{"id":134852,"date":"2026-04-20T19:49:28","date_gmt":"2026-04-21T01:49:28","guid":{"rendered":"https:\/\/pongara.net\/news\/aes-128-sigue-siendo-seguro-ante-computadoras-cuanticas-afirma-experto-en-criptografia\/"},"modified":"2026-04-20T19:49:28","modified_gmt":"2026-04-21T01:49:28","slug":"aes-128-sigue-siendo-seguro-ante-computadoras-cuanticas-afirma-experto-en-criptografia","status":"publish","type":"post","link":"https:\/\/pongara.net\/news\/aes-128-sigue-siendo-seguro-ante-computadoras-cuanticas-afirma-experto-en-criptografia\/","title":{"rendered":"AES-128 sigue siendo seguro ante computadoras cu\u00e1nticas, afirma experto en criptograf\u00eda"},"content":{"rendered":"<div>\n<div><img width=\"640\" height=\"384\" src=\"https:\/\/pongara.net\/news\/wp-content\/uploads\/2026\/04\/canuto-imagine-1776736162-840x504-1.jpg\" class=\"attachment-large size-large wp-post-image\" alt=\"\" style=\"margin-bottom: 15px;\" loading=\"lazy\" decoding=\"async\" srcset=\"https:\/\/pongara.net\/news\/wp-content\/uploads\/2026\/04\/canuto-imagine-1776736162-840x504-1.jpg 840w, https:\/\/diariobitcoin.b-cdn.net\/wp-content\/uploads\/2026\/04\/canuto-imagine-1776736162-608x365.jpg 608w, https:\/\/diariobitcoin.b-cdn.net\/wp-content\/uploads\/2026\/04\/canuto-imagine-1776736162-768x461.jpg 768w, https:\/\/diariobitcoin.b-cdn.net\/wp-content\/uploads\/2026\/04\/canuto-imagine-1776736162.jpg 1226w\" sizes=\"auto, (max-width: 640px) 100vw, 640px\"><\/div>\n<p><strong>Un nuevo an\u00e1lisis t\u00e9cnico sostiene que la computaci\u00f3n cu\u00e1ntica s\u00ed obliga a reemplazar varias herramientas de criptograf\u00eda asim\u00e9trica, pero no amenaza de forma pr\u00e1ctica a AES-128 ni a SHA-256. La conclusi\u00f3n, respaldada por NIST, BSI y especialistas del \u00e1rea, apunta a que la transici\u00f3n poscu\u00e1ntica debe enfocarse en donde realmente est\u00e1 el riesgo.<br \/>\n***<\/strong><strong><\/strong><\/p>\n<ul>\n<li><strong>El art\u00edculo sostiene que AES-128 y SHA-256 siguen siendo seguros frente a ataques cu\u00e1nticos realistas.<\/strong><\/li>\n<li><strong>La aceleraci\u00f3n te\u00f3rica de Grover no se traduce en una ruptura pr\u00e1ctica, porque el ataque no paraleliza bien y su costo se dispara.<\/strong><\/li>\n<li><strong>NIST y BSI mantienen permitidos los tama\u00f1os actuales de clave sim\u00e9trica y centran la migraci\u00f3n poscu\u00e1ntica en la criptograf\u00eda asim\u00e9trica.<\/strong><\/li>\n<\/ul>\n<hr>\n<p>La posibilidad de que las computadoras cu\u00e1nticas alcancen relevancia criptogr\u00e1fica ha encendido las alarmas en la industria tecnol\u00f3gica. Sin embargo, no todas las herramientas de seguridad digital enfrentan el mismo nivel de riesgo. Mientras la criptograf\u00eda asim\u00e9trica s\u00ed aparece bajo presi\u00f3n, un nuevo an\u00e1lisis argumenta que las claves sim\u00e9tricas de 128 bits no necesitan cambios como parte de la transici\u00f3n poscu\u00e1ntica.<\/p>\n<p>La idea central es directa: AES-128 sigue siendo seguro frente a computadoras cu\u00e1nticas, al igual que SHA-256. Esto contradice una creencia muy difundida seg\u00fan la cual la seguridad de las claves sim\u00e9tricas \u201cse reduce a la mitad\u201d en presencia de ataques cu\u00e1nticos, lo que obligar\u00eda a pasar a claves de 256 bits para conservar 128 bits efectivos de seguridad.