El White Paper de MasterCard que urge a pasar a Quantum Safe: Post-Quantum Cryptography (PQC) & Quantum Key Distribution (QKD)

Son muchas ya las industrias, instituciones públicas, gobiernos y empresas que tienen para el año proyectos y estrategias de migración a Quantum Safe para evitar el problema que pueda suponer en la seguridad de sus tecnologías la aparición de los Quantum Computers.

Figura 1: El White Paper de MasterCard que urge a pasar a Quantum Safe.

Post-Quantum Cryptography (PQC) & Quantum Key Distribution (QKD)

Y es que aunque aún no estén aquí, el riesgo a que los adversarios estén recogiendo el tráfico cifrado con protocolos inseguros frente a ordenadores cuánticos - el famoso "Harvest Now, Decrypt Later" - está haciendo que la industria se esté moviendo rápido.

Figura 2: Tráfico HTTP Post-Quantum en Radar del 24 de Diciembre de 2025

Revisando los datos del tráfico HTTP con Post-Quantum en Radar de Cloudflare del día 24 de Diciembre, podemos ver que el 43% del mismo está usando algoritmos de Post-Quantum Cryptography, al menos, en modo híbrido. Si quieres aprender de este mundo, te recomiendo encarecidamente que te compres el libro de "Quatum Security: Tecnología Cuántica & Ciberseguridad. Criptográfica Cuántica y Post-Cuántica" donde hablamos de todo esto.

Figura 3: Quatum Security: Tecnología Cuántica & Ciberseguridad.

Criptográfica Cuántica y Post-Cuántica. 

Nuestro nuevo libro en 0xWord escrito por: Chema Alonso,

Pablo González, Fran Ramírez, Carmen Torrano, Daniel Romero,

Javier Álvarez, Mario Piattini, Iker Pastor, Pablo García Bringas

Ahora ha sido el equipo de R&D de MasterCard quién ha publicado un White Paper titulado "Migration to post-quantum cryptography" donde insta a las empresas de la industria financiera del mundo a tomarse en serio este riesgo y tomar estrategias de aplicación de Post-Quantum Cryptography urgentemente, además de evaluar el impacto de las soluciones de Quantum Key Distribution.

Figura 4: "Migration to post-quantum cryptography"

De este problema hemos hablamos mucho por el blog, y por eso tienes muchos artículos que te ayudarán a entender las tecnologías y la problemática. El último de ellos era justo sobre cómo BitCoin estaba preparándose para afrontar este problema de los Quantum Computers, que es uno de los temas que también toca el WhitePaper de hoy. Aquí te dejo todos los artículos por si quieres leer con calma todo. 

• Quantum Computing Cybersecurity Preparedness Act: Comienza la era de Ciberseguridad Post-Quantum en Estados Unidos
• Hamming Quasi-Cyclic (HQC-KEM): Nuevo Key-Encapsulation Mechanism en Post-Quantum Cryptography
• FrodoKEM: Un Key-Encapsulation Mechanism Quantum-Safe (PQC) que recibe su nombre por "El señor de los Anillos"
• La Gran Búsqueda de Números Primos de Mersenne en Internet para superar el mayor Número Primo conocido hasta la fecha
• Cómo acelerar los algoritmos de Inteligencia Artificial con Computadores Analógicos Ópticos (AOC)
• Premio Nobel en Física 2025: El trabajo del "Efecto Tunel" que trajo la cuántica a nuestro mundo y abrió la puerta a los ordenadores cuánticos
• Un Reloj Atómico Óptico del MIT con Optimización Cuántica para medir el Tiempo del Futuro
• Quantum Cryptography: Una comunicación con cifrado cuántico
• Factorización de RSA con un Optimizador de Quantum Computing (y Classic Computing)
• Cuánto del tráfico en Internet funciona con Post-Quantum Cryptography
• Algoritmo Cuántico de Grover: Un algoritmo de búsqueda optimizado por superposición cuántica 
• Quantum Sensors: Cuando lo invisible se hace visible gracias al Mundo Cuántico
• Bitcoin vs Quantum Computers: Hora de pasar a Post-Quantum Cryptography

Si miramos el índice del White Paper de MasterCard, podemos ver que está organizado de una manera muy lógica. En la PARTE I se centra en explicar el riesgo de la llegada de los ordenadores cuánticos desde el punto de vista de la ciberseguridad y cuáles son las soluciones más importantes a tomar cuanto antes y por qué.

