Cloudflare apunta a una seguridad poscuántica completa para 2029

 (blog.cloudflare.com)
5 puntos por GN⁺ 23 일 전 | 1 comentarios | Compartir por WhatsApp
  • Cloudflare se fijó la meta de migrar la autenticación y el cifrado de todos sus productos a seguridad poscuántica para 2029, y aceleró su calendario para prepararse para el Q-Day (el momento en que una computadora cuántica rompa la criptografía actual)
  • Actualmente, más del 65% del tráfico usa cifrado poscuántico, pero la empresa señala que la protección total no es posible si los sistemas de autenticación no son resistentes a la computación cuántica
  • Investigaciones de Google y Oratomic muestran que el avance en la capacidad de las computadoras cuánticas para romper criptografía va más rápido de lo previsto, lo que plantea la posibilidad de que el Q-Day llegue antes de 2030
  • Cloudflare puso como máxima prioridad garantizar la seguridad cuántica de sus sistemas de autenticación y está impulsando la transición de seguridad en toda su línea de productos con hitos por etapas
  • Todas las actualizaciones poscuánticas se ofrecerán gratis sin importar el plan, reforzando la misión de Cloudflare de “ayudar a construir un Internet mejor

El objetivo de Cloudflare de lograr seguridad poscuántica completa en 2029

  • Cloudflare estableció el objetivo de convertir toda su línea de productos a seguridad poscuántica (PQ) para 2029, incluyendo el área de autenticación (Authentication)
  • Tras empezar a ofrecer certificados SSL gratuitos en 2014, avanzó en la preparación para la transición poscuántica en 2019, y en 2022 aplicó cifrado poscuántico a todos los sitios web y APIs
  • Actualmente, más del 65% del tráfico de Cloudflare usa cifrado poscuántico, pero aclara que no se puede lograr protección total si los sistemas de autenticación no son seguros frente a la computación cuántica
  • Investigaciones recientes de Google y Oratomic muestran que la velocidad de avance en la capacidad de las computadoras cuánticas para romper criptografía es mayor de lo esperado, lo que abre la posibilidad de que el Q-Day (el día en que una computadora cuántica rompa la criptografía actual) se adelante a antes de 2030
  • En respuesta, Cloudflare está acelerando su calendario interno de preparación para el Q-Day y empujando una transición de seguridad centrada en los sistemas de autenticación

Avances en computación cuántica y aceleración del Q-Day

  • Google anunció que mejoró de forma significativa el rendimiento de un algoritmo cuántico para romper criptografía de curva elíptica (ECC), y sin publicar el algoritmo en sí, demostró su existencia con una prueba de conocimiento cero (Zero-Knowledge Proof)
  • Ese mismo día, Oratomic publicó estimaciones de recursos necesarios para romper RSA-2048 y P-256 en una computadora cuántica basada en átomos neutros (Neutral Atom), y en el caso de P-256 planteó que sería posible con solo 10 mil qubits
  • Esto aclaró por qué Google también está desarrollando en paralelo el enfoque de átomos neutros, mientras que Oratomic dejó algunos detalles intencionalmente sin revelar
  • A raíz de esto, Google adelantó su meta de transición poscuántica propia a 2029, y el CTO de IBM Quantum Safe comentó que no puede descartarse un “ataque moonshot” contra objetivos de alto valor alrededor de 2029
  • Scott Aaronson advirtió a fines de 2025 que había llegado el momento en que las estimaciones de recursos para romper criptografía con computación cuántica dejarían de hacerse públicas, y Cloudflare considera que “ese momento ya pasó”

Los tres ejes del avance de la computación cuántica

  • Hardware: se están desarrollando en paralelo distintos enfoques como átomos neutros, superconductores, trampas de iones, fotónica y qubits topológicos, y la mayoría de los laboratorios trabaja en varios de ellos al mismo tiempo
    • Antes había dudas sobre su escalabilidad, pero recientemente el enfoque de átomos neutros ha avanzado más rápido
    • Aunque aún no se ha demostrado una expansión a gran escala, varios enfoques se están acercando a un punto crítico
  • Corrección de errores (Error Correction): todas las computadoras cuánticas tienen mucho ruido, por lo que los códigos de corrección de errores son esenciales
    • En el enfoque superconductor se necesitan alrededor de 1,000 qubits físicos por cada qubit lógico, pero Oratomic plantea que con el enfoque de átomos neutros bastarían 3 o 4
  • Software: Google aceleró de forma importante el algoritmo para romper P-256, y Oratomic presentó mejoras adicionales optimizadas para qubits reconfigurables
  • Con el avance simultáneo en estos tres ejes, la previsión del Q-Day se acortó de después de 2035 a antes de 2030

