Curvas elípticas: la geometría que protege tu WhatsApp

Tiempo de lectura: 6 minutos

¿Cuántas veces al día usas algo que no entiendes y que protege todo lo que escribes? Probablemente más de las que crees. El protocolo se llama ECDH, se ejecuta en menos de un milisegundo y opera silenciosamente cada vez que abres WhatsApp, autorizas un pago o navegas por una web con candado. Su seguridad descansa sobre unas curvas matemáticas que nadie ha conseguido romper en cuarenta años.

Miles de millones de teléfonos ejecutan a diario operaciones sobre esas curvas para acordar claves y firmar mensajes sin que ningún tercero pueda interceptarlos. El problema matemático que lo hace posible se llama logaritmo discreto elíptico.

De Diffie–Hellman a las curvas elípticas

En 1976, Whitfield Diffie y Martin Hellman publicaron un protocolo que resolvía un problema aparentemente imposible: dos partes pueden acordar una clave secreta intercambiando únicamente mensajes públicos. La base es una operación matemática fácil de calcular en un sentido y prácticamente imposible de revertir.

La versión original empleaba aritmética modular sobre enteros grandes. En 1985, Neal Koblitz y Victor Miller propusieron de forma independiente sustituir ese fundamento por curvas elípticas. Para un nivel de seguridad comparable, una clave elíptica de 256 bits puede sustituir a claves RSA o Diffie-Hellman clásicas de unos 3.072 bits, con operaciones más rápidas y menor consumo. Una mejora estructural para dispositivos móviles.

Qué es una curva elíptica

Una curva elíptica es el conjunto de puntos del plano que satisfacen una ecuación de la forma:

y^2 = x^3 + ax + b

con $a$ y $b$ constantes. Para uso criptográfico debe ser lisa: sin picos ni autointersecciones. Esa condición garantiza que en cualquier punto pueda trazarse una tangente bien definida, y la tangente es la pieza que activa toda la maquinaria posterior (para los más técnicos, esto es clave ya que la no singularidad garantiza que la ley algebraica de suma esté bien definida).

El nombre engaña. Estas curvas no son elipses. La denominación procede de las integrales que aparecen al calcular el arco de una elipse, donde estas expresiones surgieron históricamente.

Cómo se suman dos puntos

La operación central de la criptografía elíptica consiste en sumar puntos de la curva mediante una regla geométrica conocida como ley de la cuerda y la tangente:

Dados dos puntos $P$ y $Q$ , se traza la recta que los une. La recta intersecta la curva en un tercer punto. El reflejo vertical de ese tercer punto sobre el eje horizontal es $P+Q$ .

Suma geométrica de puntos P y Q sobre una curva elíptica: la cuerda corta la curva en un tercer punto y su reflexión vertical es P+Q — Imagen: La ley de la cuerda y la tangente: suma geométrica de puntos en una curva elíptica.

Cuando se quiere sumar un punto consigo mismo, la cuerda se sustituye por la tangente a la curva en ese punto. El procedimiento es idéntico.

La operación es asociativa, conmutativa y tiene un elemento neutro —un punto convencional llamado «punto al infinito»—. El conjunto de puntos de la curva con esta operación forma un grupo abeliano. Esa estructura algebraica es la base de toda la criptografía elíptica.

Del plano real al cuerpo finito

Los ordenadores no manejan números reales con infinitos decimales. Para trasladar las curvas al cómputo digital se elige un primo $p$ grande y se restringe la aritmética al conjunto $\{0, 1, \ldots, p-1\}$ , operando siempre módulo $p$ .

La ecuación sigue teniendo soluciones en ese conjunto finito y la regla algebraica de la suma conserva la misma estructura, aunque ya no se visualice como una curva sino como un conjunto discreto de puntos. La curva continua se transforma en una nube de puntos aparentemente aleatoria, mientras la estructura algebraica permanece intacta.

La misma curva elíptica representada como curva continua sobre los reales y como nube de 97 puntos discreta sobre 𝔽₉₇ — La misma curva en dos mundos: continua sobre ℝ y discreta sobre 𝔽₉₇.

En criptografía real, $p$ es del orden de $2^{255}$ . El número de puntos de la curva es cercano a $p+1$ , con desviación acotada por el teorema de Hasse. Una cantidad inalcanzable por fuerza bruta.

El logaritmo discreto elíptico

Sobre la curva se fija un punto generador $G$ y se publica. A partir de él se puede calcular $kG$ —la suma de $G$ consigo mismo $k$ veces— en microsegundos, para cualquier $k$ de 256 bits, usando un algoritmo análogo a la exponenciación rápida.

El problema inverso es intratable: dado $G$ y el punto $Q=kG$ , recuperar $k$ . Es el problema del logaritmo discreto elíptico (ECDLP). No se conoce ningún algoritmo que lo resuelva en tiempo razonable para curvas bien diseñadas.

