Adelántate con la criptografía cuántica segura

Adelántate con la criptografía cuántica segura

Aprende a proteger los datos confidenciales de usuarios de la amenaza de la computación cuántica y a salvaguardar su privacidad. Exploraremos diferentes ataques cuánticos, su impacto en los protocolos criptográficos existentes y cómo defendernos de ellos usando criptografía cuántica segura. Aprenderás a usar TLS de seguridad cuántica para proteger los datos de la red y las API de seguridad cuántica de CryptoKit para proteger los datos de las apps.

Capítulos
- 0:00 - Introducción
- 1:18 - Ataques cuánticos
- 4:49 - Criptografía cuántica segura
- 8:56 - Protección de datos de red
- 12:08 - Protección de protocolos personalizados
Recursos
Hola, soy Cathie del equipo de ingeniería criptográfica. Hoy veremos cómo tomar la delantera con la criptografía poscuántica.
Creas apps que ocupan un lugar privilegiado en la vida de las personas. Tu app puede tener acceso a datos de usuario personales y confidenciales, y los protege con criptografía.
Pero el avance de la computación cuántica amenaza la seguridad de esta criptografía, pues sus ataques vulneran o debilitan muchos algoritmos muy usados. Para anticiparte a este riesgo, migra a la criptografía poscuántica. Comenzaré repasando diferentes ataques cuánticos a la criptografía, a qué protocolos afectan y cómo defenderse de ellos con la criptografía poscuántica. Luego analizaré cómo proteger los datos de red contra ataques cuánticos con la encriptación poscuántica de TLS. Al final explicaré cómo proteger los protocolos personalizados con las nuevas API poscuánticas de CryptoKit.
Primero, los ataques cuánticos a la criptografía.
Piensa en una app con acceso a datos personales y confidenciales, como salud, ubicación y fotos. Se protegen con criptografía. Por ejemplo, los carga a un servidor para su respaldo y sincronización entre dispositivos. Estos datos están protegidos con TLS. En este y otros procesos, la criptografía es clave para proteger los datos de usuario.
Pero esta criptografía se ve amenazada por ataques cuánticos. Esto incluye la encriptación, usada para garantizar la confidencialidad de los datos, y las firmas, usadas para garantizar su autenticidad. Los expertos coinciden en que habrá potentes computadoras cuánticas y en que, aun antes de su existencia, algunos ataques cuánticos ya son relevantes.
Por ejemplo, un atacante podría estar capturando datos encriptados ahora para desencriptarlo después. Veamos cómo podría darse el ataque.
Volviendo al ejemplo anterior, la app tiene datos de usuario confidenciales, como salud, ubicación y fotos, y desea enviarlos al servidor. Encripta los datos con TLS y los envía. Un atacante que vigila la red podría capturarlos y almacenarlos. Aún no puede desencriptarlos, pero puede esperar a tener acceso a una computadora cuántica lo suficientemente potente en el futuro para hacerlo y obtener acceso a los datos de usuario confidenciales.
Este tipo de ataque afecta los datos encriptados a los que un atacante puede acceder, en especial datos en tránsito. Afecta las apps que envían datos a un servidor o a través de una red, o que los sincronizan entre dispositivos. Vulnera la confidencialidad, pues el atacante puede leer el tráfico de red tras desencriptarlo. Los atacantes podrían estar capturando tráfico de red ahora mismo, así que debemos actuar ya para mitigar esos ataques. Este tipo de ataque se considera pasivo. Ahora veamos un ejemplo de un ataque activo, en el que un atacante con una computadora cuántica participa activamente en el protocolo.
Imagina una app con una clave de firma vinculada a un usuario. La app usa esa clave para autenticar al usuario en el servidor con una firma.
Un atacante que vigila el tráfico de red intercepta esa firma. Con una computadora cuántica potente, vulnera la criptografía y roba la clave de firma. Usa la clave robada para crear una firma, que envía al servidor para hacerse pasar por el usuario. El servidor acepta la firma del atacante como si viniera del usuario. El atacante luego actúa en nombre del usuario.
El ataque activo que mencioné afecta las firmas. Vulnera la autenticidad, ya que el atacante falsifica la autenticación y actúa en nombre de la víctima. Afecta las apps con autenticación de usuario, como WebAuth y la autenticación multifactor, y las apps con autenticación de datos, como la firma de activos. Es una amenaza futura porque aún no existen computadoras cuánticas capaces de llevar a cabo estos ataques. Pero están a la vista.
