Qué significa "harvest now, decrypt later"
Harvest now, decrypt later (HNDL) es una estrategia de ataque en la que un adversario graba hoy comunicaciones cifradas, conserva el texto cifrado indefinidamente y lo descifra cuando ordenadores cuánticos criptoanalíticamente relevantes puedan romper el intercambio de claves de clave pública que lo protegía. La interceptación ocurre ahora; el compromiso llega años después. Cualquier dato cuyo secreto deba sobrevivir a ese intervalo ya está expuesto.
No es un escenario alarmista de proveedores: es una hipótesis de planificación dentro de los propios organismos de normalización. El informe de transición post-cuántica del NIST, IR 8547, declara que el NIST "prevé priorizar la migración a esquemas de establecimiento de claves resistentes a lo cuántico" precisamente "para proteger contra los ataques 'harvest now, decrypt later', en particular en protocolos interactivos como TLS e IKE" [2]. Cuando la institución que redacta los estándares criptográficos organiza su propia migración en torno a un ataque, ese ataque ha dejado de ser hipotético.
Por qué las llamadas grabadas son el objetivo principal
La interceptación masiva del tráfico en tránsito es una práctica documentada y con décadas de historia en los servicios de inteligencia de señales, y el almacenamiento es la parte más barata de la operación. Lo que hace a la voz singularmente expuesta es el desajuste entre cuánto tiempo sigue siendo sensible una conversación y lo poco que estaba pensada para durar su protección. Una llamada sobre una adquisición de defensa, un intercambio diplomático o una negociación de M&A pueden seguir siendo dañinos si se divulgan diez, veinte o treinta años después. Sin embargo, en la mayoría de los despliegues VoIP la confidencialidad de toda la llamada depende de una única clave de sesión negociada al inicio de la llamada con Diffie-Hellman de curvas elípticas clásico: exactamente la clase de primitivas que rompe el algoritmo de Shor.
La taxonomía de riesgo de la propia UE dice lo mismo. La hoja de ruta PQC del Grupo de Cooperación NIS clasifica un caso de uso como de alto riesgo cuando "comprometer la confidencialidad después de 10 años o más seguiría causando un daño significativo", y añade que esto "implica en particular que los atacantes tienen una fuerte motivación para capturar y almacenar esa información cifrada ya hoy con el fin de romper el cifrado en el futuro" [3]. La voz de gobiernos, defensa y consejos de administración encaja en esa definición casi por construcción. Y a diferencia de una contraseña robada, una conversación grabada no puede rotarse, revocarse ni recifrarse a posteriori. El texto cifrado que el adversario ya posee es definitivo.
La matemática de los plazos: el teorema de Mosca
La herramienta estándar para razonar sobre el plazo es la desigualdad formulada por Michele Mosca, de la Universidad de Waterloo. Sea x el número de años que sus datos deben permanecer confidenciales, y el número de años que llevará su migración, y z el número de años hasta que exista un ordenador cuántico criptoanalíticamente relevante. Siempre que x + y > z, parte de los datos que cifra hoy será legible dentro de su vida de secreto. En la nota de 2015 donde expuso el argumento, Mosca estimaba "una probabilidad de 1/2 de romper RSA-2048 para 2031" [1].
Las estimaciones de z varían, y por eso se siguen de forma sistemática. El Quantum Threat Timeline Report publicado por el Global Risk Institute con evolutionQ —una encuesta anual cuya edición de 2024 combina las valoraciones de 32 expertos— concluyó que la amenaza "podría estar más cerca de lo que se pensaba" [6]. Pero la observación decisiva es lo poco que importa la incertidumbre sobre z para la voz. Con x entre 10 y 25 años para las conversaciones descritas arriba e y en un horizonte realista de 3 a 5 años de migración empresarial, las llamadas de hoy solo están a salvo si z supera aproximadamente los 15 a 30 años. Ninguna estimación seria publicada ofrece ese consuelo.
Los plazos ya están escritos
En Estados Unidos, el NIST IR 8547 —el plan de transición publicado como borrador público inicial el 12 de noviembre de 2024— programa la criptografía de clave pública vulnerable a lo cuántico, incluidos RSA y los esquemas de curvas elípticas en el nivel de seguridad de 112 bits, como obsoleta ("deprecated") después de 2030 y prohibida ("disallowed") después de 2035, en línea con el objetivo del National Security Memorandum 10 de mitigar el riesgo cuántico para 2035 [2].
En la Unión Europea, la Recomendación de la Comisión del 11 de abril de 2024 encargó al Grupo de Cooperación NIS una hoja de ruta coordinada. Su primer entregable fija tres hitos: todos los Estados miembros inician estrategias nacionales de transición PQC y completan los First Steps de la hoja de ruta antes de finales de 2026; los casos de uso de alto riesgo se migran "lo antes posible, a más tardar a finales de 2030"; los casos de uso de riesgo medio siguen antes de finales de 2035, con soluciones híbridas de criptografía clásica más PQC recomendadas siempre que sea viable [3].
La ANSSI francesa publicó una transición en tres fases: fase 1 (hoy), en la que el establecimiento de claves post-cuántico híbrido aporta defensa en profundidad; fase 2 (no antes de 2025), en la que puede reivindicarse resistencia cuántica pero la hibridación sigue siendo obligatoria; y fase 3 (probablemente no antes de 2030), en la que la PQC autónoma pasa a ser aceptable. La ANSSI recomienda explícitamente introducir la defensa en profundidad post-cuántica lo antes posible en productos destinados a proteger información más allá de 2030 [4]. Leídos juntos, los tres documentos transmiten un mensaje coherente: 2030 y 2035 son techos para la migración general; para los datos con larga vida de secreto, la propia lógica de los reguladores sitúa el plazo en el presente.