<\/p>\n<p>El autor del an\u00e1lisis, Filippo Valsorda, sostiene en <a href=\"https:\/\/words.filippo.io\/128-bits\/\">Quantum Computers Are Not a Threat to 128-bit Symmetric Keys<\/a> que esa interpretaci\u00f3n es incorrecta tanto en lo t\u00e9cnico como en lo regulatorio. Tambi\u00e9n advierte que insistir en un cambio innecesario podr\u00eda desviar atenci\u00f3n y recursos del trabajo realmente urgente, que es reemplazar primitivas asim\u00e9tricas vulnerables al algoritmo de Shor, como ECDH, RSA, ECDSA y EdDSA.<\/p>\n<p>Para lectores menos familiarizados con el tema, la diferencia importa mucho. La criptograf\u00eda asim\u00e9trica se usa en intercambios de claves y firmas digitales, pilares de TLS, PKI y buena parte de la infraestructura de Internet. La criptograf\u00eda sim\u00e9trica, en cambio, protege datos ya cifrados mediante algoritmos como AES, y opera bajo un modelo distinto frente a los ataques cu\u00e1nticos conocidos.<\/p>\n<h3>Por qu\u00e9 Grover no equivale a romper AES-128<\/h3>\n<p>El origen del malentendido est\u00e1 en el algoritmo de Grover. Sobre el papel, Grover permite buscar una respuesta correcta en un espacio no estructurado de tama\u00f1o N usando aproximadamente \u03c0 \/ 4 \u00d7 \u221aN invocaciones. Esto suele resumirse de forma simplista como que una clave AES-128 podr\u00eda encontrarse en 2^64 pasos.<\/p>\n<p>El problema es que esa lectura ignora las restricciones pr\u00e1cticas del ataque. El or\u00e1culo de la funci\u00f3n debe estar implementado dentro del circuito cu\u00e1ntico, las invocaciones ocurren en serie y, adem\u00e1s, no existe una mejor forma de paralelizar el proceso que dividir el espacio de b\u00fasqueda. Esa observaci\u00f3n fue planteada por Zalka en 1997.<\/p>\n<p>La diferencia con una fuerza bruta cl\u00e1sica es enorme. Un ataque cl\u00e1sico sobre una clave de 64 bits puede repartirse con gran eficiencia entre m\u00faltiples m\u00e1quinas. Si cada intento tarda 5 ns, una sola CPU tardar\u00eda cerca de 3.000 a\u00f1os, pero con 2^16 CPU el trabajo baja a poco m\u00e1s de 16 d\u00edas, sin aumentar el trabajo total agregado.<\/p>\n<p>Con Grover no ocurre lo mismo. Si se intenta paralelizar un ataque sobre AES-128 usando 2^16 computadoras cu\u00e1nticas, cada instancia no baja a 2^48 de trabajo como pasar\u00eda en el mundo cl\u00e1sico, sino a 2^56. El trabajo total del sistema sube de 2^64 a 2^72, precisamente porque al dividir la tarea se diluye la aceleraci\u00f3n cuadr\u00e1tica que vuelve atractivo al algoritmo en teor\u00eda.<\/p>\n<p>Ese punto cambia por completo la discusi\u00f3n. En seguridad pr\u00e1ctica, no basta con que un ataque exista en abstracto. Debe poder ejecutarse dentro de l\u00edmites realistas de tiempo, energ\u00eda, estabilidad del sistema y costo de hardware. Y all\u00ed es donde el escenario para romper AES-128 se vuelve extraordinariamente adverso.<\/p>\n<h3>Las cifras del ataque cu\u00e1ntico que se necesitar\u00eda<\/h3>\n<p>Para aterrizar el debate, el an\u00e1lisis propone una hip\u00f3tesis deliberadamente conservadora. Supone una arquitectura cu\u00e1ntica r\u00e1pida, como la de qubits superconductores, con puertas l\u00f3gicas de 1 \u00b5s, y adem\u00e1s una operaci\u00f3n continua durante 10 a\u00f1os, sin cortes de energ\u00eda ni p\u00e9rdidas de fidelidad. Eso dar\u00eda una profundidad m\u00e1xima de alrededor de 2^48 puertas en serie.