La necesidad de una transición de seguridad centrada en la autenticación

  • La respuesta poscuántica en la industria hasta ahora se ha centrado principalmente en el cifrado (Encryption) y en defenderse de ataques Harvest-Now/Decrypt-Later (HNDL)
  • Los ataques HNDL consisten en recopilar datos hoy para descifrarlos en el futuro con una computadora cuántica, por lo que son la amenaza principal cuando el Q-Day todavía parece lejano
  • Pero si el Q-Day está cerca, los sistemas de autenticación se vuelven un riesgo mayor, ya que un atacante podría falsificar servidores o credenciales de acceso
  • La exposición de una sola clave de autenticación vulnerable a la computación cuántica puede comprometer todo el sistema, y los sistemas de actualización automática pueden convertirse en una vía para ejecución remota de código (RCE)
  • Por eso, más importante que preguntar “¿cuándo estarán en riesgo los datos cifrados?” es preguntar “¿cuándo entrará un atacante con una clave cuánticamente falsificada?

  • Priorizar los sistemas más vulnerables

    • Como las primeras computadoras cuánticas serán caras y escasas, los atacantes priorizarán certificados raíz, claves de API y certificados de firma de código, que son claves de largo plazo y alto valor
    • Cuanto mayor sea el costo de ataque, mayor será la prioridad de las claves de largo plazo, pero si aparecen CRQC rápidas (computadoras cuánticas criptográficamente relevantes), los ataques HNDL volverán a ser más convenientes
    • Sophie Schmieg, de Google, comparó esto con el cambio estratégico en el descifrado de Enigma durante la Segunda Guerra Mundial

  • Prevención de ataques de downgrade

    • No basta con dar soporte a cifrado PQ; también hay que desactivar por completo la criptografía vulnerable a la computación cuántica
    • En entornos como la web, donde hay gran diversidad de clientes, una desactivación completa es difícil
    • En HTTPS puede haber protección parcial mediante PQ HSTS o Certificate Transparency
    • Después de eliminar toda la criptografía vulnerable a la computación cuántica, también hay que reemplazar secretos ya expuestos, como contraseñas y tokens
    • La transición de autenticación es mucho más compleja que la de cifrado y requiere un periodo de migración de varios años

  • Considerar las dependencias de terceros

    • El Q-Day afectará a todos los sistemas, así que hay que evaluar no solo a los socios con comunicación directa, sino también dependencias indirectas como finanzas e infraestructura
    • Se necesita priorizar el reemplazo de claves de largo plazo, colaborar con terceros y coordinar una transición simultánea en todo el ecosistema

Hoja de ruta poscuántica de Cloudflare

  • Actualmente, Cloudflare aplica cifrado poscuántico por defecto en la mayoría de sus productos, mitigando los ataques HNDL
  • Su meta es lograr seguridad poscuántica completa en toda su línea de productos, incluyendo autenticación, para 2029
  • Estableció hitos intermedios por etapas según la percepción de riesgo y la dificultad de despliegue, con ajustes previstos según evolucione la situación

Recomendaciones por tipo de organización

  • Empresas

    • Se recomienda incluir compatibilidad poscuántica como requisito de compra
    • Es importante mantener prácticas básicas de seguridad como software actualizado y emisión automática de certificados
    • Hay que evaluar temprano el impacto en el negocio de una respuesta insuficiente por parte de proveedores clave

  • Gobiernos y reguladores

    • Definir calendarios claros y designar una entidad líder acelera la transición en toda la industria
    • La fragmentación de estándares entre países es un riesgo, por lo que hace falta una implementación consistente basada en estándares internacionales
    • Más que generar miedo, lo importante es liderar una transición preventiva basada en confianza

