Q-day: cómo los analistas fijan la ventana entre 2029 y 2034
Los pronósticos convergen en una ventana de cinco años. Comparamos seis estimaciones publicadas lado a lado, mostramos qué asume cada una, y enviamos una calculadora del teorema de Mosca para que derives tu propio plazo de migración.
TL;DR ¶
Seis estimaciones públicas de Q-day publicadas entre 2022-2026 aterrizan todas entre 2029 y 2034 para la primera demostración creíble de Shor contra RSA-2048. El desacuerdo es sobre qué año, no qué década. El teorema de Mosca (X + Y > Z) traduce esa ventana a un plazo de migración concreto que depende de la vida útil de tus secretos y de la velocidad de tu migración. La mayoría de organizaciones ya llegan tarde.
1. Los pronósticos, alineados ¶
1 año-predicción fuente estimación Q-day 2 ───────────────────────────────────────────────────────────────────────────── 3 2022 Global Risk Institute (encuesta Mosca) 50% para 2031 4 2022 NSA CNSA 2.0 (mandato) objetivo "para 2033" 5 2023 IBM Quantum Network roadmap ~10k lógicos para 2033 6 2024 Google Quantum AI ~5k lógicos para 2030 7 2024 ENISA PQC migration report ventana 2029-2034 8 2025 Sevilla y Riedel criptoanalítico para 2030 9 2026 Actualización NIST IR 8547 "amenaza activa" para 2029
Las estimaciones son consistentes dentro de ±2 años. Más allá del número titular, cada pronóstico especifica qué clase de demostración cuenta como "Q-day":
- Demo de laboratorio factorizando un número no trivial: probablemente 2027-2028
- Primera ruptura RSA-2048 creíble (reclamada por un equipo serio): 2029-2032
- Ruptura rutinaria de RSA-2048 (replicable, múltiples actores): 2033-2036
La ventana entre primera y rutinaria es de unos 4 años. Esa brecha importa: durante ella, no sabes quién tiene la capacidad, así que debes asumir que cualquier adversario a nivel estatal sí.
2. Teorema de Mosca ¶
La formulación estándar, de Michele Mosca (uWaterloo / IQC):
Si X + Y > Z, tienes un problema.
- X = ¿cuánto tiempo debe permanecer confidencial tu secreto?
- Y = ¿cuánto tardará tu migración a PQ?
- Z = ¿cuánto falta hasta que un adversario cuántico pueda romper tu cripto actual?
Si tu secreto necesita estar seguro 10 años (historiales médicos,
propiedad intelectual, contratos) y tu migración tardará 3 años, no puedes
esperar más de Z - 13 años antes de empezar. Con Z = 2030, eso significa
2017. Ya llegas 9 años tarde, y solo estás recuperando.
3. Una calculadora ¶
1 # mosca.py — traduce vida útil y tiempo de migración a un plazo. 2 from dataclasses import dataclass 3 from datetime import date 4 5 @dataclass 6 class MoscaInput: 7 secret_shelf_years: int # X — cuántos años deben permanecer confidenciales 8 migration_years: float # Y — tu tiempo de migración realista 9 qday_year: int # Z — tu Q-day asumido (elige conservador) 10 11 def deadline(m: MoscaInput) -> dict: 12 must_start_year = m.qday_year - m.secret_shelf_years - m.migration_years 13 today = date.today().year 14 slack = must_start_year - today 15 safe = m.secret_shelf_years + m.migration_years <= (m.qday_year - today) 16 return { 17 'must_start_by': int(must_start_year), 18 'years_of_slack': round(slack, 1), 19 'safe_today': safe, 20 'verdict': 'OK' if safe else 'TARDE', 21 } 22 23 # Ejemplos 24 print(deadline(MoscaInput(secret_shelf_years=10, migration_years=3, qday_year=2030))) 25 # → {'must_start_by': 2017, 'years_of_slack': -9, 'safe_today': False, 'verdict': 'TARDE'} 26 27 print(deadline(MoscaInput(secret_shelf_years=2, migration_years=1, qday_year=2032))) 28 # → {'must_start_by': 2029, 'years_of_slack': +3, 'safe_today': True, 'verdict': 'OK'} 29 30 print(deadline(MoscaInput(secret_shelf_years=25, migration_years=5, qday_year=2031))) 31 # → vida útil militar / archivo nacional — debió haber empezado en 2001.
Córrelo sobre tres de tus cargas reales. Las filas con "verdict: TARDE" te dicen dónde gastar dinero primero.
