Los requisitos de Shor para factorizar RSA-2048 cayeron un orden de magnitud en menos de un año

El cifrado que protege la infraestructura digital moderna no falla en el momento en que se construye un ordenador cuántico. Falla en el momento en que los adversarios adquieren suficiente capacidad cuántica para descifrar los datos cifrados que ya han recopilado. Esta inversión temporal —la amenaza llega antes que la máquina— define la estructura real del problema del Q-Day y explica por qué la brecha de preparación que se mide hoy se traduce directamente en una violación de seguridad medida en años.

El mecanismo en riesgo no es oscuro. El cifrado RSA, el estándar dominante de clave pública, depende de una única asimetría matemática: multiplicar dos números primos grandes es computacionalmente trivial, pero recuperar esos primos a partir de su producto escala en dificultad de forma tan pronunciada que ningún ordenador clásico puede invertir la operación para tamaños de clave de 2048 bits o más dentro de ningún plazo práctico. El protocolo TLS que protege el tráfico web, las autoridades de certificación que autentican identidades, las firmas digitales que validan transacciones financieras: toda la arquitectura de la comunicación digital de confianza reposa sobre esta asimetría.

El algoritmo de Shor, formalizado en 1994, demostró que la computación cuántica disuelve esta asimetría por completo. Aprovechando la superposición cuántica y las transformadas cuánticas de Fourier para encontrar el período de una función aritmética modular que codifica el problema de factorización, un ordenador cuántico suficientemente grande podría recuperar claves privadas RSA en horas, no en los miles de millones de años que requeriría una máquina clásica. El algoritmo lleva tres décadas siendo conocido. Lo que cambió en el último año es la estimación de recursos necesarios para ejecutarlo.

También te puede interesarEl videojuego Wolfenstein II presenta su arsenal de armamento

Los requisitos de hardware de un ordenador cuántico criptográficamente relevante eran, hasta hace poco, tan enormes que funcionaban como una barrera práctica. Las estimaciones iniciales situaban el recuento de cúbits físicos necesarios para factorizar RSA-2048 en torno a mil millones. Para 2021, Gidney y Ekerå habían reducido esa cifra a aproximadamente veinte millones de cúbits operando durante ocho horas, todavía muy por encima de cualquier sistema entonces existente, pero ya no astronómico. Luego, en menos de doce meses entre 2024 y 2025, tres avances algorítmicos colapsaron la estimación otro orden de magnitud.

El primero fue una reestructuración de cómo se ejecuta la exponenciación modular, la operación computacional central del algoritmo de Shor. El enfoque clásico exigía registros cuánticos lo suficientemente grandes como para contener números enteros de 2048 bits simultáneamente, lo que elevaba los recuentos de cúbits. La aritmética modular aproximada, desarrollada por Chevignard, Fouque y Schrottenloher, sustituyó esto por un enfoque segmentado que calcula la exponenciación en piezas usando registros mucho más pequeños, tolerando errores controlados que pueden corregirse posteriormente. El ordenador cuántico ya no necesita mantener el problema completo en memoria a la vez. El segundo avance abordó el cuello de botella de coste dominante en la computación cuántica tolerante a fallos: generar los estados cuánticos de recursos especiales necesarios para las operaciones de puerta no corregibles por error. El cultivo de estados mágicos, desarrollado en Google Quantum AI, hace crecer estados de alta fidelidad a partir de estados de menor calidad con una sobrecarga drásticamente reducida respecto a la destilación tradicional. El tercer avance, sintetizado en un artículo de 2025 de Craig Gidney, combinó ambas técnicas y redujo el número total de operaciones de puerta Toffoli requeridas de aproximadamente dos billones a unos 6.500 millones, una mejora de más de cien veces en eficiencia computacional.

El resultado combinado: factorizar RSA-2048 parece ahora técnicamente factible con aproximadamente un millón de cúbits físicos operando durante una semana. La brecha de hardware entre este requisito y los sistemas actuales sigue siendo real, pero la trayectoria de compresión ha cambiado cualitativamente. Reducir de mil millones a veinte millones de cúbits llevó doce años; reducir de veinte millones a menos de un millón llevó menos de uno. Esa aceleración es la señal analíticamente importante.

Los avances paralelos en hardware refuerzan esta trayectoria. El chip Willow de Google, demostrado a finales de 2024, proporcionó la primera confirmación experimental de que la corrección de errores cuánticos puede suprimir el ruido por debajo del umbral del código de superficie, la prueba física de que los supuestos de ruido que subyacen a todas las estimaciones de recursos son físicamente alcanzables. La hoja de ruta publicada por IBM proyecta el primer ordenador cuántico tolerante a fallos a gran escala, con aproximadamente 200 cúbits lógicos, para 2029. Múltiples plataformas independientes han demostrado fidelidades de puerta de dos cúbits del 99,9% o superiores. La brecha entre los requisitos teóricos de recursos y la capacidad de hardware demostrada se ha comprimido de múltiples órdenes de magnitud a algo cercano a uno solo.

Esta compresión otorga urgencia material a una amenaza que antes se trataba como cómodamente lejana: recopilar ahora, descifrar después. Los actores estatales y no estatales sofisticados que han estado recopilando tráfico de red cifrado durante años poseen texto cifrado que se vuelve legible en el momento en que existe un ordenador cuántico criptográficamente relevante. El marco temporal adecuado para evaluar el riesgo del Q-Day no es cuándo se construirán los ordenadores cuánticos, sino durante cuánto tiempo necesitan permanecer confidenciales los datos que se cifran hoy.