Los ataques cuánticos son una amenaza real para la seguridad de la criptografía más usada. Para anticiparse a estos ataques, la comunidad de criptografía se dedicó a crear y estandarizar nuevos algoritmos seguros contra ataques cuánticos, lo que se denomina “criptografía poscuántica”. Estos algoritmos ya pueden adoptarse. Pueden ejecutarse en las computadoras clásicas (no cuánticas) actuales y ofrecen protección contra ataques de computadoras tanto clásicas como cuánticas. Entraré en más detalles, pero ten en cuenta que, aun si la criptografía es compleja, las soluciones son sencillas.
La criptografía puede ser asimétrica o simétrica.
Los ataques cuánticos afectan distinto a estas categorías, por lo que sus estrategias de mitigación difieren. Empezaré con la criptografía asimétrica, que abarca la encriptación y las firmas de clave pública. La criptografía asimétrica clásica se basa en problemas matemáticos como RSA y logaritmos discretos en curvas elípticas que las computadoras clásicas no pueden resolver.
Pero las computadoras cuánticas podrán resolver estos problemas mucho más rápido que las computadoras clásicas y vulnerar los algoritmos. Por eso, se deben reemplazar por algoritmos poscuánticos, que son tan complejos que ni las computadoras clásicas ni las cuánticas pueden resolverlos.
Para una encriptación segura contra ataques cuánticos, usa la encriptación de clave pública híbrida (HPKE) poscuántica.
Para firmas seguras contra esos ataques, usa firmas híbridas poscuánticas. Ambas son construcciones híbridas poscuánticas, es decir, combinan algoritmos poscuánticos nuevos con algoritmos clásicos actuales. Vulnerar construcciones híbridas requiere vulnerar el algoritmo poscuántico y el clásico, por lo que ofrecen las mejores garantías de seguridad y son la recomendación de Apple para la criptografía poscuántica. La criptografía simétrica abarca la encriptación simétrica y los códigos de autenticación de mensajes. Estos algoritmos se basan en problemas matemáticos difíciles para las computadoras clásicas. Pero las computadoras cuánticas afectan estos problemas de forma muy distinta de los algoritmos asimétricos. Solo logran una pequeña reducción constante del factor de seguridad de estos problemas, es decir, solo debilitan la criptografía simétrica. Los algoritmos simétricos, clásicamente seguros, pueden ser cuánticamente seguros si se duplica el tamaño de su clave.
Actualiza tus cifrados de 128 bits a claves de 256 bits. Por ejemplo, pasa de AES-128 a AES-256. En cuanto a los ataques cuánticos, el principal objetivo de migrar a la criptografía poscuántica es defenderse contra ataques que roban hoy para desencriptar mañana. Esto se debe a que los protocolos envían datos encriptados que alguien podría estar capturando ahora mismo. Para protegerse, es necesario migrar a una encriptación poscuántica para los datos en tránsito. Esto es vital si tu protocolo maneja datos de usuario confidenciales.
Protegerse de estos ataques es tan importante que Apple ya tomó estas medidas para iMessage.
iMessage protege los chats confidenciales enviados a través de la red. Para anticiparse a los ataques cuánticos, en iOS 17.4, Apple lanzó iMessage PQ3, que es lo último en mensajería poscuántica a gran escala. Se rediseñó de cero el protocolo criptográfico de iMessage para ofrecer una encriptación híbrida poscuántica en la configuración inicial y la renovación continua de claves de los chats. Conoce más sobre la motivación y el diseño de iMessage PQ3 en el blog de seguridad de Apple. iMessage PQ3 es un gran avance en mensajería poscuántica a gran escala, pero es solo el comienzo en la protección de datos de red. Los datos de red, incluido el tráfico HTTPS, están protegidos con TLS. Veamos cómo proteger esos datos de ataques cuánticos migrando a la versión poscuántica de TLS.
Con la encriptación poscuántica, TLS 1.3 protege los datos de red de ataques que roban hoy para desencriptar mañana. Esta actualización usa un intercambio de claves poscuántico y es posible gracias a la labor del Instituto Nacional de Estándares y Tecnología y el Grupo de trabajo de ingeniería de Internet. Los principales proveedores de servicios ya adoptaron la encriptación poscuántica de TLS. Está disponible para su uso y es fácil de habilitar.
