TLS · La web cifrada

// 01 · EL PROBLEMA

¿Quién protege tu candado?

Cuando abres https://banco.com, tres cosas tienen que pasar antes de que tu navegador y el servidor se intercambien un solo byte de datos.

Autenticación: ¿el servidor es realmente quien dice ser, o es un atacante en medio haciéndose pasar por el banco? Acuerdo de clave: ¿cómo establecen una clave secreta compartida sin que nadie escuchando pueda obtenerla, sabiendo que todo el tráfico es público? Cifrado del tráfico: una vez tienen la clave, ¿cómo cifran lo que se envían sin comprometerse?

TLS (Transport Layer Security) es el protocolo que resuelve los tres problemas a la vez. Es la capa invisible debajo de HTTPS, IMAPS, SMTPS y prácticamente cualquier "S" que veas en un protocolo de Internet. El atacante a derrotar es el MitM — Man-in-the-Middle — alguien con capacidad de interceptar el tráfico: desde otro usuario en la misma Wi-Fi del aeropuerto hasta un ISP malicioso o un Estado. TLS tiene que funcionar incluso asumiendo que el atacante ve absolutamente todo lo que pasa por la red.

El túnel TLS protege la comunicación incluso cuando el atacante ve todos los paquetes

// 02 · LA HISTORIA

De SSL 2.0 a TLS 1.3 + PQC

30 años de iteraciones, vulnerabilidades con nombre propio y mejoras incrementales hasta llegar al handshake actual. La línea es roja al principio (todo lo que ya está roto) y se va volviendo cuántica al final.

1995

SSL 2.0 · Netscape

Roto desde el día 1, con vulnerabilidades graves de diseño. Deprecado oficialmente en 2011.
1996

SSL 3.0

Mejor diseño, pero también caería con el ataque POODLE en 2014. Deprecado.
1999

TLS 1.0 · RFC 2246

Primera versión bajo el paraguas IETF. Vulnerable a BEAST (2011). Deprecado oficialmente en 2021.
2006

TLS 1.1

Mitiga BEAST. Deprecado en 2021 junto con 1.0.
2008

TLS 1.2 · RFC 5246

El caballo de batalla durante una década. Aún se considera aceptable si está bien configurado (sin RC4, sin CBC, sin SHA-1).
2018

TLS 1.3 · RFC 8446

Reescritura profunda: handshake en 1-RTT (o 0-RTT), elimina algoritmos rotos (RC4, MD5, SHA-1, RSA key exchange, CBC), perfect forward secrecy obligatorio.
2024

NIST FIPS 203/204/205

Se publican los primeros estándares post-cuánticos: ML-KEM, ML-DSA y SLH-DSA. Empieza la migración real.
2024 →

TLS 1.3 + ML-KEM en producción

Chrome y Cloudflare habilitan X25519MLKEM768 por defecto. Es probablemente lo único PQC que ya estás usando hoy sin saberlo.

// 03 · ESTADO DEL ARTE CLÁSICO

Lo que hoy se considera "bien hecho"

Sin meternos todavía en post-cuántica, esto es lo que en 2026 se considera una configuración TLS sólida. Es la línea base contra la que vamos a comparar cuando llegue el momento de hablar de Shor.

Versión

Mínimo TLS 1.2, idealmente solo TLS 1.3. Nunca SSL 3.0, TLS 1.0 o TLS 1.1.

Key exchange

ECDHE con curvas X25519 o P-256. Nunca RSA key exchange — no da forward secrecy.

Auth servidor

Certificado con clave ECDSA P-256 o RSA-2048 mínimo, firmado por una CA en el trust store del cliente.

Cifrado simétrico

AEAD obligatorio: AES-128-GCM, AES-256-GCM o ChaCha20-Poly1305. Nunca CBC, RC4, 3DES o NULL.

Hash

SHA-256 o superior. Nunca MD5 o SHA-1.

Forward secrecy

Obligatoria. Si se filtra la clave privada del servidor mañana, el tráfico capturado hoy debe seguir siendo ilegible.

Esto es lo que hoy se considera seguro. Y aquí viene el problema.

// 04 · LA AMENAZA CUÁNTICA

Qué rompe Shor, qué debilita Grover

TLS clásico se apoya en dos problemas matemáticos difíciles: el logaritmo discreto en curvas elípticas (ECDHE para acuerdo de clave, ECDSA para firmas) y la factorización de enteros grandes (RSA, tanto en key exchange — donde aún se use — como en firmas). Ambos son fáciles para un ordenador cuántico suficientemente grande ejecutando el algoritmo de Shor.

Esto es lo que sobrevive y lo que no:

✕

ECDHE / DH clásico

Shor lo rompe. El acuerdo de clave queda comprometido y todo el tráfico se puede descifrar.

Roto · Shor

✕

RSA / ECDSA · firmas

Shor las rompe. La autenticación del servidor (certificado) queda comprometida — un atacante puede impersonar.

Roto · Shor

~

AES-128

Grover reduce la seguridad efectiva a ~64 bits. Insuficiente. Solución: usar AES-256, que queda en ~128 bits efectivos.

Débil · Grover

~

SHA-256

Grover lo afecta pero los 128 bits efectivos siguen siendo aceptables para la mayoría de usos.

Aceptable

✓

AES-256 · ChaCha20-Poly1305

Clave de 256 bits, mismo análisis Grover: ~128 bits efectivos. Aguanta.

