Cómo ser Quantum Safe y desplegar Post-Quantum Cryptography (PQC) con Cloudflare

Llevo ya mucho tiempo hablando de Post-Quantum Cryptography (PQC), de Quantum Key Distribution (QKD) y de Quantum Security en general, así que no podía no dedicarle una pequeña entrada a cómo desplegar PQC utilizando Cloudflare, porque es una de las piezas clave de la plataforma, por lo que es bastante sencillo de realizarlo.

Figura 1: Cómo ser Quantum Safe y desplegar

Post-Quantum Cryptography (PQC) con Cloudflare

Por supuesto, déjame comenzar recomendándote que, si quieres aprender de este mundo, te compres el libro de "Quatum Security: Tecnología Cuántica & Ciberseguridad. Criptográfica Cuántica y Post-Cuántica" donde hablamos de todo este mundo de Quantum Security para que te lo sepas de memoria.

Figura 2: Quatum Security: Tecnología Cuántica & Ciberseguridad.

Criptográfica Cuántica y Post-Cuántica. 

Nuestro nuevo libro en 0xWord escrito por: Chema Alonso,

Pablo González, Fran Ramírez, Carmen Torrano, Daniel Romero,

Javier Álvarez, Mario Piattini, Iker Pastor, Pablo García Bringas

Como ya os había dicho, Cloudflare es el mayor despliegue de Internet de Post-Quantum Cryptography, y aunque ya os he hablado un poco de ello en el artículo de Cuánto del tráfico en Internet funciona con Post-Quantum Cryptography, pero hoy quería hablaros  de las diferentes soluciones de arquitectura PQC que puedes tener con los servicios de Cloudflare.

Figura 3: Soluciones de arquitectura PQC que puedes

tener con los servicios de Cloudflare

Para poder entenderlo, veamos las conexiones a los servicios de una empresa protegida y acelerada en Cloudflare a los que se conecta un determinado usuario, como un viaje por tres zonas totalmente diferentes. La primera entre en el cliente y la plataforma de Cloudflare, la segunda parte sería entre los centros de datos de la red en Edge de Cloudflare, y la tercera zona entre el último centro de datos de Cloudflare y el servidor de la empresa.

Figura 4: Conexiones entre clientes y servicios a través de Cloudflare

En este entorno, para tener PQC en la Zona 1 de la conexión, hay que tener en cuenta que hoy en día Mozilla Firefox, Google Chrome y Android soportan por defecto PQC en modo Hybrid, y con el lanzamiento de iOS 26 Apple en Septiembre de 2025, tenemos HTTP PQC en la parte de cliente en una gran mayoría. 

En la Zona 2 Cloudflare comenzó el despliegue masivo de PQC en todas sus conexiones en el año 2023, y hoy día existe un despliegue completo PQC entre sus nodos. Esto quiere decir que tanto si el cliente en Zona 1 como el servidor en Zona 3 están listos, es posible tener PQC entre el cliente y la red de Cloudflare y entre la red de Cloudflare y el servidor. 

Figura  5: OpenSSL 3.5 con Hybrid ML-KEM en TLS v1.3

En la parte de servidores, la fundación OpenSSL lanzó la versión 3.5 con soporte en modo Híbrido de ML-KEM en TLS v1.3, por lo que todos los servidores en Zona 3 que tengan esta versión desplegada y configurada, ya están listos con soporte PQC.

Figura 6: Arquitectura PQC entre cliente y Cloudflare,

y entre Cloudflare y  el Servidor.

Con esta arquitectura, podría ser que hubiera solo PQC en Zona 1 y Zona 2, o sólo PQC en Zona 2 y Zona 3, pero al menos se tendría siempre parte del tráfico cifrado con criptografía post-cuántica. 

PQC en Zona 1: Cliente & Cloudflare

Vista la arquitectura anterior, siempre que hubiera uno de los clientes con soporte para PQC, tendríamos soporte de criptografía post-cuántica en Zona 1, pero... ¿y si ninguno es compatible? Bien, en ese caso Cloudflare tiene el Cliente WARP que es compatible con PQC para establecer el túnel de conexión con Cloudflare.

