ISO adopta el Clásico McEliece: el estándar de cifrado cuántico resistente que desafía al RSA

La ISO adopta el Clásico McEliece como estándar contra ordenadores cuánticos

Sí, está confirmado. La Organización Internacional de Normalización (ISO) ha adoptado formalmente el Clásico McEliece como un estándar internacional de cifrado poscuántico en junio de 2026 . Este movimiento lo convierte en el único estándar de criptografía asimétrica basada en códigos que cuenta con el respaldo explícito de la ISO.

"Classic McEliece ha sido seleccionado por la ISO como un algoritmo criptográfico capaz de proteger datos en la era de la computación cuántica", señala un comunicado del Instituto de Ciencia y Tecnología de Okinawa (OIST), cuyo profesor Carlos Cid formó parte del equipo desarrollador .

¿En qué se diferencia del RSA?

La principal diferencia es fundamental y matemática. Mientras que el RSA basa su seguridad en la dificultad de factorizar números enteros grandes —un problema que un ordenador cuántico equipado con el algoritmo de Shor resolvería en cuestión de minutos—, el Clásico McEliece se apoya en un problema completamente distinto: la dificultad de decodificar un código lineal genérico .

Aspecto	Clásico McEliece	RSA
Problema matemático	Dureza de decodificar códigos lineales correctores de errores (códigos de Goppa binarios) .	Factorización de números enteros grandes .
Resistencia cuántica	Demostrada: no es vulnerable al algoritmo de Shor .	Vulnerable: Shor rompe la factorización rápidamente .
Tamaño de clave pública	Muy grande: de 260 KB a 1 MB según parámetros .	Pequeña: típicamente 2048 a 4096 bits (aprox. 0,5-1 KB).
Tamaño de texto cifrado	Muy pequeño, una de sus grandes ventajas .	Relacionado con el tamaño del módulo RSA.
Velocidad	Cifrado y descifrado rápidos; generación de claves lenta .	Rendimiento moderado, más lento que los modernos.
Historial de seguridad	Impecable desde 1978; ningún ataque estructural ha roto el esquema original .	Sufrió múltiples ataques (p.ej., Bleichenbacher) aunque parcheados .

En palabras del criptógrafo Daniel J. Bernstein: "El sistema McEliece es casi tan antiguo como el RSA, pero mientras que el RSA ha sufrido pérdidas de seguridad dramáticas, el sistema McEliece mantiene un historial de seguridad espectacular, sin igual por ninguna otra propuesta de cifrado poscuántico" .

¿Cómo funciona el Clásico McEliece?

El mecanismo es ingenioso: el emisor codifica el mensaje como una palabra de un código corrector de errores (concretamente, un código de Goppa binario) y añade intencionadamente pequeños errores aleatorios . Solo quien posee la clave privada —que conoce la estructura secreta del código, incluyendo una matriz de permutación y una matriz de dispersión— puede corregir esos errores y recuperar el mensaje original . Un atacante sin esa clave se enfrenta al problema NP-duro de decodificar un código lineal genérico .

Respaldo institucional: de la BSI alemana a la NIST

• Oficina Federal de Seguridad de la Información de Alemania (BSI): Desde marzo de 2020 recomienda explícitamente el Clásico McEliece (junto con FrodoKEM) para aplicaciones poscuánticas, siempre en uso híbrido con algoritmos clásicos . La BSI lo considera "adecuado criptográficamente para la protección de confidencialidad a largo plazo" .
• NIST (Instituto Nacional de Estándares y Tecnología de EE.UU.): La NIST evaluó el Clásico McEliece como finalista en su ronda 4 de estandarización poscuántica, pero no lo seleccionó para estandarización propia en marzo de 2025, optando en su lugar por HQC . La razón: "Aunque es ampliamente considerado como seguro, la NIST no anticipa un uso generalizado debido al gran tamaño de sus claves públicas y el interés limitado" . La NIST añadió que "tras completarse el proceso de estandarización ISO, la NIST podría considerar desarrollar un estándar para Clásico McEliece basado en el estándar ISO" .

¿Es práctico? El dilema de las claves enormes

El principal obstáculo para la adopción masiva es el tamaño de la clave pública: entre 260 KB y 1 MB . Para ponerlo en perspectiva, una clave RSA típica ocupa unos pocos cientos de bytes. Esto hace que su uso sea poco práctico para protocolos como TLS/SSL en la web, donde cada conexión transferiría la clave . Sin embargo, tiene ventajas que lo hacen atractivo en nichos concretos:

• Textos cifrados muy pequeños: ideales para aplicaciones con ancho de banda limitado .
• Cifrado/descifrado extremadamente rápidos: superiores a los de RSA y muchos otros esquemas .
• Ultraconservador: su historial de seguridad sin fallos desde 1978 lo convierte en la apuesta más conservadora para aquellos dispuestos a pagar el costo de almacenamiento .

En el ecosistema de software, el botánico de cifrado Botan ya incluye soporte para Clásico McEliece con parámetros tanto NIST como ISO .

En resumen: la ISO ha dado un paso histórico al adoptar el Clásico McEliece, un estándar que ofrece una seguridad matemática radicalmente distinta a la del RSA y que está respaldado por la BSI alemana. Aunque la NIST no lo ha priorizado por su gran tamaño de clave, aquellos que buscan una protección verdaderamente conservadora contra el futuro cuántico ya tienen un estándar internacional al que acogerse.