<\/p>\n<p>Luego incorpora una estimaci\u00f3n reciente del costo de implementar AES-128 dentro de un circuito cu\u00e1ntico. Liao y Luo, en 2025, ofrecieron un or\u00e1culo de Grover altamente optimizado para AES-128 con profundidad de 232 puertas T y una anchura de 724, entendida en t\u00e9rminos generales como el n\u00famero de qubits l\u00f3gicos operando en paralelo.<\/p>\n<p>Con esos datos, el c\u00e1lculo arroja que ser\u00eda necesario un factor de paralelizaci\u00f3n cercano a 2^47 para que cada instancia del ataque permaneciera dentro de la profundidad m\u00e1xima de 2^48. Traducido a infraestructura, eso implica unos 140 billones de circuitos cu\u00e1nticos de 724 qubits l\u00f3gicos cada uno, todos operando en paralelo durante 10 a\u00f1os.<\/p>\n<p>El costo tambi\u00e9n puede expresarse como profundidad por anchura, una m\u00e9trica similar a pensar en ciclos por n\u00facleos en computaci\u00f3n cl\u00e1sica. El resultado aproximado es 2^104,5. El texto subraya que, a diferencia de Shor o de la correcci\u00f3n de errores cu\u00e1nticos, aqu\u00ed hay poco margen restante para reducir dr\u00e1sticamente el costo, porque solo unos pocos t\u00e9rminos de la f\u00f3rmula podr\u00edan optimizarse m\u00e1s.<\/p>\n<p>Las mejoras acumuladas en las estimaciones tampoco alteran la conclusi\u00f3n. Seg\u00fan el an\u00e1lisis, Liao y Luo recortaron 7,5 bits frente a Grassl y colaboradores en 2015 y 1,5 bits frente a una estimaci\u00f3n previa espec\u00edfica de Grover atribuida a Samuel Jaques y coautores en 2019. Aun as\u00ed, el ataque seguir\u00eda estando fuera de escala pr\u00e1ctica.<\/p>\n<h3>La comparaci\u00f3n con Shor muestra d\u00f3nde est\u00e1 el verdadero problema<\/h3>\n<p>Una de las secciones m\u00e1s contundentes del an\u00e1lisis compara este escenario con ataques cu\u00e1nticos contra curvas el\u00edpticas de 256 bits. All\u00ed la situaci\u00f3n es muy distinta, porque esas primitivas s\u00ed son vulnerables al algoritmo de Shor, el principal motor detr\u00e1s de la urgencia poscu\u00e1ntica actual.<\/p>\n<div class=\"diari-in-content-middle diari-entity-placement\" id=\"diari-469914942\">\n<div id=\"diari-510758502\" data-diari-trackid=\"195495\" data-diari-trackbid=\"1\" class=\"diari-target diari-target\"><\/div>\n<\/div>\n<p>El texto cita a Babbush y colaboradores en 2026, quienes afirman una ejecuci\u00f3n de Shor en 70M, equivalente a cerca de 2^26 puertas. En una arquitectura con tiempo de puerta de 10 \u00b5s, eso tomar\u00eda minutos. Frente a ese orden de magnitud, el costo de romper AES-128 con Grover queda completamente desalineado.<\/p>\n<p>La comparaci\u00f3n cuantitativa es radical. Dividir 2^104,5 entre 2^26 produce 2^78,5. En otras palabras, romper AES-128 con Grover ser\u00eda 430.000.000.000.000.000.000.000 veces m\u00e1s caro que romper curvas el\u00edpticas de 256 bits con Shor, seg\u00fan los n\u00fameros presentados.<\/p>\n<p>Ese contraste ayuda a entender por qu\u00e9 la migraci\u00f3n poscu\u00e1ntica se concentra hoy en intercambio de claves y firmas digitales. No se trata de minimizar el avance de la computaci\u00f3n cu\u00e1ntica, sino de asignar prioridades. Si una parte de la infraestructura es vulnerable en plazos plausibles y otra no, mezclar ambas discusiones puede complicar la respuesta de la industria.