Desde iOS 26, la encriptación poscuántica de TLS viene activada por defecto en los sistemas operativos de Apple para las API de red recomendadas, URLSession y Network.framework. Tal como la versión clásica de TLS, esto protege la comunicación entre el cliente y el servidor de terminación TLS.
Debes migrar las API de red heredadas, como Secure Transport, ya que no admitirán la versión poscuántica de TLS. Actualizar pilas de redes personalizadas es más difícil. Esta es una gran oportunidad para migrar a URLSession o respaldar la pila de redes con Network.framework.
Para que la encriptación poscuántica de TLS funcione entre los dispositivos y tus servidores, también debes habilitarlo en los servidores. Muchos desarrolladores usan servicios de hosting web o de contenido. La mayoría ya admite la encriptación poscuántica de TLS. Puede venir activada o activarse fácilmente con un cambio de configuración. Si implementas tus servidores, tendrás un poco más de trabajo, pues debes actualizar explícitamente la configuración y las bibliotecas TLS. Obtén más información en la documentación sobre cómo preparar tu red para la encriptación poscuántica de TLS.
Quizá uses servicios del sistema que encriptan los datos que envían a los servidores de Apple. Apple toma la delantera: en iOS 26, los servicios del sistema incorporan la encriptación poscuántica de TLS para el cliente, y pronto también para el servidor. CloudKit guarda los datos de tu app en iCloud y los sincroniza entre dispositivos y en la web.
Las notificaciones push de Apple permiten enviar contenido oportuno y relevante a los usuarios.
iCloud Private Relay protege el DNS y cualquier tráfico HTTP no encriptado en tu app. Todos los servicios del sistema incorporarán la encriptación poscuántica de TLS.
Las apps integradas de Apple que manejan datos de usuario confidenciales, como Safari, Clima y Mapas, lo admitirán gradualmente. Tu app también debería hacerlo.
Casi siempre, la encriptación poscuántica de TLS basta para protegerse de ataques que roban hoy para encriptar mañana. TLS no es la única forma de proteger los datos en tránsito. Quizá tengas protocolos de criptografía personalizados que usen API de criptografía para proteger los datos. Si es así, migra a las API de criptografía poscuántica en su lugar.
Para eso, primero haz un inventario de tu uso actual de criptografía. Identifica dónde tus protocolos usan criptografía con impacto cuántico, como firmas y datos encriptados en tránsito. Planifica cómo actualizarlos para que usen criptografía poscuántica en su lugar. Implementa estas actualizaciones con CryptoKit, gracias a las nuevas API poscuánticas.
CryptoKit es una estructura Swift de las plataformas de Apple con API para algoritmos criptográficos. En iOS 26, CryptoKit tiene nuevas API poscuánticas que son eficaces, fáciles de usar y seguras. Dan protección adicional contra ataques de temporización y canal lateral mediante la ejecución aislada por hardware con Secure Enclave. Tienen garantías de corrección, ya que se comprobó formalmente que las implementaciones clave cumplen funcionalmente con las especificaciones estandarizadas.
Veamos cómo usar las nuevas API de CryptoKit con un ejemplo: una app de escalada con un protocolo criptográfico propio para proteger datos en tránsito.
La app tiene acceso a datos de salud, recorridos de geolocalización y fotos de viajes de escalada del usuario. Estos datos deben encriptarse de extremo a extremo al enviarse a otros dispositivos. Son confidenciales y su privacidad debe protegerse ante el servidor y posibles atacantes. Para ello, usas un protocolo personalizado que encripta los datos antes de enviarlos a los otros dispositivos del usuario a través del servidor.
La versión poscuántica de TLS no es suficiente aquí, ya que TLS protege la comunicación entre el cliente y el servidor de terminación TLS, pero en este caso no se deben revelar los datos al servidor.
Toda app que encripte datos en tránsito, como la de este ejemplo, debe usar la encriptación poscuántica para protegerlos de ataques que roban hoy para desencriptar mañana.
