NIST FIPS 203/204/205
Buenos Aires, Argentina
Servicios Metodología Sectores Sobre SPIN Evaluar riesgo
NIST FIPS 203, 204 y 205: guía práctica para entender los nuevos estándares PQC
Estándares NIST

NIST FIPS 203, 204 y 205: guía práctica para entender los nuevos estándares PQC

El NIST finalizó en agosto de 2024 los primeros estándares de criptografía post-cuántica tras ocho años de evaluación. Desglosamos ML-KEM, ML-DSA y SLH-DSA: para qué sirve cada uno, sus diferencias técnicas y cómo impactan en tu arquitectura.

SC Spin Ciberseguridad 1 de junio, 2026 5 min de lectura

El punto de partida: ocho años de trabajo

En diciembre de 2016, el NIST lanzó una convocatoria abierta a la comunidad criptográfica mundial: proponer algoritmos capaces de resistir los ataques de una computadora cuántica a gran escala. Participaron 82 propuestas de equipos de 25 países. Después de cuatro rondas de evaluación pública, análisis de seguridad intensivo y revisión de rendimiento, el 13 de agosto de 2024 el NIST publicó los tres primeros estándares oficiales de criptografía post-cuántica.

Fecha oficial

FIPS 203, FIPS 204 y FIPS 205 entraron en vigencia el 14 de agosto de 2024. El NIST alienta a los administradores de sistemas a comenzar la migración de inmediato.

FIPS 203: ML-KEM, el reemplazo de RSA y ECDH

ML-KEM, cuyo nombre completo es Module-Lattice-Based Key-Encapsulation Mechanism, es el estándar principal para el intercambio de claves. Reemplaza a RSA y ECDH en los protocolos que necesitan establecer una clave secreta compartida entre dos partes, como el handshake de TLS.

Su seguridad se basa en la dureza del problema Module Learning With Errors (MLWE): dado un sistema de ecuaciones lineales sobre retículos modulares con ruido aleatorio añadido, recuperar la solución original es computacionalmente inviable tanto para computadoras clásicas como cuánticas con el conocimiento actual.

ML-KEM define tres niveles de seguridad con diferente balance entre protección y rendimiento:

  • ML-KEM-512: seguridad equivalente a AES-128. Claves más pequeñas, operaciones más rápidas. Adecuado para dispositivos con recursos limitados.
  • ML-KEM-768: seguridad equivalente a AES-192. El nivel recomendado por el NIST para uso general. Buen equilibrio entre tamaño y velocidad.
  • ML-KEM-1024: seguridad equivalente a AES-256. Para entornos de alta seguridad con datos de larga vida útil.
python / liboqs
import oqs

with oqs.KeyEncapsulation('ML-KEM-768') as kem:
    public_key = kem.generate_keypair()
    ciphertext, shared_secret_sender = kem.encap_secret(public_key)
    shared_secret_receiver = kem.decap_secret(ciphertext)
    assert shared_secret_sender == shared_secret_receiver

FIPS 204: ML-DSA, el reemplazo de ECDSA y RSA para firmas

ML-DSA, o Module-Lattice-Based Digital Signature Algorithm, es el estándar principal para firmas digitales post-cuánticas. Reemplaza a ECDSA y RSA-PSS en cualquier caso donde se necesite autenticar el origen de un mensaje o verificar la integridad de un documento: certificados TLS, firmas de código, autenticación de tokens JWT, entre otros.

ML-DSA utiliza una técnica llamada Fiat-Shamir con rechazos: durante la firma, el algoritmo puede descartar intentos internos y repetir hasta producir una firma que satisfaga ciertos criterios de seguridad. Esto introduce varianza en los tiempos de firma, un comportamiento que los sistemas en producción deben contemplar.