Figura 4: Índice del white paper "Migration to post-quantum cryptography"

En la PARTE II habla de cómo gestionar el riesgo con el uso de PQC como parte de la gestión del riesgo para diseñar soluciones Quantum Safe. En la PARTE III habla de las regulaciones y los requerimientos por el mundo respecto a Quantum Safe, y analiza las soluciones de PQC y QKD, que es importante entender las diferencias.

La PARTE IV se centra en las implicaciones técnicas de los despliegues de PQC, para que las industrias estén preparadas para entender el impacto en recursos que van a tener, y la PARTE V insta a la migración a PQC con un plan de migración a Quantum Safe. Muy claro y bien organizado.

Figura 5: Resiliencia de la Criptografía actual a los Quantum Computers

Esta primera tabla que os dejo en la imagen anterior es quizá la más clara en cuanto a los riesgos que generan los ordenadores cuánticos en el mundo de la criptografía actual. En ella se tienen los algoritmos de criptografía actual, la estimación de cuánto tiempo aguantarían un ataque con un ordenador cuántico, y cuál es la recomendación urgente para mitigar el riesgo.

Figura 6: Algoritmo de Shor en Wikipedia en Español

Además, la tabla recoge dónde se aplican el Algoritmo de Shor y el Algoritmo de Grover de los que hemos hablado mucho por aquí, que son dos de las grandes amenazas para la criptografía clásica actual de Criptografía de Curva Elíptica y RSA.

Figura 7: Quantum Security Parameter

En la Tabla 1 del White Paper de MasterCard se utiliza el Quantum Security Parameter (qs) como indicador de cuánto de riesgo tiene hoy el uso de cada uno de los algoritmos criptográficos, siendo el menor valor el que más riesgo tiene, y el más alto el que menos riesgo tiene... aún. 

Figura 8: Show me the (e-)money. Hacking a sistemas de pagos digitales
por Salvador Mendoza (Netxing)

Ya sabéis que para un banco todo es una gestión de riesgos, y creedme que ellos ya gestionan muchos de los ataques al dinero digital, o e-money. El libro de "Show me the (e-)money. Hacking a sistemas de pagos digitales" es una joya explicando todos ellos.

Quantum Key Distribution

Una de las partes que trata el White Paper de MasterCard en detalle, como se especifica en el índice, es la utilidad de las tecnologías Quantum Key Distribution (QKD), utilizadas para intercambiar claves de cifrado en enlaces punto a punto. La idea es tan sencilla como enviar la clave criptográfica por un canal cuántico usando la medición del spin de una partícula cuántica. Si Eve intercepta la señal y mide ese spin para acceder a la clave,  al medir su spin, éste es modificado, por lo que la clave que recibe Bob es incorrecta y se detectará.

Figura 9: Enlace QKD

Es decir, desde el punto de vista de la criptografía, si una clave de cifrado se envía usando QKD de Alice a Bob y Eve, el atacante, la intercepta en tránsito y accede a la clave, entonces esta clave sería destruida y Bob nunca llegaría a leer cuál era la clave original, por lo que no habría comunicación y se detectaría la intrusión. 

Figura 10: Enlaces QKD en la industria

Este tipo de enlaces QKD llevan años ya desplegándose en la industria, y en el white paper tenéis múltiples ejemplos de uso de estas situaciones en la industria, que pueden ser de utilidad para fortificar aún más el cifrado de las comunicaciones en tipos de conexiones muy especiales, como enlaces punto a punto entre bancos, comunicaciones entre instituciones gubernamentales, centros de intercambio de acciones de bolsa, o para conexiones entre centros de datos e infraestructura cloud.

