
VPN post-cuánticas explicadas: qué significa "harvest now, decrypt later" para tu tráfico cifrado
VPN post-cuánticas explicadas: qué significa \"harvest now, decrypt later\" para tu tráfico cifrado
En algún punto de la columna vertebral de internet, un adversario está copiando tu tráfico de VPN y guardándolo en disco. No para leerlo hoy —hoy no es más que ruido envuelto en AES-256—, sino para el día en que una gran computadora cuántica pueda descifrar retroactivamente el handshake que lo protegió. Esa estrategia tiene nombre, harvest now, decrypt later (HNDL, cosechar ahora, descifrar después), y es la razón principal por la que la expresión VPN post-cuántica empezó a aparecer en las páginas de producto en 2024 y 2025.
Vayamos primero a lo importante: una computadora cuántica no es una amenaza a corto plazo para tu cifrado simétrico, pero sí es una amenaza real a largo plazo para el intercambio de claves que establece cada túnel VPN. La solución —el intercambio de claves post-cuántico híbrido construido sobre ML-KEM, recién estandarizado por el NIST— ya está presente en las VPN más populares. Este artículo explica exactamente qué está en riesgo, qué te protege de verdad y te ofrece una checklist neutral respecto a proveedores para distinguir una VPN cuántica-segura real de una simple insignia de marketing.
Qué significa realmente "harvest now, decrypt later"
Toda sesión de VPN empieza con un handshake. Antes de que fluya ningún dato, el cliente y el servidor ejecutan un intercambio de claves para acordar un secreto compartido, que a su vez genera las claves simétricas que cifran el túnel. En WireGuard ese intercambio usa Curve25519 (un Diffie-Hellman de curva elíptica, o ECDH). En OpenVPN e IKEv2/IPsec suele ser ECDH o RSA. Todos son algoritmos asimétricos cuya seguridad descansa en problemas matemáticos —la factorización de enteros y el logaritmo discreto— que las computadoras clásicas no pueden resolver a gran escala.
Una computadora cuántica suficientemente grande y tolerante a fallos que ejecute el algoritmo de Shor puede resolver precisamente esos problemas de forma eficiente. Esa máquina todavía no existe, y las estimaciones creíbles la sitúan a años, o incluso a bastante más de una década, de distancia. El HNDL es peligroso justamente porque no exige que la máquina exista hoy. Un adversario con los recursos para intervenir la fibra o instalarse en un punto de intercambio de internet puede grabar tus sesiones cifradas ahora, archivarlas a bajo coste y descifrarlas cuando el hardware madure. Si captura tu handshake, más adelante podrá recuperar las claves de sesión y leer todo lo que vino después.
El ataque es pasivo y ya está en marcha. El reloj que importa no es "cuándo llegarán las computadoras cuánticas", sino "cuánto tiempo tienen que seguir siendo secretos los datos que envío hoy".
Ese cambio de enfoque es la clave de todo. Los historiales médicos, la correspondencia legal, los repositorios de código fuente, los contactos periodísticos y los secretos de Estado a menudo necesitan permanecer confidenciales durante 10, 20 o 30 años. Cualquiera de esos datos que atraviese hoy un túnel cifrado de forma clásica ya está expuesto ante un cosechador bien financiado, sin importar cuándo ocurra realmente el descifrado.
Por qué el cifrado simétrico está (casi) a salvo y el intercambio de claves no
Un error habitual es pensar que la computación cuántica rompe el "cifrado" en su totalidad. No es así. Los datos en bloque de tu túnel están protegidos por cifradores simétricos —AES-256 o ChaCha20— y estos aguantan notablemente bien frente al ataque cuántico. El mejor algoritmo cuántico conocido contra ellos, el algoritmo de Grover, solo ofrece una aceleración cuadrática en la búsqueda por fuerza bruta. En la práctica, eso reduce aproximadamente a la mitad el nivel de seguridad efectivo.
AES-256 baja a unos 128 bits de seguridad efectiva bajo Grover, algo que sigue estando cómodamente fuera de alcance. Se mantiene seguro.
AES-128 baja en teoría a unos 64 bits, y por eso AES-256 es la opción conservadora, aunque el algoritmo de Grover es notoriamente difícil de paralelizar.
El intercambio de claves asimétrico (ECDH, RSA) es la verdadera víctima. El algoritmo de Shor no reduce su fuerza a la mitad: la hace colapsar por completo.