La respuesta criptográfica a esta amenaza tiene nombre, un conjunto de estándares y un calendario de cumplimiento. La criptografía post-cuántica sustituye los problemas de factorización de enteros y logaritmos discretos subyacentes al RSA y a la criptografía de curva elíptica por estructuras matemáticas consideradas resistentes tanto a ataques clásicos como cuánticos. La familia principal adoptada por los organismos de normalización globales es la criptografía basada en retículos, que fundamenta su seguridad en la dificultad del problema del vector más corto y desafíos geométricos relacionados en espacios de alta dimensión. En agosto de 2024, el NIST finalizó tres estándares criptográficos post-cuánticos: ML-KEM para encapsulación de claves, ML-DSA para firmas digitales y SLH-DSA como respaldo basado en funciones hash. En marzo de 2025 se seleccionó un quinto algoritmo, HQC, como alternativa basada en códigos a ML-KEM, aportando diversidad algorítmica ante la posibilidad de que las suposiciones sobre retículos se debiliten en el futuro.

Lecturas recomendadasCisco y la española VRMADA crean la primera experiencia de certificación de TI mediante realidad virtual

La existencia de estándares no resuelve el problema de la migración. Lo inicia. Las transiciones criptográficas de esta envergadura han requerido históricamente entre quince y veinte años para completar la penetración en la infraestructura, y esta migración es estructuralmente más compleja que cualquier precedente. Reparar la infraestructura de clave pública en cada capa exige sustituir o actualizar los módulos de seguridad de hardware que almacenan y gestionan claves; que las autoridades de certificación emitan nuevas jerarquías de credenciales; actualizar las implementaciones TLS en miles de millones de dispositivos; auditar y sustituir los protocolos integrados en sistemas embebidos, infraestructura de control industrial y sistemas financieros de larga vida. Muchos de estos sistemas carecen de la agilidad criptográfica que haría la migración directa.

El marco regulatorio ha respondido con un calendario comprimido que refleja la urgencia de la trayectoria del hardware. La suite CNSA 2.0 de la NSA exige que todos los nuevos sistemas de seguridad nacional sean seguros frente a ataques cuánticos para enero de 2027. El calendario de eliminación del NIST prevé retirar los algoritmos vulnerables a ataques cuánticos de los estándares aprobados después de 2035, con sistemas de alto riesgo que deben hacer la transición antes. El Grupo de Cooperación NIS de la Unión Europea publicó en 2025 una hoja de ruta de implementación coordinada. España, con su participación activa en el CSIC y en consorcios europeos de investigación en ciberseguridad, y los países latinoamericanos, que gestionan infraestructuras financieras y gubernamentales cada vez más digitalizadas, se enfrentan al mismo imperativo estructural. La evaluación de preparación cuántica del IBM Institute for Business Value de 2025 encontró una puntuación media global de solo 25 sobre 100.

El sector financiero enfrenta una complejidad particular. La infraestructura bancaria global enruta transacciones a través de decenas de miles de puntos de cifrado, con profundas dependencias en módulos de seguridad de hardware, pilas de protocolos de pago y marcos de cumplimiento normativo que no fueron diseñados con la agilidad algorítmica en mente. La obligación regulatoria de migrar a PQC choca con procesos de gestión del cambio que operan normalmente en plazos de varios años incluso para actualizaciones menores de protocolos.

El consejo práctico que emerge de este panorama técnico no es el pánico, sino la acción gradual y priorizada. El inventario criptográfico es el prerrequisito: las organizaciones no pueden migrar lo que no pueden localizar. Los sistemas que gestionan datos con largos horizontes de confidencialidad deben priorizarse para la migración anticipada incluso antes de que lo exija el plazo regulatorio. Los despliegues criptográficos híbridos, que combinan ML-KEM con algoritmos clásicos de intercambio de claves en paralelo, ofrecen un puente práctico: los datos protegidos por un esquema híbrido requieren que un adversario rompa simultáneamente los componentes clásico y post-cuántico, elevando sustancialmente el coste de cualquier ataque de recopilación y descifrado diferido.

Lo que los desarrollos algorítmicos de 2024 y 2025 han alterado fundamentalmente es la distribución de incertidumbre en torno al Q-Day. El consenso anterior situaba cómodamente la computación cuántica criptográficamente relevante en la década de 2030, con barras de error significativas que se extendían hacia la de 2040. La compresión de las estimaciones de recursos a menos de un millón de cúbits, combinada con la hoja de ruta de IBM para 2029 y la confirmación experimental de Google de la corrección de errores por debajo del umbral, ha desplazado las estimaciones creíbles significativamente hacia adelante y ha estrechado el rango de incertidumbre.

La transición a la criptografía post-cuántica no concluye con el despliegue de algoritmos basados en retículos. Crea una nueva superficie criptográfica cuya seguridad a largo plazo depende de suposiciones sobre la dificultad de problemas geométricos en espacios de alta dimensión, suposiciones que han resistido décadas de criptoanálisis clásico pero que no han sido sometidas a la prueba de los ordenadores cuánticos que eventualmente existirán a escala. Lo que exige el momento presente no es certeza sobre cuándo madurará la computación cuántica, sino una evaluación lúcida de lo que significa construir una institución cuya postura de seguridad sigue fundada en la suposición de que factorizar números primos es difícil. Esa suposición tiene una fecha de caducidad.

Más como esto

El entorno virtual de aprendizaje revoluciona la educación tradicional

Wattpad, publica tu libro (para adolescentes preferiblemente) gratis

Seguridad informática, hackeos e ilusión de seguridad

Gooligan. Malware en Android

Cambiando Wordpress a un Servidor en Ubuntu

DeepMind de Google, la IA ahora puede leer el rostro