Figura 11: Casos de uso para QKD

Sin embargo, no es una solución completa para ser Quantum Safe, y para eso hay que utilizar tecnologías PQC sí o sí, como explica la siguiente tabla donde se comparan ambas soluciones.

Figura 12: Comparación QKD y PQC

En la tabla anterior se deja claro que Post-Quantum Cryptography puede ser una solución completa Quantum Safe, mientras que Quantum Key Distribution es una capa de protección adicional tanto para soluciones PQC como para criptografía basada en RSA y ECC.

Figura 13: Libro de Cifrado de las comunicaciones digitales:
de la cifra clásica a RSA 2ª Edición de 0xWord

Vista la parte de la necesidad, de la solución criptográfica, y la comparación entre QKD y PQC, llega la última parte del documento que tiene que ver con el impacto en rendimiento de las soluciones de Post-Quantum Cryptography.

Impacto en Rendimiento de PQC

El White Paper de MasterCard dedica un montón de información para que los equipos técnicos puedan hacer un buen análisis del impacto que van a tener en sus sistemas la aplicación de las soluciones de Post-Quantum Cryptogrpahy. En la siguiente tabla hay un estudio del impacto de cada uno de los algoritmos PQC en Transacciones Por Segundo (TPS), siendo menor este número cuanto más seguro y de mayor tamaño son las claves.

Figura 14: Impacto en TPS de los algoritmos PQC

También hay un estudio del impacto en tamaños para medir los almacenamientos y consumos de ancho de banda que puede suponer aplicar los diferentes algoritmos PQC, como podéis ver en la siguiente tabla, donde están los tamaños de las claves de encapsulación y desencapsulación, la texto cifrado y la clave compartida utilizada en los algoritmos de KEM (Key Exchange Mechanism) para el intercambio de las claves, y el tamaño de las claves de firma de los algoritmos de DSA (Digital Signature Algorithm).

Figura 15: Impacto en el tamaño de las claves de los algoritmos PQD

Por supuesto, la suma de menos TPS y más tamaños de clave, tiene un impacto directo en el rendimiento del sistema, así que han puesto a disposición dos tablas comparativas. La primera, un gráfico detallado con los coeficientes de ralentización de las soluciones PQC en las capas de cifrado TLS dependiendo de los algoritmos y los tamaños de claves utilizados. 

Figura 16: Coeficiente de ralentización en entornos puros PQC

Muy interesante ver como un SPHINCS+, conocido como SLH-DSA (Stateless Hash-based Digital Signature Algorithm) es el doble de lento en despliegues PQC puros que un ECDSA (Eliptic Curve Digital Signature Algorithm).

Figura 17: Coeficiente de ralentización en entornos híbridos PQC

Este impacto es más dispar, e incluso puede llegar a ser mayor, en entornos híbridos, así que cuanto antes tengas los despliegues completos hechos en modo puro, menor será el impacto de las soluciones PQC en la industria de la tecnología.

Más sobre Quantum Security

Cloudflare es el mayor despliegue de Internet de Post-Quantum Cryptography, y aunque ya os he hablado un podo de ello en el artículo de Cuánto del tráfico en Internet funciona con Post-Quantum Cryptography, os hablaré más adelante en otro artículo de las diferentes soluciones de arquitectura PQC que puedes tener con los servicios de Cloudflare.

Figura 18: Soluciones de arquitectura PQC que puedes

tener con los servicios de Cloudflare

También puedes participar, comentar y aprender, además, en el Foro de Quantum Security al que puedes conectarte con tu cuenta de MyPublicInbox. Primero inicia sesión con tu cuenta de MyPublicInbox, y luego visita este enlace para poder entrar en el foro.

Figura 19: Foro Público de Quantum Security de

la Universidad de Deusto en MyPublicInbox

Como ves, el mundo de la tecnología nos exige seguir aprendiendo día a día, así que espero que tomes fuerzas durante estas fiestas, y estés a tope para el año que viene que vamos a tener que seguir el ritmo de la tecnología con más intensidad que nunca.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)