4. Qué significa "tiempo de migración" realmente ¶
Y rara vez es solo "instala OpenSSL 3.4". Para una organización no trivial incluye:
- Inventario (CBOM): cada clave en KMS, cada certificado, cada emisor JWT, cada raíz de firma de código, cada clave de backup. Típicamente 3-6 meses para una empresa mediana.
- Piloto: TLS híbrido en un servicio interno, JWT híbrido para un flujo de auth. 3 meses.
- Despliegue en borde: load balancers, CDN, ingress público. 6-12 meses coordinando con vendors.
- Servicios internos: lo más duro porque cada equipo tiene que probar. 12-24 meses.
- Rotación de raíces (firma de código, CA, claves raíz): one-shot, pero bloqueado en tener verificadores PQ en todas partes. 6 meses de retraso tras cada otro paso.
Súmalo: 30-50 meses para una org real con exposición regulatoria. Eso es Y ≈ 3-4 años. Con Q-day ≈ 2030 y 10 años de vida útil, debiste empezar en 2016.
5. Qué desencadena "Q-day" realmente ¶
Q-day no es un evento único. Es una secuencia:
- D0: Primera demostración creíble. Las acciones de empresas RSA caen. Reguladores cripto (NIST, BSI, ANSSI) emiten avisos de emergencia.
- D0 + 6 meses: Los ecosistemas de navegador fuerzan TLS híbrido, cortan la emisión de certificados RSA-2048. Las CAs rotan raíces.
- D0 + 1 año: Las raíces de firma de código deben ser PQ. Distros Linux, Microsoft, Apple, todos se comprometen a firma hash-based o híbrida.
- D0 + 2 años: Soft-fork del protocolo Bitcoin a direcciones PQ si no estaba ya en marcha.
- D0 + 5 años: RSA-2048 está "roto" en la mente pública. Cualquier documento cifrado con cripto clásica y en manos de un adversario es plaintext.
Puedes comprarte una opción en cada paso — actuando antes de D0.
6. Una línea de tiempo práctica ¶
Si estás leyendo esto en 2026 y no has empezado:
1 Q2 2026 → Contrata / asigna un lead de migración cripto. 2 Q3 2026 → Inventario CBOM completo. 3 Q4 2026 → Barrido AES-128 → AES-256 completo. Auditoría de hash hecha. 4 Q1 2027 → TLS híbrido en el perímetro. Piloto interno. 5 Q3 2027 → JWT híbrido para auth entre servicios. 6 Q1 2028 → Raíces de firma de código rotadas a SLH-DSA. 7 Q3 2028 → Flujos de cara al cliente aceptan certificados híbridos. 8 Q1 2029 → Endpoints RSA-2048 legacy desactivados internamente. 9 Q3 2029 → Endpoints RSA-2048 legacy de cara al cliente desactivados.
Es una migración de 3,5 años, en paralelo. Es realista para una organización de ~500 ingenieros. Si tienes menos, simplifica pero no ralentices.
7. Referencias ¶
- Mosca, Cybersecurity in an era with quantum computers: will we be ready? (IEEE S&P, 2018) — origen de la formulación X+Y>Z
- Global Risk Institute, Quantum Threat Timeline Report (anual, 2019-)
- ENISA, Post-Quantum Cryptography: Current State and Quantum Mitigation (2024)
- NIST IR 8547, Transition to post-quantum cryptographic standards (2024)
- NSA CNSA 2.0, Announcing the Commercial National Security Algorithm Suite 2.0 (2022)
Q-day no es un plazo. Es el punto pasado el cual tus plazos anteriores dejan de importar. Los plazos que importan son los tuyos — y la mayoría ya pasaron.
OPS RELACIONADAS
Dentro de la suite PQC de NIST: ML-KEM (FIPS 203), ML-DSA (FIPS 204), SLH-DSA (FIPS 205)
Cuatro años después de nombrar a los finalistas de ronda 3, los estándares están firmados. Aquí está qué hace cada uno, qué parámetro elegir en cada nivel de seguridad, y la llamada mínima en Python y TypeScript.
Grover muerde a AES: por qué 128 ha muerto y 256 es tu nueva base
El algoritmo de Grover da un speedup cuadrático sobre la búsqueda de clave por fuerza bruta. AES-128 baja a ~64 bits efectivos. AES-256 se queda en ~128 bits. El arreglo es una línea de config — pero hay que encontrar cada sitio donde vive estado de cifrado.
Cae RSA-2048: el estimado de 20M de qubits ruidosos, redibujado
Gidney y Ekerå dijeron ~20 millones de qubits ruidosos y ~8 horas. Tres años después de mejoras en corrección de errores, el número se mueve — pero no la conclusión. Dónde aterrizan los estimados de 2026.