← Blog · Criptografía

ML-KEM-768 explicada: por qué la encriptación post-cuántica ya no es opcional

· Equipo MONO · 8 min de lectura

El problema: "harvest now, decrypt later"

En 1994, Peter Shor publicó un algoritmo que, corriendo en una computadora cuántica suficientemente grande, factoriza números enteros grandes en tiempo polinómico. Esto rompe RSA. También rompe ECC (las curvas elípticas que usa WhatsApp, Signal y HTTPS en general).

En 2026 no existe aún esa máquina. Pero cualquier estado-nación con presupuesto puede grabar todo el tráfico cifrado que pasa por un cable submarino y almacenarlo. Cuando la cuántica llegue — probablemente entre 2030 y 2035 — descifrarán el pasado.

Las cosas que estás escribiendo hoy a tu asistente IA (contraseñas, secretos médicos, financieros, íntimos) tienen valor por 10+ años. El horizonte de riesgo ya te alcanzó.

La solución: lattice-based crypto

NIST lanzó su competencia de criptografía post-cuántica en 2016. Entre los finalistas ganó CRYSTALS-Kyber, basado en el problema Module Learning With Errors (M-LWE) — un problema matemático sobre retículos (lattices) que permanece difícil incluso para computadoras cuánticas.

En agosto 2024, NIST publicó FIPS 203, estandarizando Kyber como ML-KEM (Module-Lattice Key Encapsulation Mechanism). Tres niveles de seguridad:

  • ML-KEM-512 — nivel AES-128
  • ML-KEM-768 — nivel AES-192 (el que usa MONO)
  • ML-KEM-1024 — nivel AES-256

768 es el sweet spot: resiste ataques cuánticos + clásicos, con llaves públicas de solo 1.2 KB y ciphertext de 1.1 KB. Tres órdenes de magnitud más eficiente que alternativas hash-based como SPHINCS+.

Cómo lo integra MONO

MONO usa un esquema híbrido: ML-KEM-768 para intercambio de llaves + AES-256-GCM para encriptación simétrica + HKDF para derivación por-entrada de bóveda.

¿Por qué híbrido? Porque ML-KEM es nuevo. Si en 5 años aparece un ataque, el AES-256 clásico aún protege los datos. Lo peor que pasa es que regresamos a seguridad pre-cuántica — no pérdida total.

Cada entrada de bóveda — cada contraseña, cada archivo, cada documento — se encripta con su propia llave derivada. Si una se compromete, las demás siguen aisladas. Defensa en profundidad.

¿Qué hacen los demás?

  • Apple iMessage — PQ3 (Kyber-1024) activo desde iOS 17.4 (feb 2024).
  • Signal — PQXDH (combinando X3DH + Kyber-1024) desde sep 2023.
  • Chrome / TLS — hybrid X25519+Kyber para 1-RTT handshake desde 2024.
  • OpenAI / Anthropic API — sin criptografía post-cuántica pública. Todos tus prompts a ChatGPT son vulnerables a harvest-now.
  • WhatsApp (Meta) — Signal Protocol clásico aún. Sin ML-KEM declarado en 2026.

Esto es lo que más me preocupa de ChatGPT Memory, Claude Projects, y cualquier asistente que almacene conversaciones en la nube: no tienen protección post-cuántica. Todo lo que subes hoy puede leerse mañana.

¿Qué puedes hacer tú?

  1. Revisa si tu app usa ML-KEM o Kyber en su pagina de seguridad.
  2. Si no, asume que los datos que subes hoy pueden ser descifrados en 2030.
  3. Minimiza qué subes a sistemas sin PQ crypto. Separa secretos reales.
  4. Exige que tu proveedor de asistente IA publique su modelo criptográfico.

La apuesta de MONO

Cada MONO corre en su propio servidor VPS. Cada bóveda usa ML-KEM-768 + AES-256-GCM. Cada llave se deriva con HKDF por-entrada y PBKDF2-SHA256 (600,000 iteraciones) de la passphrase. Ningún dato sale del servidor sin encriptación híbrida. Zero-knowledge no es un eslogan — es que ni nosotros podemos leer tu bóveda.