<\/p>\n<h3>NIST, BSI y especialistas respaldan la misma conclusi\u00f3n<\/h3>\n<p>La postura del an\u00e1lisis no aparece en aislamiento. El Instituto Nacional de Est\u00e1ndares y Tecnolog\u00eda de Estados Unidos considera a AES-128 como el punto de referencia para la Categor\u00eda 1 de seguridad poscu\u00e1ntica. Seg\u00fan la explicaci\u00f3n recogida en el texto, NIST reconoce expl\u00edcitamente que un an\u00e1lisis ingenuo de Grover sobreestima la ventaja real del atacante debido a la dificultad de mantener computaci\u00f3n serial de larga duraci\u00f3n.<\/p>\n<p>El mismo organismo reiter\u00f3 en su borrador NIST IR 8547, Transition to Post-Quantum Cryptography Standards, que los algoritmos vulnerables a ataques cu\u00e1nticos deber\u00e1n dejarse atr\u00e1s a partir de 2035. No obstante, tambi\u00e9n indic\u00f3 que todos los tama\u00f1os de clave de AES siguen permitidos. En su visi\u00f3n, las primitivas sim\u00e9tricas aprobadas por NIST con al menos 128 bits de seguridad cl\u00e1sica cumplen como m\u00ednimo el umbral de la Categor\u00eda 1.<\/p>\n<p>El an\u00e1lisis tambi\u00e9n recuerda una respuesta directa de las preguntas frecuentes de NIST sobre si conviene duplicar hoy la longitud de clave de AES para protegerse de la computaci\u00f3n cu\u00e1ntica. La respuesta fue clara: es bastante probable que el algoritmo de Grover ofrezca poca o ninguna ventaja al atacar AES, y que AES-128 permanezca seguro durante d\u00e9cadas. Por eso, las aplicaciones actuales pueden seguir usando AES de 128, 192 o 256 bits.<\/p>\n<p>La Oficina Federal Alemana para la Seguridad de la Informaci\u00f3n, o BSI, llega a una conclusi\u00f3n similar. En su documento TR-02102-1, actualizado en materia de criptograf\u00eda poscu\u00e1ntica, recomienda AES-128, AES-192 y AES-256 para nuevos sistemas criptogr\u00e1ficos. Al mismo tiempo, s\u00ed recomienda abandonar mecanismos cl\u00e1sicos de acuerdo de claves antes que NIST, concretamente hasta finales de 2031.<\/p>\n<p>Adem\u00e1s, Samuel Jaques, profesor asistente en la Universidad de Waterloo y especialista en criptograf\u00eda y computaci\u00f3n cu\u00e1ntica, hab\u00eda llegado a conclusiones equivalentes en una presentaci\u00f3n de 2024. Jaques resalt\u00f3 lo dif\u00edcil que es construir incluso un solo qubit l\u00f3gico, mencion\u00f3 la decoherencia y a\u00f1adi\u00f3 que la m\u00e9trica adecuada para optimizar los circuitos de Grover es profundidad\u00b2 por anchura.<\/p>\n<p>Tambi\u00e9n se\u00f1al\u00f3 que cada puerta T l\u00f3gica en una arquitectura de c\u00f3digo de superficie exige 2^16 operaciones f\u00edsicas. Eso sugiere que incluso las cuentas m\u00e1s conservadoras todav\u00eda omiten parte del costo real de llevar un ataque de este tipo al terreno pr\u00e1ctico. En otras palabras, la barrera para Grover no parece estar siendo subestimada.<\/p>\n<h3>Por qu\u00e9 cambiar AES ahora podr\u00eda ser un error estrat\u00e9gico<\/h3>\n<p>El art\u00edculo va m\u00e1s all\u00e1 del debate acad\u00e9mico y entra en la gesti\u00f3n del riesgo tecnol\u00f3gico. Su argumento es que la transici\u00f3n poscu\u00e1ntica ya exige enormes recursos de coordinaci\u00f3n, desarrollo e interoperabilidad. Si se mezclan cambios necesarios con otros innecesarios, se generar\u00e1 agitaci\u00f3n en sistemas que podr\u00edan permanecer intactos sin sacrificar seguridad real.