Así que el eslabón débil no es el cifrador que custodia tus datos, sino el handshake que acordó la clave. Por eso el trabajo post-cuántico en las VPN se concentra casi por entero en la capa de intercambio de claves, y por eso reemplazar ese único componente —dejando AES-256 exactamente donde está— basta para cerrar la ventana del HNDL.
La respuesta del NIST: ML-KEM, FIPS 203 y un respaldo llamado HQC
Tras una competición pública de varios años, el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) finalizó sus primeros estándares post-cuánticos en agosto de 2024. El que importa para las VPN es ML-KEM, el Mecanismo de Encapsulación de Claves basado en Retículos Modulares, publicado como **FIPS 203**. Es la forma estandarizada del algoritmo antes conocido como CRYSTALS-Kyber y es un reemplazo directo del vulnerable intercambio de claves Diffie-Hellman.
FIPS 203 — ML-KEM: el mecanismo de encapsulación de claves que se usa para establecer secretos compartidos. Sus conjuntos de parámetros son ML-KEM-512, ML-KEM-768 y ML-KEM-1024; las VPN usan de forma abrumadora ML-KEM-768.
FIPS 204 — ML-DSA y FIPS 205 — SLH-DSA: los estándares complementarios de firma digital (derivados de Dilithium y SPHINCS+), usados para la autenticación y no para el problema de confidencialidad que ataca el HNDL.
HQC: en marzo de 2025, el NIST seleccionó Hamming Quasi-Cyclic como KEM de respaldo. Lo crucial es que su seguridad descansa en códigos correctores de errores —una matemática completamente distinta a los retículos de ML-KEM—, de modo que si un futuro avance debilitara los esquemas basados en retículos, ya habría una alternativa basada en códigos estandarizada. Se espera su estándar completo hacia 2027.
La conclusión: ML-KEM es hoy el caballo de batalla y HQC es la póliza de seguro. Estandarizar dos KEM sobre fundamentos matemáticos independientes es una cobertura deliberada frente al riesgo de que cualquier familia concreta de problemas difíciles resulte ser menos difícil de lo que se creía.
Intercambio de claves híbrido: por qué clásico + PQC es el valor por defecto responsable
Los algoritmos post-cuánticos son nuevos. ML-KEM ha sobrevivido a un intenso escrutinio público, pero cuenta con mucha menos experiencia real de campo que ECDH, que lleva décadas protegiendo tráfico. Apostar todo tu túnel a un algoritmo joven sería cambiar un riesgo por otro. La respuesta de la industria es el intercambio de claves híbrido: ejecutar un intercambio clásico y uno post-cuántico en paralelo y combinar ambos secretos compartidos en la clave de sesión.
La construcción más común empareja X25519 con ML-KEM-768, escrito a menudo como X25519MLKEM768. Un atacante tiene que romper ambos para recuperar la clave. El criptoanálisis clásico no puede tocar la mitad de ML-KEM, y una computadora cuántica no puede tocar la mitad clásica: ninguna de las dos partes queda desprotegida. La mitad clásica protege frente a un fallo aún no descubierto en el algoritmo nuevo, y la mitad PQC protege frente a Shor. Este diseño de doble seguro es la razón por la que lo híbrido —y no el PQC puro— es el valor por defecto responsable para 2025 y 2026, y es el modo que prácticamente todo despliegue serio ha elegido.
Lo que realmente se ha desplegado: el panorama de las VPN en 2025-2026
Esto ya no es teórico. Nombramos productos concretos aquí únicamente como evidencia de mercado neutral —no como recomendaciones—: la migración está muy avanzada tanto en las VPN de consumo como en los protocolos que las sustentan:
Cloudflare WARP llevó el intercambio de claves post-cuántico a su cliente de VPN de consumo, dentro del impulso más amplio de Cloudflare por hacer del PQC híbrido el valor por defecto en toda su red.
NordVPN incorporó el soporte post-cuántico a NordLynx (su protocolo basado en WireGuard), completando el despliegue en sus aplicaciones en mayo de 2025.
ExpressVPN añadió ML-KEM a su protocolo Lightway en enero de 2025.
Surfshark habilitó la protección post-cuántica en sus conexiones WireGuard.