A partir de iOS 26, CryptoKit admite una API de encriptación poscuántica basada en la encriptación de clave pública híbrida (HPKE) poscuántica. Esto es ideal para migrar la app de escalada y proteger así los datos de usuario confidenciales contra ataques cuánticos. Veamos un código de muestra para ilustrar cómo usar esta nueva API.
El emisor y el receptor definen el conjunto de encriptación HPKE poscuántica de X-Wing. Veremos X-Wing más a fondo tras la demostración de código. En el extremo receptor, creas un par de claves X-Wing. Si tu app ya usa el HPKE clásico con CryptoKit, migrar a la HPKE poscuántica solo implica cambiar el conjunto de encriptación y el tipo de clave. Las únicas partes específicas de la API poscuántica son estas primeras líneas.
El receptor comparte su clave pública.
Luego, se crea el emisor con la clave pública del receptor y el receptor con la clave encapsulada del emisor.
El emisor crea un texto encriptado con los datos de usuario confidenciales (datos de salud, recorridos de geolocalización o fotos) y metadatos autenticados. Se lo envía al receptor.
El receptor desencripta el texto encriptado abriéndolo junto con los mismos metadatos autenticados.
Los datos del viaje de escalada del usuario se envían del dispositivo emisor al receptor con encriptación de extremo a extremo poscuántica.
Como vimos, debes usar la HPKE poscuántica para lograr una encriptación segura contra ataques cuánticos. Esto define la clave compartida de HPKE con el mecanismo de encapsulación de claves (KEM) X-Wing.
La HPKE poscuántica y X-Wing son construcciones híbridas, es decir, combinan algoritmos poscuánticos y clásicos para ofrecer las garantías de seguridad de ambos.
ML-KEM es el componente poscuántico básico de X-Wing KEM y otros KEM poscuánticos. ML-KEM tiene mayor sobrecarga de encriptación que sus contrapartes clásicas. Tiene un rendimiento similar o mejor que el de sus contrapartes clásicas. CryptoKit usa una implementación formalmente validada de ML-KEM, es decir, que cumple funcionalmente con la especificación estándar FIPS 203. Admite Secure Enclave, lo que permite ejecutar las operaciones ML-KEM en un entorno aislado por hardware.
Vimos cómo encriptar los datos con la HPKE poscuántica, que es una API de alto nivel disponible en CryptoKit. Si debes implementar tus propios protocolos criptográficos, por ejemplo, para admitir una especificación, CryptoKit también ofrece API poscuánticas de bajo nivel.
La HPKE poscuántica usa X-Wing para la encapsulación de claves, que usa ML-KEM como componente poscuántico. CryptoKit ahora admite todas estas API de encriptación. Del mismo modo, las firmas poscuánticas usan ML-DSA como componente poscuántico. CryptoKit también admite ML-DSA como API de firma. Así como ML-KEM, la implementación de ML-DSA admite Secure Enclave.
La API ML-DSA puede usarse para crear firmas híbridas poscuánticas a nivel del código de la app.
Las API de CryptoKit se ejecutan en el dispositivo del cliente. Ciertos protocolos exigen interoperabilidad criptográfica entre cliente y servidor. Puedes resolver esto fácilmente con Swift Crypto en el servidor. Swift Crypto es una biblioteca Swift compatible con las API de CryptoKit en servidores, para un desarrollo sencillo. Incluye compatibilidad en servidores para todas las API poscuánticas que CryptoKit admite en iOS 26. Como las API poscuánticas son implementaciones de protocolos estandarizados, puedes usar cualquier biblioteca compatible con esos estándares en el servidor. Con estas nuevas API poscuánticas de CryptoKit y Swift Crypto, tienes todo lo que necesitas para migrar a la criptografía poscuántica y proteger tu app de ataques cuánticos. Aprende a usarlas con el código de muestra incluido en los recursos de video.
Ya vimos cómo proteger los datos de tu app contra ataques cuánticos. Primero, asegúrate de que tus datos de red estén protegidos con la encriptación poscuántica de TLS. Es fácil, en especial si usas las API de red recomendadas, que lo tienen habilitado por defecto.
Actualiza la configuración de tu servidor para habilitarlo allí.
Para protocolos personalizados, usa las API poscuánticas de CryptoKit. Usa la HPKE poscuántica para encriptar datos, como en la app de escalada.
Los ataques cuánticos no son algo lejano. Tienen relevancia actual y debemos anticiparnos a ellos migrando a la criptografía poscuántica. Como en la escalada, a paso firme, cima segura.