Qué requiere realmente una "voz quantum-safe"
Empecemos por lo que no está roto. AES-256-GCM, el cifrado simétrico que protege el flujo de medios en los sistemas de voz serios, no es el punto débil. El mejor ataque cuántico conocido contra cifrados simétricos, el algoritmo de Grover, como mucho reduce a la mitad la longitud efectiva de la clave, y el NIST IR 8547 confirma que las primitivas simétricas con al menos 128 bits de seguridad clásica seguirán siendo adecuadas [2]. AES-256 está muy por encima de esa línea. Las afirmaciones de que los ordenadores cuánticos "romperán AES" son marketing, no criptoanálisis.
El punto débil es el intercambio de claves. La clave de sesión que usa AES-256 se negocia, en casi todas las plataformas de voz existentes, con RSA o Diffie-Hellman de curvas elípticas, y eso es lo que derrota el algoritmo de Shor. Una voz quantum-safe exige por tanto una propiedad concreta y verificable: un KEM post-cuántico estandarizado —ML-KEM, estandarizado en FIPS 203 y finalizado el 13 de agosto de 2024 [5]— protegiendo el establecimiento de la clave de sesión de cada llamada, desplegado ahora y no en el plazo de 2030, idealmente en combinación híbrida con un esquema clásico, como recomiendan la hoja de ruta de la UE y la ANSSI [3][4]. Cada llamada completada antes de ese cambio es un texto cifrado clásico más en el archivo de alguien.
La voz añade una precisión que las checklists PQC genéricas pasan por alto: un túnel TLS post-cuántico hasta su proveedor SIP no hace que la llamada sea quantum-safe. Si las claves de medios se generan, derivan o custodian en un servidor que las negoció con criptografía clásica, el tráfico recolectado sigue siendo rompible sea cual sea el transporte. El KEM debe proteger el propio camino extremo a extremo de la clave de medios.
Una checklist de migración para la voz
Primero, inventariar y clasificar. Cartografíe cada trayecto donde la voz atraviesa infraestructuras que usted no controla —redes de operadores, nubes de conferencias, troncales SIP, tramos en itinerancia— y asigne a cada flujo una vida de secreto. Según la definición de la hoja de ruta de la UE, todo lo que siga siendo dañino después de diez años pertenece a la clase de alto riesgo y migra primero [3].
Después, exija pruebas, no hojas de ruta. Una respuesta creíble de un proveedor a "¿son ustedes quantum-safe?" nombra el KEM (ML-KEM según FIPS 203), indica si opera en modo híbrido, muestra resultados de known-answer tests contra los vectores de prueba oficiales y explica dónde se generan y almacenan las claves de medios. La criptoagilidad —la capacidad de actualizar los algoritmos criptográficos de un producto sin retirarlo ni sustituirlo— debería ser un requisito contractual; la ANSSI fomenta explícitamente la criptoagilidad en los productos futuros [4].
Por último, ordene por vida de secreto, no por conveniencia de compras. Las conversaciones cuyas transcripciones seguirán importando en 2040 migran primero. Esperar a que terminen los ciclos de certificación antes de añadir PQC al intercambio de claves es en sí una decisión de riesgo: cada mes de retraso es otro mes de texto cifrado recolectable que ninguna auditoría futura podrá recuperar.
En qué punto está Q-Audion
Este análisis es la premisa de diseño de Q-Audion, el sistema de voz anti-interceptación cifrado en hardware desarrollado por BCrypto en Turín. Q-Audion implementa ML-KEM-1024 —el conjunto de parámetros de mayor seguridad de FIPS 203— en un acelerador criptográfico de hardware dedicado para el establecimiento de claves de cada llamada, con AES-256-GCM protegiendo el flujo de medios. Su "DMA Air-Gap", pendiente de patente, sitúa un micrófono MEMS dedicado dentro de un enclave seguro construido sobre un TEE ARM TrustZone-M, aislado galvánicamente del teléfono anfitrión, de modo que el sistema operativo anfitrión nunca entra en el camino del audio; un TinyML en el dispositivo analiza el audio contra deepfakes. El sistema abarca un auricular cifrado, aplicaciones Android, iOS y de escritorio, un servidor soberano y una VPN PQC; funciona junto a teléfonos BYOD estándar y se apoya en una cadena de suministro diseñada en la UE. En 2026 se presentaron tres patentes ante la oficina italiana de patentes (UIBM).
El estado honesto: Q-Audion está en TRL 6 —firmware completo en funcionalidades, con known-answer tests que condicionan cada build de la CI multiplataforma— y aún no posee certificación FIPS 140-3, Common Criteria ni de agencias nacionales. Las organizaciones que hoy exigen equipos certificados deben sopesarlo abiertamente. Pero el harvest-now-decrypt-later invierte el orden habitual: la certificación le protege en la evaluación de mañana, mientras que el establecimiento de claves post-cuántico le protege de la grabación de hoy. Para las conversaciones cuyo secreto debe durar más de una década, el segundo reloj es el que ya está en marcha.