// ESTACIÓN 03 · CAPA 3 · TÚNELES SITE-TO-SITE

IPSec — túneles entre sedes

Si TLS protege paquetes individuales y SSH una shell, IPSec protege una IP entera. Es el pegamento criptográfico que une la oficina central con la sucursal, el datacenter con AWS, o tu casa con el firewall corporativo. Llegó 4 años tarde a la migración PQC respecto a TLS, y por una razón muy concreta: los paquetes.

// 01 · EL PROBLEMA

Cifrar capa 3, no aplicación por aplicación

IPSec resuelve un problema distinto al de TLS y SSH. No protege "una conexión HTTP" ni "una shell": protege todo el tráfico IP que pasa entre dos extremos, sea cual sea la aplicación. Por eso vive en el kernel, no en la aplicación.

IPSec no es un protocolo, son dos: IKE (Internet Key Exchange, hoy IKEv2 — RFC 7296) que es la fase de control donde se autentican los peers y se acuerdan las claves; y ESP (Encapsulating Security Payload — RFC 4303) que es el protocolo de datos que cifra y autentica cada paquete IP. El esquema mental es: IKE habla por UDP/500 para negociar, ESP encapsula los datos en paquetes propios (protocolo IP 50).

El uso típico empresarial es tunnel mode entre dos firewalls: la sede de Madrid quiere hablar con la sucursal de Barcelona, sus firewalls levantan un túnel IPSec y todo el tráfico 10.0.0.0/8 ↔ 192.168.0.0/16 viaja cifrado por Internet como si fuera una LAN privada. El usuario en cada sede no sabe que existe — su HTTP normal va por debajo del túnel sin enterarse.

INTERNET · CUALQUIERA PUEDE ESCUCHAR TÚNEL IPSEC · IKEv2 + ESP [ESP] a8f3 19c2 e7b1 [ESP] SEDE MADRID FW 10.0.0.0/8 LAN SEDE BARCELONA FW 192.168.0.0/16 LAN Para los hosts internos, las dos LANs son una sola red privada
Tunnel mode: dos firewalls cifran TODO el tráfico entre sus LANs sobre Internet

IPSec tiene dos casuísticas de cifrado distintas que conviene tener en mente: el plano de control (IKEv2, donde se hacen el handshake y se renegocian claves) y el plano de datos (ESP, donde viajan los paquetes ya cifrados). Cada uno tiene su criptografía y la migración PQC les afecta de forma distinta.

// 02 · LA HISTORIA

De IKEv1 al draft de ML-KEM

IPSec lleva 30 años en producción. La cronología tiene más cicatrices que la de TLS — IKEv1 fue particularmente complicado de implementar y se mantuvo demasiado tiempo en redes empresariales.

// 03 · ESTADO DEL ARTE CLÁSICO

Lo que hoy se considera "bien hecho"

Una configuración IPSec sólida en 2026, sin meternos todavía en PQC, separa claramente las dos fases (control y datos) y elimina todo lo legacy de IKEv1.

Versión IKE
IKEv2 exclusivamente. Nunca IKEv1, ni siquiera para compatibilidad con dispositivos antiguos.
DH groups (IKE)
Group 19 (ECDH P-256) o superior. Idealmente Group 31 (X25519). Nunca Groups 1, 2, 5 (DH 768/1024/1536 bits).
Cifrado IKE
AES-256-GCM (AEAD, sin MAC adicional) o AES-256-CBC + HMAC-SHA-256. Nunca 3DES, AES-CBC con HMAC-SHA1.
Auth IKE
Certificados X.509 con RSA-3072+ o ECDSA P-256. PSK solo en escenarios controlados. Nunca XAUTH ni hybrid auth de IKEv1.
Cifrado ESP
AES-256-GCM (AEAD). Nunca NULL encryption ni AES-CBC sin AEAD verificado.
PFS
Activado en cada rekey de Child SA. Si se compromete la clave maestra del IKE, los datos pasados siguen seguros.
Lifetime
IKE SA: máximo 24 h. Child SA: máximo 1 h o 4 GB de tráfico. Rekeys agresivos limitan el daño de cualquier compromiso.

