¿Qué es la criptografía post-cuántica y por qué debería importarle a mi hosting?
Si crees que el cifrado cuántico es algo solo para bancos y gobiernos, es momento de mirar de nuevo. La amenaza 'harvest now, decrypt later' está pasando hoy — y tu hosting necesita estar listo.
Qué es: la criptografía post-cuántica (PQC) es una nueva generación de algoritmos de cifrado diseñados para resistir ataques de computadoras cuánticas — incluyendo el "harvest now, decrypt later" que ya está pasando hoy.
Por qué importa ahora: Cloudflare adelantó su deadline post-cuántico completo a 2029. Atacantes estatales están guardando tráfico cifrado hoy para descifrarlo cuando lleguen los computadores cuánticos potentes.
Qué hacer: verificar que tu hosting use TLS 1.3, esté detrás de Cloudflare si es posible, y preguntar por su roadmap post-cuántico.
Primero: ¿qué es la criptografía post-cuántica?
La internet actual depende del cifrado para mantener los datos privados. Cuando visitas un sitio web vía HTTPS, tu navegador y el servidor pasan por un "handshake" que usa problemas matemáticos —como factorizar números primos enormes— para crear un secreto compartido que nadie más puede leer.
El problema: los computadores cuánticos, si llegan a ser lo suficientemente potentes, podrían resolver esos problemas matemáticos en segundos. Lo que toma miles de años a un computador clásico se vuelve trivial.
Atacantes patrocinados por estados —y grupos criminales bien financiados— ya están recolectando tráfico cifrado de internet hoy, almacenándolo en archivos masivos, y esperando. Están apostando a que para cuando los computadores cuánticos maduren, podrán descifrar retroactivamente esos datos: credenciales de login, información de clientes, comunicaciones confidenciales, registros financieros.
La criptografía post-cuántica (PQC) es la defensa: una nueva generación de algoritmos de cifrado construidos sobre problemas matemáticos que ni siquiera los computadores cuánticos podrán resolver. El National Institute of Standards and Technology (NIST) de EE.UU. finalizó sus primeros tres estándares post-cuánticos en agosto de 2024, incluyendo ML-KEM (FIPS 203) — el algoritmo en el centro de la última actualización de Cloudflare.
¿Qué lanzó Cloudflare exactamente?
El 30 de abril, Cloudflare anunció que el cifrado post-cuántico para sus túneles IPsec está ahora generalmente disponible. IPsec es el protocolo que asegura conexiones de red site-to-site — los túneles cifrados entre data centers, oficinas y entornos cloud que sostienen los servicios de los que depende tu sitio web.
Cómo funciona Hybrid ML-KEM
La implementación de Cloudflare usa hybrid ML-KEM: ejecuta primero un intercambio de claves Diffie-Hellman clásico, luego pone ML-KEM encima. El resultado es un handshake protegido simultáneamente por cifrado clásico y post-cuántico. Incluso si los computadores cuánticos eventualmente rompen una capa, la otra todavía aguanta.
Diffie-Hellman clásico
El intercambio de claves estándar usado en TLS hoy. Robusto contra computadores clásicos pero vulnerable a cuánticos potentes.
ML-KEM (FIPS 203)
Estándar NIST post-cuántico basado en lattices. Resistente a ataques cuánticos conocidos.
El gran titular: Cloudflare ha confirmado interoperabilidad con Cisco y Fortinet — dos de los vendors de hardware de red más ampliamente desplegados del mundo. Esto significa que el upgrade no requiere reemplazar infraestructura existente.
Esto sigue al anuncio de Cloudflare a principios de mes de que está acelerando su objetivo de seguridad post-cuántica completa a 2029 —movido hacia adelante desde estimaciones previas— impulsado por avances más rápidos de lo esperado en investigación de computación cuántica.
¿Por qué importa esto para hosting web?
Tal vez estés pensando: "yo solo hosteo un sitio web. No corro VPNs site-to-site ni oficinas remotas." Justo. Pero aquí está el panorama más amplio:
La infraestructura de tu hosting es un objetivo
Las empresas de hosting administran miles de sitios de clientes, bases de datos, cuentas de correo y paneles de control. Las conexiones de red entre sus data centers, nodos CDN y proveedores upstream son exactamente el tipo de tráfico de alto valor que los adversarios están cosechando hoy.
Cloudflare está profundamente integrado en hosting moderno
Si tu sitio corre detrás de Cloudflare —para CDN, protección DDoS o DNS— ya te estás beneficiando de TLS post-cuántico de Cloudflare. Según los propios datos de Cloudflare, más de dos tercios del tráfico TLS generado por humanos hacia su red ya está protegido por criptografía post-cuántica. La actualización IPsec ahora extiende esa protección a la capa de red de abajo.
El paralelo de PHP y SSL es instructivo
Cuando la industria pasó de HTTP a HTTPS, los proveedores de hosting que tardaron en adoptar SSL perdieron confianza de clientes. Cuando PHP 5 llegó a end-of-life, los sitios corriendo versiones viejas se volvieron objetivos vulnerables. Post-cuántico es la próxima transición — y los proveedores de hosting que se preparen temprano estarán mejor posicionados cuando llegue el Q-Day.
