1.2 no recibirá intercambio de claves post-cuántico.

¿Es ML-KEM lo mismo que Kyber?

Sí: ML-KEM es la versión estandarizada por el NIST del algoritmo antes llamado CRYSTALS-Kyber. Las compilaciones de navegador y las herramientas más antiguas muestran Kyber768; los despliegues estandarizados usan ML-KEM-768. Están estrechamente relacionados, pero no son idénticos bit a bit, así que un cliente con el estándar definitivo y un servidor previo al estándar pueden no llegar a negociar. Para 2026 el ecosistema se ha pasado en gran medida al ML-KEM definitivo.

¿Debería hacer algo ahora mismo?

Para un sitio web típico: asegúrate de estar en TLS 1.3, mantén tu biblioteca de TLS actualizada (OpenSSL 3.5+) y plantéate una CDN compatible con PQC si manejas datos sensibles de larga vida. Con eso basta para conseguir hoy un intercambio de claves resistente a la computación cuántica. Los certificados post-cuánticos pueden esperar a que maduren los estándares y las herramientas de las CA.

Artículos relacionados

SSL y certificados 2026-05-08
¿Qué es TLS 1.3? Todo lo que cambió
TLS 1.3 es el estándar de cifrado actual: handshake más rápido, secreto perfecto hacia adelante obligatorio, sin algoritmos heredados. Aprende qué cambió respecto a TLS 1.2, cómo habilitarlo y si deberías forzarlo.
SSL y certificados 2026-05-08
¿Qué es el secreto perfecto hacia adelante (Perfect Forward Secrecy)?
El secreto perfecto hacia adelante significa que cada conexión TLS usa una clave única. Incluso si la clave privada de tu servidor se ve comprometida, las conversaciones pasadas no pueden descifrarse. Aprende cómo funciona y cómo asegurarte de que esté habilitado.
SSL y certificados 2026-05-08
Criptografía de clave pública: cómo funciona realmente el cifrado SSL
La criptografía de clave pública usa un par de claves, una pública y una privada, para asegurar las conexiones HTTPS. Aprende cómo el cifrado asimétrico, las firmas digitales y el intercambio de claves hacen posible SSL/TLS.
SSL y certificados 2026-05-07
Certificados ECC vs RSA: ¿cuál deberías elegir?
Compara certificados ECC (ECDSA P-256) y RSA (2048/4096 bits). Las claves ECC son más pequeñas y rápidas. Aprende por qué GetHTTPS usa ECC por defecto y cuándo RSA todavía tiene sentido.
Obtén un certificado SSL gratuito en tu navegador
Sin instalación, sin cuenta. Tu clave privada nunca sale de tu dispositivo.
Obtener certificado