Durante años se instaló una idea casi automática en tecnología: cuando lleguen los ordenadores cuánticos potentes, buena parte del cifrado actual quedará arrasado. Esa frase tiene una parte cierta y otra profundamente simplificada. Porque no toda la criptografía responde igual ante una amenaza cuántica. Y según varios expertos, uno de los sistemas más usados del planeta, AES-128, no está tan condenado como muchos creen.
De hecho, podría seguir siendo perfectamente válido en un mundo poscuántico.
El malentendido que se volvió dogma
AES es un sistema de cifrado simétrico utilizado en redes, discos duros, mensajería, VPN, servicios empresariales y una enorme cantidad de infraestructuras digitales. En su versión de 128 bits, lleva décadas considerándose robusto.
El temor surgió al aplicar una lectura rápida del algoritmo de Grover, uno de los grandes referentes teóricos de la computación cuántica. Simplificando mucho, Grover permite acelerar búsquedas no estructuradas. A partir de ahí se popularizó una conclusión: una clave de 128 bits pasaría a ofrecer una seguridad equivalente a 64 bits.
Es decir, la mitad. Suena contundente. El problema es que esa frase deja fuera detalles decisivos.
Qué discuten realmente los criptógrafos
El ingeniero Filippo Valsorda cuestionó recientemente esa narrativa y defendió que AES-128 “funciona perfectamente” en un entorno poscuántico. Su argumento central no niega Grover, sino cómo se interpreta su impacto práctico.
En sistemas clásicos, una búsqueda por fuerza bruta puede paralelizarse con relativa eficiencia. Si divides trabajo entre miles de máquinas, el tiempo baja de forma bastante directa.
En cambio, el algoritmo de Grover no escala igual cuando intentas repartirlo entre múltiples procesadores cuánticos. La ventaja teórica disminuye y los costes crecen. Traducido al lenguaje común: no basta con decir “la raíz cuadrada de 2¹²⁸ y asunto resuelto”. El mundo real es bastante menos elegante.
La diferencia entre teoría limpia y máquinas reales
En papel, muchos algoritmos parecen demoledores. En ingeniería práctica aparecen fricciones: corrección de errores, ruido cuántico, tiempos de coherencia, consumo energético, sincronización y recursos físicos gigantescos.
Eso significa que romper AES-128 con un ataque cuántico relevante no depende solo de una fórmula matemática. Depende de construir máquinas colosales, estables y especializadas capaces de ejecutar enormes cantidades de operaciones secuenciales.
Y ahí es donde la historia cambia bastante. Algunas estimaciones elevan el coste real muy por encima de lo que transmite el famoso “128 se convierte en 64”.
Lo que sí debería preocupar más
Mientras parte del debate público se obsesiona con AES, muchos especialistas recuerdan que la verdadera urgencia está en otro sitio: la criptografía asimétrica.
Sistemas basados en RSA, Diffie-Hellman o curvas elípticas sí son especialmente sensibles a algoritmos cuánticos como Shor. Y esos mecanismos sostienen autenticación, intercambio de claves, certificados digitales y buena parte de la seguridad en internet.
Es decir, el problema principal no suele ser cifrar datos ya compartidos. Es cómo se establecen y validan esas comunicaciones. Por eso la transición poscuántica se centra tanto en nuevos estándares de intercambio de claves y firmas digitales.
Entonces, ¿AES-256 no sirve?
Claro que sirve. Y en algunos entornos puede ser preferible por políticas internas, márgenes extra de seguridad o estandarización global. Lo que discuten estos expertos es otra cosa: que usar AES-256 no significa automáticamente que AES-128 haya quedado “muerto” por culpa de la computación cuántica.
Son debates distintos. Una cosa es optar por más robustez. Otra afirmar que lo anterior ha dejado de ser seguro.
El peligro de prepararse mal
Hay una lección interesante en todo esto. En ciberseguridad, equivocarse por exceso también cuesta dinero, tiempo y foco. Migrar sistemas enteros donde no hace falta puede consumir recursos que sí deberían ir a vulnerabilidades reales y urgentes.
Eso incluye actualizar infraestructuras asimétricas antiguas, inventariar dependencias criptográficas y preparar despliegues poscuánticos ordenados. El caos técnico rara vez viene solo de las amenazas. A veces viene de entenderlas mal.
La era cuántica no será un botón rojo
No habrá un día concreto en que alguien pulse un interruptor y todo el cifrado actual deje de funcionar. La transición será gradual, desigual y llena de matices. Y precisamente por eso conviene distinguir entre titulares espectaculares y riesgos reales.
AES-128 puede no ser el villano caído de esta historia. Quizá solo era una víctima prematura de una simplificación demasiado repetida.