Merece la pena fijarse en dos patrones. Primero, la acción está ocurriendo en la capa de protocolo —túneles derivados de WireGuard y protocolos propios como Lightway—, no en algún añadido aparte. Segundo, varios proveedores expusieron inicialmente el PQC como una opción activable antes de promoverlo a valor por defecto, que es justo el tipo de detalle que la checklist de más abajo te indica verificar.
El ecosistema más amplio también se está moviendo
Las VPN no migran de forma aislada; van a lomos de una transición general en toda la infraestructura de internet. En noviembre de 2025, AWS habilitó el intercambio de claves híbrido post-cuántico para TLS en una serie de sus servicios, extendiendo la protección PQC al tráfico que llega a sus API. Navegadores y servidores web han pasado discretamente a usar X25519MLKEM768 por defecto en una porción creciente de las conexiones HTTPS. Y los reguladores están fijando plazos firmes: la Dirección de Señales de Australia (ASD) ha indicado que los algoritmos asimétricos clásicos como RSA y ECDH quedarán obsoletos en su conjunto aprobado para 2030, un calendario agresivo que se adelanta al horizonte de aproximadamente 2035 que citan muchos otros organismos. La dirección del cambio es inequívoca: el intercambio de claves puramente clásico está en cuenta atrás.
¿Mi VPN es realmente cuántica-segura? Una checklist neutral respecto a proveedores
"Cuántica-segura" y "lista para lo post-cuántico" son expresiones de marketing sin regular. Una insignia en una página de inicio no te dice nada. Así puedes separar un despliegue genuino de una simple afirmación, con preguntas que puedes plantear a la documentación o al soporte de cualquier proveedor:
¿Es un handshake híbrido? Busca algoritmos con nombre propio: ML-KEM-768 combinado con un intercambio clásico como X25519 (
X25519MLKEM768). Un proveedor que no sabe nombrar el algoritmo probablemente no lo esté usando.¿Qué protocolo y qué plataformas? El PQC se añade por protocolo. Confirma que cubre el protocolo que realmente usas (WireGuard/NordLynx, Lightway, OpenVPN, IKEv2) y que está activo en tu sistema operativo: Windows, macOS, Linux, iOS y Android suelen desplegarse en calendarios distintos.
¿Está en el plano de datos o es solo marketing? Verifica que el intercambio post-cuántico protege el túnel que transporta tu tráfico, y no simplemente la API de inicio de sesión o el certificado TLS del sitio web. La confidencialidad de tu navegación depende específicamente del handshake del túnel.
¿Por defecto o activable? Si el PQC llega como una opción desactivada por defecto, solo estás protegido una vez que la activas. Revisa el ajuste en lugar de darlo por sentado.
¿Cuándo se desplegó y es híbrido? Un proveedor que afirma ofrecer post-cuántico puro sin respaldo clásico asume más riesgo de algoritmo, no menos. Lo híbrido es hoy la opción madura.
Lo que la criptografía post-cuántica NO soluciona
Incluso un handshake híbrido perfectamente implementado resuelve exactamente un problema: la confidencialidad futura del tráfico capturado hoy. No es una mejora de seguridad general, y las expectativas honestas importan. El PQC no hace nada respecto a:
Compromiso del extremo. Si tu dispositivo o el servidor VPN están infectados o incautados, el atacante lee tus datos en claro, antes o después del cifrado. Ningún intercambio de claves ayuda ahí.
Registros y confianza en el proveedor. Una VPN que registra tu actividad sigue siendo un riesgo para la privacidad. El intercambio de claves cuántica-seguro no cambia lo que el propio proveedor puede ver o conservar.
Metadatos. Los tiempos, los tamaños de paquete, los extremos de conexión y los patrones de DNS pueden filtrar muchísimo aunque las cargas útiles sean ilegibles. El PQC protege el secreto de la carga útil, no el hecho de que haya ocurrido una conexión.
Debilidades de autenticación. ML-KEM se ocupa del establecimiento de claves; no arregla credenciales robadas, phishing ni una autenticación de servidor débil. Las firmas post-cuánticas (ML-DSA, SLH-DSA) abordan esa capa por separado.
La conclusión práctica
La protección post-cuántica de las VPN ha pasado de la investigación a los productos comerciales más rápido de lo que suele ocurrir en las transiciones de seguridad, y la razón es el HNDL, un ataque pasivo, barato y que ya está sucediendo. Si tu tráfico tiene que seguir siendo privado durante años, la migración te importa ahora, no el día en que arranque una computadora cuántica.