Esto define el "bien hecho" clásico. Importante: IPSec tiene una superficie de configuración brutalmente grande comparado con TLS. Es donde más fácil es meter la pata sin darse cuenta.

// 04 · LA AMENAZA CUÁNTICA

Túneles que duran décadas, capturas que nunca expiran

IPSec es probablemente el caso más sangrante de harvest-now-decrypt-later. Un túnel site-to-site lleva años activo, transporta de todo (correo interno, SAP, AD, código fuente, bases de datos), y la criptografía clásica que lo protege caerá entera con Shor.

DH / ECDH (IKE Phase 1)
Shor lo rompe. La clave maestra del IKE SA queda comprometida y de ahí se derivan todas las claves de Child SA.
Roto · Shor
RSA · ECDSA (auth de peers)
Shor las rompe. Un atacante podría falsificar el certificado de un peer y establecer un túnel impostor.
Roto · Shor
~
AES-128-GCM (ESP)
Grover lo deja en ~64 bits efectivos. Insuficiente. Solución: pasar a AES-256-GCM.
Débil · Grover
AES-256-GCM (ESP)
Clave de 256 bits. Grover lo deja en ~128 bits efectivos. Aguanta perfectamente.
Resiste
Tu túnel IPSec lleva 8 años activo. Cualquier estado-actor con acceso a un proveedor de tránsito ya tiene capturas de todo el tráfico. El día Q descifrarán también el correo de hace ocho años.

Aquí hay un agravante específico de IPSec: el plano de control (IKE) se renegocia cada pocas horas, pero la identidad de los peers (certificados X.509) puede llevar años. Si alguien falsifica una CA con Shor el día Q, puede impersonar tu firewall retroactivamente y proactivamente. Esto se solapa con el problema de las CAs internas — un agujero criptográfico que muchas empresas tienen sin saberlo, con CAs raíz emitidas en 2015 y válidas hasta 2045.

// 05 · LA SOLUCIÓN PQC

Un puente, un framework y un draft

IPSec llegó tarde a PQC respecto a TLS y SSH, pero por una vez tarde tuvo ventajas: el camino se hizo en tres pasos limpios — un puente temporal (PPK), un framework (RFC 9370), y la espec final (draft ML-KEM IKEv2).

RFC 8784 · 2020
Post-quantum PSK (PPK)
el puente
Mezcla una pre-shared key de alta entropía en la derivación de claves de Child SA. No es PQC real — sigue usando DH clásica — pero la PSK no se transmite por el canal, así que un atacante con quantum no puede recuperarla. Es protección parcial contra harvest-now-decrypt-later.
RFC 9370 · 2023
Multiple KEX en IKEv2
el framework
Permite negociar hasta 7 intercambios de claves adicionales sobre el clásico. Resuelve el problema crítico de tamaño: las claves PQC son grandes y no caben en un IKE_SA_INIT, así que se usan rondas adicionales (IKE_INTERMEDIATE) con fragmentación.
draft-ietf · 2025-2026
ML-KEM en IKEv2
la solución final
Híbrido PQ/T: combina ECDH clásica con ML-KEM-768 ó 1024. Sigue siendo Internet-Draft (versión 05, marzo 2026), pero ya hay implementaciones interoperables en Cloudflare, Cisco, Fortinet y strongSwan.

¿Por qué IPSec llegó 4 años tarde?

Una respuesta concreta: el MTU. Las claves públicas y ciphertexts de ML-KEM son grandes — ML-KEM-1024 incluye una clave pública de 1568 bytes. El paquete UDP típico de IKE difícilmente acepta eso sin fragmentación IP, que es problemática en muchas redes (firewalls que tiran fragmentos, NAT que no reensambla bien). RFC 9370 introdujo IKE_INTERMEDIATE — rondas adicionales antes de la autenticación — específicamente para mover claves PQC con fragmentación a nivel de IKE en lugar de a nivel de IP.