  • ML-DSA-44: seguridad equivalente a AES-128. Firmas de 2420 bytes, clave pública de 1312 bytes.
  • ML-DSA-65: seguridad equivalente a AES-192. El nivel de uso general recomendado. Firmas de 3293 bytes.
  • ML-DSA-87: seguridad equivalente a AES-256. Firmas de 4595 bytes. Para infraestructuras críticas.
Consideración de rendimiento

El tamaño de las firmas ML-DSA es significativamente mayor que el de ECDSA. Una firma ECDSA-P256 ocupa 64 bytes; ML-DSA-65 ocupa 3293 bytes. Esto impacta en el tamaño de los certificados TLS y en la latencia del handshake, especialmente en redes móviles o de alta latencia.

FIPS 205: SLH-DSA, la red de seguridad independiente

SLH-DSA, o Stateless Hash-Based Digital Signature Algorithm, es el tercer estándar y cumple un rol diferente al de ML-DSA. Su seguridad no depende de retículos sino exclusivamente de las propiedades de las funciones hash criptográficas, que son SHA-2 o SHAKE según el parámetro elegido.

Esta diferencia es estratégicamente importante: ML-KEM y ML-DSA comparten la misma base matemática. Si en el futuro se descubriera un ataque eficiente contra los problemas de retículo, ambos estándares quedarían comprometidos simultáneamente. SLH-DSA elimina ese punto único de falla al operar sobre un fundamento matemático completamente independiente.

  • Ventaja: supuestos de seguridad conservadores, bien estudiados desde hace décadas.
  • Desventaja: firmas grandes (entre 7856 y 49856 bytes según el parámetro) y operación de firma más lenta que ML-DSA.
bash / openssl 3.5
openssl list -signature-algorithms -provider default
openssl genpkey -algorithm ML-DSA-65 -out private.pem
openssl pkeyutl -sign -inkey private.pem -in documento.txt -out firma.bin
openssl pkeyutl -verify -inkey private.pem -pubin \
    -in documento.txt -sigfile firma.bin

Comparativa de los tres estándares

  • ML-KEM: intercambio de claves y establecimiento de sesión. Reemplaza a RSA-KEM y ECDH. Recomendado para TLS, VPN y SSH.
  • ML-DSA: firma digital de propósito general. Reemplaza a ECDSA y RSA-PSS. Recomendado para certificados, JWT y firma de código.
  • SLH-DSA: firma para contextos de alta criticidad y larga vida útil. Complementa a ML-DSA como respaldo con base matemática independiente. Recomendado para certificados raíz y firmware.
Qué viene después

El NIST publicó FIPS 206 (FN-DSA, basado en Falcon) en 2025, que ofrece firmas más compactas que ML-DSA. HQC fue seleccionado como candidato adicional para encapsulamiento de claves y está en proceso de estandarización, aportando diversidad matemática al ecosistema PQC.

¿Por dónde empezar la adopción?

  • Habilitar ML-KEM-768 en modo híbrido junto a X25519 en los endpoints TLS más expuestos.
  • Planificar la reemisión de certificados con ML-DSA-65 para los servicios de mayor criticidad.
  • Verificar que los HSMs y las bibliotecas criptográficas tengan soporte para FIPS 203, 204 y 205. Los principales fabricantes comenzaron a entregar firmware compatible en 2024.
  • Adoptar OpenSSL 3.5, que incluye soporte nativo para los tres estándares sin necesidad de parches externos.

Conclusión

Los estándares FIPS 203, 204 y 205 son el resultado de ocho años de criptoanálisis público y representan el consenso de la comunidad científica mundial sobre qué algoritmos pueden considerarse seguros frente a computadoras cuánticas. No son propuestas experimentales: son estándares federales vigentes con implementaciones en producción en OpenSSL, BoringSSL, AWS-LC y los principales HSMs del mercado. La pregunta para cada organización ya no es si migrar, sino con qué prioridad hacerlo.

SC

Spin Ciberseguridad

Equipo de Arquitectura de Seguridad

Consultora especializada en criptografía post-cuántica para empresas que quieren estar listas antes del Día Q.