Actívalo. Si tu VPN ofrece una opción post-cuántica o híbrida, habilítala: el coste en rendimiento es insignificante y la protección es real.
Verifica, no confíes en la insignia. Confirma un handshake híbrido con nombre propio (ML-KEM más un intercambio clásico), en tu protocolo y plataforma, protegiendo el túnel real.
Mantén la perspectiva. El PQC asegura el intercambio de claves frente a la amenaza cuántica del mañana. La higiene de los extremos, un proveedor sin registros en quien confíes y la conciencia sobre los metadatos siguen haciendo el resto del trabajo.
Vigila los plazos. Con reguladores como la ASD de Australia mirando hacia 2030 para retirar la criptografía asimétrica clásica, una VPN sin una hoja de ruta post-cuántica creíble es una VPN con los días contados.
Preguntas frecuentes
¿Qué es una VPN post-cuántica?
Una VPN post-cuántica usa un algoritmo de intercambio de claves que resiste el ataque de las futuras computadoras cuánticas, lo más común es ML-KEM del NIST combinado con un algoritmo clásico en un handshake híbrido. Reemplaza el vulnerable paso ECDH o RSA de la configuración del túnel manteniendo cifradores simétricos como AES-256. El objetivo es proteger el tráfico de hoy frente a la amenaza del harvest now, decrypt later.
¿Qué significa harvest now, decrypt later?
Harvest now, decrypt later (HNDL) es un ataque en el que un adversario graba hoy tu tráfico cifrado y lo almacena, esperando hasta que una computadora cuántica pueda romper el handshake y descifrarlo años después. Funciona porque capturar el intercambio de claves clásico permite a un atacante recuperar las claves de sesión de forma retroactiva. Es una preocupación real para cualquier dato que deba seguir siendo confidencial durante una década o más.
¿Mi VPN es cuántica-segura?
Comprueba si tu proveedor documenta un handshake híbrido que nombre ML-KEM (por ejemplo X25519MLKEM768), confirma que está activo en tu protocolo y sistema operativo, y verifica que protege el túnel de datos y no solo el inicio de sesión o el sitio web. Comprueba también si está activado por defecto o es una opción que hay que habilitar. Si el proveedor no sabe nombrar el algoritmo, trata la afirmación como marketing.
¿Qué es ML-KEM y cómo se relaciona con una VPN cuántica-segura?
ML-KEM (Mecanismo de Encapsulación de Claves basado en Retículos Modulares) es el estándar post-cuántico de intercambio de claves que el NIST publicó como FIPS 203 en agosto de 2024, derivado de CRYSTALS-Kyber. Una VPN con ML-KEM lo usa —normalmente el conjunto de parámetros ML-KEM-768— para establecer el secreto compartido que genera el cifrado del túnel. Es el componente que cierra la vulnerabilidad del HNDL.
¿La computación cuántica rompe el cifrado AES-256?
No. El mejor ataque cuántico contra AES-256, el algoritmo de Grover, solo ofrece una aceleración cuadrática, que reduce aproximadamente a la mitad su fuerza efectiva hasta unos 128 bits, algo que sigue estando muy fuera de alcance. La verdadera debilidad cuántica es el intercambio de claves asimétrico (ECDH, RSA), no el cifrador simétrico que protege tus datos.
¿Por qué las VPN post-cuánticas usan intercambio de claves híbrido en lugar de ML-KEM puro?
El intercambio de claves híbrido ejecuta un algoritmo clásico como X25519 junto a ML-KEM y combina ambos secretos, de modo que un atacante debe romper los dos. Esto protege frente al algoritmo de Shor a la vez que cubre cualquier fallo aún no descubierto en el esquema post-cuántico más nuevo. Es el valor por defecto responsable en 2025-2026 porque ML-KEM tiene mucha menos exposición real que el ECDH, que lleva décadas en uso.
¿Qué VPN ya admiten cifrado post-cuántico?
A fecha de 2025-2026, el intercambio de claves post-cuántico se ha desplegado en productos populares como Cloudflare WARP, el protocolo NordLynx de NordVPN (completado hacia mayo de 2025), Lightway de ExpressVPN (desde enero de 2025) y Surfshark sobre WireGuard. El soporte se añade por protocolo y por plataforma, así que conviene verificar que está activo para tu configuración concreta.