Los datos con vida útil larga ya están en riesgo
Si tu sitio recolecta datos de clientes —emails, pedidos, información de cuentas— esos datos tienen una "ventana de secreto" larga. Deben mantenerse privados no solo hoy, sino durante años. El tráfico que tus usuarios enviaron hace tres años podría estar en el archivo de un adversario ahora mismo, esperando el día en que pueda descifrarse.
El Q-Day se está moviendo más cerca
Hasta hace poco, la mayoría de las estimaciones colocaban la llegada de los "computadores cuánticos criptográficamente relevantes" (CRQCs) —máquinas lo suficientemente potentes como para romper la criptografía de clave pública actual— en algún lugar entre 2030 y 2040.
Esa línea de tiempo se ha comprimido. En marzo de 2026, investigadores de Google Quantum AI, la Ethereum Foundation y Stanford publicaron un paper mostrando que romper criptografía de curva elíptica (la columna vertebral de la seguridad web actual) podría requerir muchos menos qubits físicos de lo previamente estimado — aproximadamente 20 veces menos que benchmarks anteriores sugerían.
Nadie sabe exactamente cuándo llega el Q-Day. Pero la amenaza "harvest now, decrypt later" no requiere que el Q-Day ya haya pasado. Está sucediendo ahora mismo, en segundo plano — tráfico cifrado siendo recolectado, archivado y guardado en anticipación de capacidad de descifrado futura.
¿Qué deberías hacer ahora mismo como dueño de sitio?
La respuesta honesta: para la mayoría de los clientes de hosting compartido, la acción inmediata es conciencia, no pánico. No necesitas reconstruir tu infraestructura hoy.
Pero aquí está un checklist práctico para evaluar tu exposición:
-
1
Verifica si tu hosting usa infraestructura Cloudflare
Si tu CDN, DNS o protección DDoS corre a través de Cloudflare, ya te beneficias de TLS post-cuántico en el edge. Es una capa significativa de protección.
-
2
Verifica que tu configuración SSL/TLS esté actualizada
Asegúrate de que tu sitio esté corriendo TLS 1.3 — las versiones antiguas (TLS 1.0, 1.1) son más vulnerables y están deprecated por la mayoría de navegadores. La mayoría de paneles de hosting modernos (incluido cPanel) permiten forzar mínimo TLS 1.3.
-
3
Entiende qué datos estás recolectando
Sitios que recolectan datos personales, información de pagos o credenciales de login tienen más que perder con ataques harvest-now-decrypt-later que sitios informativos estáticos. Conoce tu perfil de riesgo.
-
4
Pregúntale a tu hosting por su roadmap post-cuántico
Esta es la pregunta clave para los próximos dos años. Los proveedores de hosting que estén actualizando activamente su infraestructura a estándares post-cuánticos —incluyendo sus alianzas CDN y túneles de red— son mejores socios a largo plazo.
-
5
Mantén el software actualizado
WordPress, plugins y versiones de PHP desactualizadas son vulnerabilidades inmediatas y exploitables hoy. No dejes que una amenaza futura te distraiga de la higiene de seguridad presente.
Comparativa: tu sitio hoy vs. post-cuántico
| Capa | Hoy (clásico) | Post-cuántico (en transición) |
|---|---|---|
| HTTPS hacia tu sitio | TLS 1.2/1.3 con ECC | TLS 1.3 con ML-KEM híbrido |
| CDN (si usas Cloudflare) | RSA / ECDHE | Hybrid ML-KEM ya activo en 66%+ del tráfico |
| Backbone del hosting | IPsec clásico | IPsec con hybrid ML-KEM (GA desde abr 2026) |
| Datos almacenados | AES-256 (cuántico-resistente) | AES-256 (sin cambios necesarios) |
| Riesgo H-N-D-L | Alto | Mitigado |
El cifrado simétrico (AES-256) no necesita actualizarse. Solo el intercambio de claves y firmas asimétricas son vulnerables a computadores cuánticos. Por eso PQC se enfoca en reemplazar RSA, ECDH y ECDSA — no AES.
Preguntas frecuentes
¿Tengo que cambiar algo en mi sitio web hoy?
¿Cuándo llegan los computadores cuánticos que pueden romper la encriptación actual?
¿Mi banco ya usa criptografía post-cuántica?
¿La criptografía post-cuántica es más lenta?
La criptografía post-cuántica no es una feature que activas un día. Es una migración continua, y el momento de empezar a pensar en ella es ahora. Los proveedores de hosting que están moviendo ficha hoy serán los que protejan mejor a sus clientes en cinco años. En Latinoamérica, hosting.cl ya forma parte de la Secure Hosting Alliance — el primer hosting de la región en integrarse a esta alianza enfocada en transparencia y seguridad. Es la clase de señal que conviene buscar al elegir proveedor: no promesas, sino membresías verificables y certificaciones reales.
Fuentes y referencias
- Cloudflare Blog — Post-quantum encryption for Cloudflare IPsec is generally available— Cloudflare
- Cloudflare — Post-quantum roadmap, 2029 target— Cloudflare
- NIST FIPS 203 — ML-KEM Standard— NIST
- Help Net Security — Cloudflare moves up its post-quantum deadline— Help Net Security
- The Quantum Insider — Why 2026 Matters for Quantum Security— The Quantum Insider
- hosting.cl — Secure Hosting Alliance (primer hosting LATAM)— hosting.cl
- hosting.cl — Certificados SSL— hosting.cl