  • Clientes de Cloudflare

    • Como Cloudflare aplica automáticamente seguridad poscuántica por defecto, no se requiere una acción adicional
    • Aun así, sigue existiendo la necesidad de actualizar componentes externos como navegadores, aplicaciones y servidores de origen
    • Cloudflare One ofrece protección de cifrado poscuántico de extremo a extremo mediante tunneling

Filosofía de Cloudflare y política de oferta gratuita

  • La privacidad y la seguridad son elementos básicos de Internet, por lo que todas las actualizaciones poscuánticas se ofrecen gratis a clientes de todos los planes
  • Así como el TLS gratuito ayudó a expandir el cifrado en la web, el cifrado poscuántico gratuito impulsará la seguridad de la próxima generación de Internet
  • La Connectivity Cloud de Cloudflare ayuda a proteger redes empresariales, construir aplicaciones a gran escala, acelerar el rendimiento web, defenderse de DDoS e implementar zero trust
  • Los usuarios pueden acceder a un Internet más rápido y seguro mediante la app 1.1.1.1
  • Basada en su misión de “ayudar a construir un Internet mejor”, Cloudflare está liderando la seguridad para la era poscuántica

Lecturas relacionadas

1 comentarios

 
GN⁺ 23 일 전
Comentarios de Hacker News

  • Sería interesante comparar el proceso de adopción del cifrado PQ (resistente a la computación cuántica) con la antigua adopción de HTTPS
    Cloudflare está en una posición que le permite impulsar esta transición con facilidad, ya que puede separar los ciclos de actualización del navegador o del dispositivo del usuario de las actualizaciones del backend
    Creo que esto avanzará aplicando PQ de forma selectiva en algunos sitios y, a medida que se vuelva obligatorio, los navegadores irán empujando a los usuarios a cambiar mediante advertencias o mecanismos de UX
    Antes pensaba que “el riesgo de una actualización apresurada era mayor que el riesgo de un ataque cuántico”, pero con la información reciente la balanza se ha inclinado hacia que una transición rápida es mejor
    Pienso que actualizar sitios web será mucho más fácil que otros sistemas, especialmente Bitcoin, los datos almacenados, el hardware, etc.

    • Si aparece evidencia real de una computadora cuántica, los navegadores podrían marcar los cifrados no PQ como “no seguros” y forzar la transición de los sitios web
      Quizás sería posible en 2 o 3 años cambiando solo la especificación criptográfica en nuevas versiones como TLS 1.4 o QUIC 2
      El problema es que muchos dispositivos antiguos sin actualizaciones de firmware ya no podrán soportar los nuevos protocolos y podrían quedar desconectados en masa
    • Si esperamos ahora, después habrá que moverse con mucha más urgencia
      Agregaron a Cloudflare Radar las estadísticas de soporte PQ en servidores de origen, y aunque están por debajo de los navegadores, el nivel es mejor de lo esperado
      Todavía falta mucho camino, incluidos problemas de autenticación
    • Entre los sistemas más difíciles de actualizar que un sitio web, tampoco hay que olvidar la transición a IPv6

  • En nuestro servicio qi.rt.ht se pueden hacer consultas PQ directamente
    Permite verificar qué dominios tienen seguridad PQ aplicada

    • Me parece una API realmente hermosa

  • Según la prueba de TLS post-cuántico de Cloudflare, news.ycombinator.com:443 usa X25519, así que no tiene seguridad PQ
    Ojalá ya tengan un plan de migración
    Gracias a las herramientas modernas, la transición no parece difícil. ¿Alguien sabe qué stack usa HN?