let ciphersuite = HPKE.Ciphersuite.XWingMLKEM768X25519_SHA256_AES_GCM_256

// Recipient
let privateKey = try XWingMLKEM768X25519.PrivateKey.generate()
let publicKey = privateKey.publicKey

// Sender
var sender = try HPKE.Sender(recipientKey: publicKey, ciphersuite: ciphersuite, info: info)
let encapsulatedKey = sender.encapsulatedKey

// Recipient
var recipient = try HPKE.Recipient(privateKey: privateKey, ciphersuite: ciphersuite, info: info, encapsulatedKey: encapsulatedKey) 

// Sender encrypts data
let ciphertext = try sender.seal(userData, authenticating: metadata)

// Recipient decrypts message
let decryptedData = try recipient.open(ciphertext, authenticating: metadata)
#expect(userData == decryptedData)

- 0:00 - Introducción
- El auge de la computación cuántica supone una amenaza importante para los algoritmos criptográficos actuales, que pueden vulnerarse fácilmente por ataques cuánticos, comprometiendo la seguridad de los datos confidenciales de los usuarios almacenados en las apps. Anticípate a este riesgo, migra a la criptografía cuántica segura. Aprende a proteger los datos de la red mediante el cifrado cuántico seguro en TLS y cómo salvaguardar protocolos personalizados usando nuevas API cuánticas seguras en CryptoKit.
- 1:18 - Ataques cuánticos
- La criptografía es fundamental para proteger los datos de los usuarios en diversos flujos de trabajo, usando TLS para su protección. Sin embargo, esta seguridad está en riesgo debido a ataques cuánticos. Las computadoras cuánticas plantean dos amenazas principales: Ataques del tipo “robar hoy, desencriptar mañana” y ataques cuánticos activos. En el primero, los atacantes pueden interceptar y almacenar datos encriptados ahora y desencriptarlos en el futuro con computación cuántica, lo que rompe la confidencialidad. Este ataque pasivo afecta a los datos encriptados, especialmente a los datos en tránsito, como los datos enviados por las apps a los servidores o los datos sincronizados entre dispositivos. Los ataques cuánticos activos, aunque todavía no son factibles, implican atacantes que utilizan computadoras cuánticas para romper firmas criptográficas, lo que les permite hacerse pasar por usuarios y falsificar la autenticación. Estos ataques afectan a las apps que realizan la autenticación de usuarios y datos. Los expertos coinciden en que es inminente la creación de computadoras cuánticas suficientemente potentes, lo que hace necesarias acciones inmediatas para mitigar estas amenazas.
- 4:49 - Criptografía cuántica segura
- Los ataques cuánticos representan un riesgo significativo para los sistemas criptográficos actuales, por lo que la comunidad criptográfica desarrolló algoritmos de seguridad cuántica, que están listos para su adopción hoy. La criptografía clásica de clave pública, como RSA y las curvas elípticas de inicio de sesión discreto, puede ser desencriptada por completo por las computadoras cuánticas. Necesitas reemplazar estos algoritmos con construcciones híbridas poscuánticas, que combinan algoritmos poscuánticos nuevos con algoritmos clásicos