Figura 7: Cliente WARP gratuito para MacOS

En este caso, si te vas a descargar el cliente gratuito de Cloudflare WARP tendrías una conexión tunelizada con PQC entre MacOS donde se utilizaría Cloudflare como Secure Web Gateway para navegar usando PQC, lo que haría que la conexión cliente tuviera soporte PQC sí o sí.

Figura 8: Conexión con cliente WARP

Este cliente - que es gratuito y al que le dedicaré alguna entrada posterior - permite que la conexión con la plataforma de Cloudflare se enmascare con el protocolo MASQUE que usa PQC, lo que soluciona el problema para todos los clientes. En el mundo empresarial, el cliente WARP está en Zero Trust Network Access, que lleva muchas más funciones empresariales, pero ya os contaré más de éste también en algún otro artículo.

PQC en Zona 3: Cloudlfare & Servidor

Como hemos podido ver en el gráfico de la figura anterior, si el servidor tiene soporte para PQC entonces estará todo resuelto, pero si no, tendríamos una zona aún sin criptografía post-cuántica. Para solucionar esto, Cloudflare permite utilizar Cloudflared, que es un servicio de túnel usando MASQUE con PQC para conectar un servidor con la plataforma de Cloudflare.

Figura 9: Tunelizando un servidor usando Cloudflared con PQC

Puedes descargar el servicio de Cloudflared desde GitHub y ejecutarlo en tu servidor, después, debes crear un servicio en tu cuenta de Cloudflare para que de conecte con él, y listo, habrías resuelto el último tramo de tu conexión para que también tuviera PQC.

Figura 10: Cloudflared en GitHub

No es un proceso nada complejo, y en la documentación del servicio puedes encontrar todos los detalles que necesitas para configurar este puente en unos minutos, que no necesitas mucho más para tunelizar con PQC una conexión a Internet usando Cloudflared.

Figura 11: Documentación de Cloudflared en GitHub

Ya os iré contando más detalles de estos procesos, pero si te gustan estos temas de Quantum Security, puedes participar, comentar y aprender en el Foro de Quantum Security al que puedes conectarte con tu cuenta de MyPublicInbox. Primero inicia sesión con tu cuenta de MyPublicInbox, y luego visita este enlace para poder entrar en el foro.

Figura 12: Foro Público de Quantum Security de

la Universidad de Deusto en MyPublicInbox

Además, aquí te dejo todos los artículos que he publicado en este blog sobre estos temas por si quieres leer con calma todo. 

• Quantum Computing Cybersecurity Preparedness Act: Comienza la era de Ciberseguridad Post-Quantum en Estados Unidos
• Hamming Quasi-Cyclic (HQC-KEM): Nuevo Key-Encapsulation Mechanism en Post-Quantum Cryptography
• FrodoKEM: Un Key-Encapsulation Mechanism Quantum-Safe (PQC) que recibe su nombre por "El señor de los Anillos"
• La Gran Búsqueda de Números Primos de Mersenne en Internet para superar el mayor Número Primo conocido hasta la fecha
• Cómo acelerar los algoritmos de Inteligencia Artificial con Computadores Analógicos Ópticos (AOC)
• Premio Nobel en Física 2025: El trabajo del "Efecto Tunel" que trajo la cuántica a nuestro mundo y abrió la puerta a los ordenadores cuánticos
• Un Reloj Atómico Óptico del MIT con Optimización Cuántica para medir el Tiempo del Futuro
• Quantum Cryptography: Una comunicación con cifrado cuántico
• Factorización de RSA con un Optimizador de Quantum Computing (y Classic Computing)
• Cuánto del tráfico en Internet funciona con Post-Quantum Cryptography
• Algoritmo Cuántico de Grover: Un algoritmo de búsqueda optimizado por superposición cuántica 
• Quantum Sensors: Cuando lo invisible se hace visible gracias al Mundo Cuántico
• Bitcoin vs Quantum Computers: Hora de pasar a Post-Quantum Cryptography
• El White Paper de MasterCard que urge a pasar a Quantum Safe: Post-Quantum Cryptography (PQC) & Quantum Key Distribution (QKD)
• Dyber: Hardware-Accelerated Post-Quantum Cryptography (PQC)

Espero que estos temas te estimulen a ir haciendo cada día más cosas con las tecnologías alrededor del mundo cuántico, porque cada día vamos a ver nuevos avances al respecto. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)