    • Sorprende que la tasa de soporte en navegadores sea mucho mejor de lo esperado

  • Mozilla actualizó recientemente su guía de configuración TLS del lado del servidor y recomienda el intercambio de claves PQ X25519MLKEM768
    Según la documentación oficial, se eliminó el perfil de compatibilidad con clientes antiguos, y también desapareció el fallback para IE11/Win7, así que ahora el mínimo es Win10 o superior

  • Me pregunto si existe algún caso real en el que un sistema cuántico haya roto criptografía

    • En los últimos dos meses el ambiente entre los criptógrafos cambió drásticamente
      Con la combinación de varios papers y rumores, se formó un consenso de que la llegada de un CRQC (computadora cuántica criptográficamente relevante) podría adelantarse mucho más de lo que se pensaba
      Algunos expertos incluso lo ven como algo “inminente”
    • Por ahora sigue siendo teórico
      Aun así, existe la preocupación de que organismos como la NSA puedan obtener en secreto una computadora cuántica, por lo que los investigadores están emitiendo alertas tempranas
      Si se espera a tener evidencia clara, puede que ya sea demasiado tarde
    • Sigue siendo teoría, pero está surgiendo un consenso de que un sistema cuántico capaz de atacar de verdad podría llegar antes de lo previsto
      Filippo Valsorda, mantenedor del paquete criptográfico de Golang, publicó un resumen cuya conclusión es: “hay que estar preparados para 2029”
    • Todavía no se ha roto nada, pero si los datos se recopilan ahora, después podrían descifrarse con una computadora cuántica, así que hay que prepararse desde ya
    • La verificación de seguridad de los propios algoritmos PQ tampoco está completamente cerrada

  • Me pregunto si en el futuro los CPU planean soportar aceleración por hardware para PQC
    Si PQC se vuelve el estándar, me preocupa que los dispositivos viejos se vuelvan lentos

    • PQC solo se necesita para la criptografía asimétrica (la fase de handshake)
      Después, la criptografía simétrica (AES, ChaCha20, etc.) se ve poco afectada por lo cuántico, así que no será reemplazada por un tiempo
      Los CPU comunes ya de por sí no suelen tener aceleración para criptografía asimétrica, así que no debería haber una gran diferencia
    • En realidad, incluso sin aceleración por hardware, puede procesarse lo bastante rápido con operaciones vectoriales
      La mayoría de los algoritmos nuevos se basan en álgebra lineal modular, así que hay mucho margen para optimización

  • Me pregunto si hay que cambiar ahora las claves SSH a cifrado PQ

    • OpenSSH soporta intercambio de claves PQ desde 2022
      A partir de la versión 10.1 (octubre de 2025), aparecerá una advertencia si no se usa PQ
      No hace falta generar claves nuevas; basta con actualizar el software de ambos lados
      Eso sí, cuando se migre a firmas PQ sí habrá que reemplazar claves, aunque no es urgente

  • Me pregunto si hay desventajas al cambiar a algoritmos PQ
    Incluso si la computación cuántica termina fracasando, ¿habría alguna razón para no usarlos igual?

    • De hecho, los algoritmos PQ han sido más rigurosamente evaluados que los métodos anteriores
      Aun así, la criptografía de curva elíptica (ECC) tiene claves y firmas pequeñas, lo que la hace eficiente en ancho de banda, y también inspira mucha confianza por la dificultad matemática del problema
      En cambio, los algoritmos PQ tienen implementaciones simples, así que es menos probable una implementación insegura, y también es más difícil elegir una instancia débil
      ML-DSA y ML-KEM son estables y además rápidos
    • Los certificados PQ son mucho más largos que los actuales
      No sé las cifras exactas, pero aumentan el espacio de almacenamiento y el volumen de transferencia
    • Los algoritmos PQ son más lentos y requieren más intercambio de datos que ECC tradicional, pero ofrecen el mismo nivel de seguridad

  • Mullvad ya soporta cifrado PQ
    Personalmente lo recomiendo; para mí es una empresa de 10/10

  • Tengo otra pregunta distinta
    Cuando todos se hayan pasado a criptografía resistente a lo cuántico, ¿cuál será entonces el sentido de las computadoras cuánticas?
    Ahora todo gira en torno al descifrado, pero fuera de eso, ¿su uso sería más bien para investigación, como plegamiento de proteínas u optimización logística?
    Incluso si apareciera una computadora cuántica de 10 millones de dólares capaz de romper una clave de 256 bits por hora, si todos los sistemas ya migraron a PQ entonces no sería más que una herramienta destructiva
    Romper ECC no beneficia a la humanidad
    Entonces queda la duda de para qué podrían usarse después las computadoras cuánticas