actuales. La criptografía de clave simétrica, que incluye el encriptado de clave simétrica y los códigos de autenticación de mensajes, se ve debilitada por las computadoras cuánticas. Puedes hacer que estos algoritmos sean cuánticamente seguros duplicando el tamaño de la clave. La máxima prioridad es migrar al encriptado cuántico seguro para los datos en tránsito para defenderse contra ataques del tipo “robar hoy, desencriptar mañana”. Apple ya dio este paso al implementar iMessage PQ3 en iOS 17.4, proporcionando encriptado híbrido cuántico seguro para las conversaciones de iMessage.
- 8:56 - Protección de datos de red
- iMessage PQ3 representa un avance significativo en la mensajería segura cuántica, pero la protección más amplia de los datos de la red depende de la actualización a TLS seguro cuántico. TLS 1.3 utiliza un intercambio de claves seguro cuántico. Esta actualización ya fue adoptada por los principales proveedores de servicios y está habilitada de forma predeterminada a partir de iOS 26 para las API de red recomendadas URLSession y Network.framework. Estas API de redes con seguridad cuántica protegen contra ataques del tipo “robar hoy, desencriptar mañana”. Debes migrar las API de red heredadas y habilitar TLS seguro cuántico tanto en el lado del cliente como en el del servidor.
- 12:08 - Protección de protocolos personalizados
- Para proteger los datos de futuros ataques cuánticos, migra a la criptografía cuántica segura. Para los protocolos de criptografía personalizados, esto implica inventariar el uso actual, planificar actualizaciones e implementar estos cambios usando CryptoKit, una estructura Swift disponible en todas las plataformas de Apple. En iOS 26, CryptoKit proporciona una nueva API de encriptación cuántica segura de alto nivel que es eficiente y fácil de usar. Esta API se basa en la encriptación de clave pública híbrida poscuántica (HPKE) y tiene garantías de corrección porque está verificada formalmente. Secure Enclave garantiza la ejecución aislada del hardware para mejorar la protección contra ataques de sincronización y de canal lateral. CryptoKit también tiene API de seguridad cuántica de bajo nivel disponibles. Para la encapsulación de claves, la HPKE poscuántica usa XWing, que utiliza ML-KEM como componente poscuántico. En el caso de las firmas poscuánticas, ML-DSA es el componente poscuántico. Ambas implementaciones también tienen soporte para Secure Enclave. Las apps que encriptan datos en tránsito, como las que manejan información confidencial del usuario como datos de salud o de geolocalización, necesitan usar HPKE poscuántico para establecer una encriptación de extremo a extremo segura cuánticamente. Algunos protocolos requieren interoperabilidad criptográfica entre el cliente y el servidor, para lo cual Swift Crypto proporciona una experiencia de desarrollo perfecta. La biblioteca Swift Crypto proporciona compatibilidad de API con CryptoKit para servidores y garantiza la compatibilidad con todas las API de seguridad cuántica que CryptoKit admite en iOS 26.

Capítulos

Recursos