Resiste

El cifrado simétrico aguanta razonablemente bien con tamaños de clave de 256 bits. El problema serio está en el key exchange y en las firmas, que son asimétricos y se apoyan precisamente en los problemas que Shor sabe resolver.

Harvest Now, Decrypt Later. Atacantes con capacidad estatal están capturando tráfico TLS cifrado ahora mismo y guardándolo. Cuando llegue Q-Day, descifrarán retroactivamente todo lo que tenga interés.

Cualquier dato con valor más allá de ~10 años está ya en riesgo hoy si viaja sobre TLS clásico — historias clínicas, secretos industriales, comunicaciones diplomáticas, propiedad intelectual. Por eso la migración no es algo de 2030, es algo de ahora.

// 05 · LA SOLUCIÓN PQC

ML-KEM, ML-DSA y los híbridos

En agosto de 2024, NIST publicó los primeros estándares post-cuánticos. Tres familias, tres usos:

FIPS 203

ML-KEM

ex CRYSTALS-Kyber

KEM (Key Encapsulation Mechanism) que sustituye a ECDHE/DH para acuerdo de clave. Tres niveles: ML-KEM-512, 768 y 1024. Basado en el problema Module-LWE sobre retículos.

FIPS 204

ML-DSA

ex CRYSTALS-Dilithium

Firmas digitales que sustituyen a ECDSA y RSA. También basado en retículos. Tres niveles. Es el sustituto principal para certificados X.509.

FIPS 205

SLH-DSA

ex SPHINCS+

Firmas alternativas solo basadas en hashes. Más conservadoras criptográficamente, pero más lentas y con firmas mucho más grandes. Útil donde se prima seguridad sobre rendimiento.

Estado real en TLS 1.3

Acuerdo de clave

Desplegado

Se está desplegando X25519MLKEM768 — un híbrido que combina X25519 clásico con ML-KEM-768. La clave final deriva de ambos: si uno cae, el otro protege. Habilitado por defecto en Chrome desde abril de 2024 y en Cloudflare desde 2023.

Firmas / certificados

Mucho más atrasado

Los certificados PQC con ML-DSA o SLH-DSA existen como prototipo pero no están desplegados en CAs públicas. El cuello de botella es el tamaño: un certificado ML-DSA pesa ~3-4 KB (vs ~500 B de ECDSA), y una cadena completa puede inflar el handshake. Área activa de investigación e IETF.

¿Por qué híbrido y no PQC puro?

Porque ML-KEM es nuevo. Lleva relativamente poco tiempo siendo escrutado por la comunidad criptográfica. Si apareciese un ataque clásico contra ML-KEM (improbable pero posible), el componente X25519 del híbrido seguiría protegiendo la sesión.

Híbrido = seguro contra el atacante cuántico y contra fallos en el propio PQC.

Es la postura sensata para los próximos 5-10 años: ganamos resistencia cuántica sin apostar todo a un algoritmo todavía joven. Cuando la comunidad lleve más años martilleando ML-KEM sin encontrar grietas, se podrá pasar a PQC puro.

// 06 · CHECKLIST DE MADUREZ

Los 6 criterios de la auditoría

Estos son los criterios que aparecerán en el examen final para esta estación. Cada uno se mapea a un nivel de madurez. Spoiler: ya sabes lo que se va a preguntar.

// TLS · 6 CRITERIOS · 90 PTS MAX

Cada uno admite "no lo sé" — cuenta como área ciega, no penaliza

01. ¿Qué versión mínima de TLS aceptan tus servidores públicos?

Classical

TLS 1.0 / 1.1 / SSL · 0 pts (crítico)

Classical

TLS 1.2 · 5 pts (aceptable)

Hybrid

TLS 1.3 sin 1.2 · 10 pts

Quantum

TLS 1.3 con ML-KEM activo en producción · 15 pts
02. ¿Qué cipher suites tienes permitidas?

Classical

Permite RC4, 3DES, CBC o NULL · 0 pts (crítico)

Hybrid

Solo AEAD (AES-GCM, ChaCha20-Poly1305) · 10 pts

Quantum

Solo AEAD + AES-256 mínimo · 15 pts
03. ¿Qué key exchange y curvas usas?

Classical

Permite RSA key exchange (sin FS) o DH < 2048 · 0 pts

Hybrid

ECDHE con X25519 o P-256 · 10 pts

Quantum

ECDHE + ML-KEM híbrido (X25519MLKEM768) · 15 pts
04. ¿Qué algoritmo de firma tienen tus certificados?

Classical

SHA-1 o MD5 · 0 pts (crítico)

Hybrid

RSA-2048 / ECDSA P-256 con SHA-256 · 10 pts

Q-Day Proof

Pilotos con ML-DSA o SLH-DSA · 15 pts (vanguardia)
05. ¿Tienes HSTS y políticas de transporte?

Classical

Sin HSTS · 5 pts (aceptable)

Hybrid

HSTS activo · 10 pts

Quantum

HSTS + preload + CAA records · 15 pts
06. ¿Tienes inventario y agilidad de configuración?

Classical

Sin inventario de qué versiones/ciphers usa cada servicio · 0 pts

Hybrid

Inventario parcial (públicos sí, internos no) · 10 pts

Q-Day Proof

Inventario completo + capacidad de cambiar config en <1 semana · 15 pts

Mapeo a badge de la estación: 0–30 Classical · 31–55 Hybrid-Ready · 56–75 Quantum-Safe · 76–90 Q-Day Proof. Cada respuesta "no lo sé" resta del máximo posible y aparece en el reporte como un área a investigar — no penaliza, pero tampoco te da puntos por no saber.