<\/p>\n<p>En ecosistemas abiertos como TLS, donde intervienen m\u00faltiples bibliotecas, lenguajes y perfiles de implementaci\u00f3n, ponerse de acuerdo sobre el objetivo es crucial. La fuente sostiene que es m\u00e1s f\u00e1cil coordinar una migraci\u00f3n cuando el blanco t\u00e9cnico est\u00e1 bien definido. En cambio, sumar metas confusas o mal justificadas aumenta la complejidad y favorece decisiones fragmentadas.<\/p>\n<p>Esto no significa que las claves de 256 bits carezcan siempre de sentido. El texto aclara que en contextos donde importan colisiones y l\u00edmites de cumplea\u00f1os, como en funciones hash, s\u00ed se necesita una salida de 256 bits para alcanzar 128 bits de seguridad frente a colisiones. Tambi\u00e9n menciona que ciertos ataques multiobjetivo pueden requerir m\u00e1s margen seg\u00fan el dise\u00f1o de nonce y protocolo.<\/p>\n<p>Pero esas consideraciones, explica el an\u00e1lisis, pertenecen al trabajo de ingenier\u00eda criptogr\u00e1fica a nivel de protocolo, no a decisiones generales de pol\u00edtica o administraci\u00f3n de sistemas. Como ejemplo, indica que TLS con AES-128 ya satisface el nivel de seguridad de 128 bits con amplios m\u00e1rgenes multiobjetivo gracias a su dise\u00f1o de nonce.<\/p>\n<p>La excepci\u00f3n regulatoria m\u00e1s visible es CNSA 2.0, que s\u00ed exige claves sim\u00e9tricas de 256 bits. Sin embargo, el an\u00e1lisis afirma que eso no responde a un ajuste motivado por computaci\u00f3n cu\u00e1ntica, sino a una decisi\u00f3n de uniformar todo bajo un nivel de seguridad de 256 bits. En ese mismo esquema se exigen ML-KEM-1024 y ML-DSA-87, y la adopci\u00f3n de AES-256 en lugar de un inexistente AES-512 tambi\u00e9n implicar\u00eda reconocer que Grover no reduce a la mitad la seguridad de AES.<\/p>\n<p>La conclusi\u00f3n es clara: el riesgo cu\u00e1ntico concreto y urgente est\u00e1 en la criptograf\u00eda asim\u00e9trica hoy desplegada, no en AES-128 ni en SHA-256. Por eso, la recomendaci\u00f3n pr\u00e1ctica es enfocar la transici\u00f3n poscu\u00e1ntica donde el consenso t\u00e9cnico s\u00ed ve una amenaza real, evitando gastar tiempo en reemplazos que no aportan una mejora proporcional en seguridad.<\/p>\n<div class=\"footer-entry-meta\"><\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Un nuevo an\u00e1lisis t\u00e9cnico sostiene que la computaci\u00f3n cu\u00e1ntica s\u00ed obliga a reemplazar varias herramientas de criptograf\u00eda asim\u00e9trica, pero no amenaza de forma pr\u00e1ctica a [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":134853,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2,1],"tags":[31943,1159,2369,6868,285,24586,777,1268,978,25],"class_list":["post-134852","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-crypto","category-noticias","tag-aes-128","tag-afirma","tag-computadoras","tag-criptografia","tag-crypto","tag-cuanticas","tag-experto","tag-noticias","tag-seguro","tag-siendo"],"_links":{"self":[{"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/posts\/134852","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/comments?post=134852"}],"version-history":[{"count":0,"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/posts\/134852\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/media\/134853"}],"wp:attachment":[{"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/media?parent=134852"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/categories?post=134852"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/tags?post=134852"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}