TLS no tuvo este problema porque va sobre TCP y no le importa el MTU UDP. SSH tampoco. IPSec sí, y por eso necesitó tres años de trabajo IETF para resolverlo bien.

Estado real por frente

Mitigación intermedia
PPK · disponible
Soporte amplio en strongSwan, Libreswan, Cisco y la mayoría de firewalls empresariales. Se puede activar hoy con configuración estándar. Es la respuesta razonable mientras se completa la migración a ML-KEM.
PQC real
ML-KEM · pre-GA
Disponible en strongSwan 6.0+, Cloudflare IPSec (GA), Cisco y Fortinet (interoperando con Cloudflare). El draft IETF aún no es RFC final, pero las implementaciones ya son compatibles entre sí.
Auth de peers
No desplegado
Las firmas de los certificados X.509 que autentican peers IPSec siguen siendo RSA/ECDSA. No hay PQC en producción aún. Mismo problema que TLS y SSH — y aquí pesa más porque las CAs internas suelen tener vidas larguísimas.
// 06 · CHECKLIST DE MADUREZ

Los 6 criterios de la auditoría

Los criterios para IPSec tienen una particularidad: el escalón Hybrid-Ready tiene dos puertas distintas para llegar — vía PPK (RFC 8784) o vía multiple KEX (RFC 9370). Las dos cuentan, porque las dos protegen contra harvest-now-decrypt-later.

// IPSEC · 6 CRITERIOS · 90 PTS MAX
"No lo sé" cuenta como área ciega · no penaliza, no puntúa
  1. 01. ¿Qué versión de IKE usan tus túneles?
    Classical
    IKEv1 todavía en producción · 0 pts (crítico)
    Hybrid
    IKEv2 exclusivamente · 10 pts
    Quantum
    IKEv2 + RFC 9370 (multiple KEX habilitado) · 15 pts
  2. 02. ¿Qué DH groups permites en IKE?
    Classical
    Permite Groups 1/2/5 (DH 768-1536) · 0 pts (crítico)
    Hybrid
    Group 19 (P-256) o superior · 10 pts
    Quantum
    ML-KEM (Group 35-37) habilitado en al menos un túnel · 15 pts
  3. 03. ¿Qué cifrado usas en IKE y ESP?
    Classical
    Permite 3DES, AES-CBC con HMAC-SHA1 · 0 pts (crítico)
    Hybrid
    AEAD (AES-128/256-GCM) · 10 pts
    Quantum
    AES-256-GCM exclusivamente · 15 pts
  4. 04. ¿Cómo autenticas los peers?
    Classical
    PSK estática compartida entre múltiples sites · 0 pts
    Hybrid
    Certificados X.509 con RSA-3072+ o ECDSA P-256 · 10 pts
    Q-Day Proof
    Certificados X.509 + PPK (RFC 8784) activado como mitigación · 15 pts
  5. 05. ¿Tienes PFS y rekey agresivo?
    Classical
    Sin PFS o lifetime > 24h en Child SA · 0 pts
    Hybrid
    PFS activo, IKE SA <24h, Child SA <8h · 10 pts
    Quantum
    PFS + Child SA <1h o <4GB · 15 pts
  6. 06. ¿Tienes inventario de túneles y agilidad de configuración?
    Classical
    Sin inventario centralizado · cada túnel configurado manualmente · 0 pts
    Hybrid
    Inventario completo · cambios de config en días · 10 pts
    Q-Day Proof
    IaC (Terraform/Ansible) + capacidad de rollout PQC en horas · 15 pts

Mapeo a badge: 0–30 Classical · 31–55 Hybrid-Ready · 56–75 Quantum-Safe · 76–90 Q-Day Proof. La ruta práctica recomendada hoy para empresas: activar PPK donde se pueda (es config estándar, mitiga harvest-now-decrypt-later) mientras se planifica la migración a ML-KEM cuando los firewalls de producción lo soporten — Cisco, Fortinet, Palo Alto y strongSwan ya están en ello.