Esa asimetría sostiene todo el sistema. Calcular $kG$ es trivial. Recuperar $k$ es computacionalmente inabordable con la tecnología y algoritmos clásicos conocidos.

ECDH: el intercambio de claves

El protocolo ECDH (Elliptic Curve Diffie–Hellman) traslada la idea original de 1976 a este escenario. Tres parámetros son públicos: la curva $E$ , el primo $p$ y el generador $G$ .

sequenceDiagram autonumber participant A as Alicia participant C as Canal público participant B as Bruno Note over A,B: Parámetros públicos:curva E · primo p · generador G A->>A: Elige clave privada a 🔒 B->>B: Elige clave privada b 🔒 A->>A: Calcula A = a·G B->>B: Calcula B = b·G A->>C: Publica A C->>B: Entrega A B->>C: Publica B C->>A: Entrega B A->>A: Calcula S = a·B = a·b·G B->>B: Calcula S = b·A = a·b·G Note over A,B: 🔑 Ambos comparten el mismo punto secreto S Note over C: 🕵 El espía ve G, A y Bpero recuperar a o b exige resolver el ECDLPero recuperar a o b exige resolver el ECDLP

Alicia elige un número secreto $a$ y publica $A = aG$ . Bruno elige $b$ y publica $B = bG$ . Cada uno calcula entonces el punto compartido $S$ : Alicia hace $aB = a(bG)$ ; Bruno hace $bA = b(aG)$ . La igualdad proviene de la asociatividad de la multiplicación entera y de la estructura de módulo sobre $\mathbb{Z}$ .

Un atacante que intercepte el canal ve $G$ , $A$ y $B$ . Para obtener $S$ necesita extraer $a$ o $b$ , es decir, resolver el ECDLP. Computacionalmente fuera de alcance.

Esta es la operación que ejecutan dos teléfonos en el instante en que inician una conversación cifrada.

ECDSA y la trampa del nonce

El cifrado garantiza confidencialidad. La autenticación —comprobar que un mensaje viene de quien dice venir— requiere una firma digital. Su versión elíptica es ECDSA (Elliptic Curve Digital Signature Algorithm).

El firmante usa su clave privada $d$ y un número aleatorio efímero, llamado nonce, para producir cada firma. La verificación la puede realizar cualquiera con la clave pública $dG$ .

El nonce es el punto débil del sistema. Si se reutiliza el mismo valor en dos firmas distintas hechas con la misma clave, esa clave se recupera con álgebra elemental.

El caso más conocido es de 2010. El equipo fail0verflow demostró en el 27C3 que el firmware de la PlayStation 3 firmaba todo su software con el mismo nonce constante. La clave maestra de Sony quedó expuesta y, a partir de ahí, cualquiera podía firmar software que la consola aceptaba como auténtico.

Curve25519: la curva detrás de WhatsApp

Las curvas elípticas no son intercambiables. Algunas tienen estructura algebraica que las hace vulnerables a ataques especializados. La elección de la curva es tan crítica como la del protocolo.

WhatsApp, mediante el Signal Protocol, utiliza X25519 para intercambio de claves, derivado de Curve25519, diseñada en 2005 por el criptógrafo Daniel J. Bernstein. El nombre procede del primo que la define: $p = 2^{255} – 19$ .

Dos cualidades la distinguen. La primera es la resistencia a ataques de canal lateral. Las implementaciones modernas de X25519 pueden ejecutarse en tiempo constante y fueron diseñadas para facilitar implementaciones resistentes a canales laterales, sin ramificaciones que dependan del valor secreto. Un atacante que mida el tiempo de cómputo o el consumo eléctrico del procesador no obtiene información explotable.

La segunda es la transparencia. Cada parámetro está justificado con razonamiento público y verificable. Es un contraste deliberado con curvas estándar como las P-256 del NIST, cuyas constantes incluyen valores cuyo origen nunca se documentó. Las revelaciones de Snowden en 2013 mostraron que el NIST había estandarizado un generador de números aleatorios —Dual_EC_DRBG— con propiedades compatibles con una puerta trasera atribuida a la NSA, lo que intensificó las dudas sobre los parámetros opacos.

La amenaza cuántica

La criptografía de curvas elípticas es segura frente a los ordenadores clásicos. En 1994, Peter Shor describió un algoritmo cuántico capaz de resolver el ECDLP en tiempo polinómico. Un ordenador cuántico con la potencia suficiente rompería ECDH y ECDSA simultáneamente.

Los procesadores cuánticos actuales tienen unos cientos de qubits físicos con errores frecuentes. Para ejecutar el algoritmo de Shor a escala criptográfica harían falta del orden de un millón de qubits lógicos con corrección de errores robusta según las estimaciones más citadas. La distancia es grande, pero finita.

La transición está en marcha. En agosto de 2024, el NIST publicó los primeros estándares de criptografía post-cuántica: ML-KEM para intercambio de claves y ML-DSA para firmas, basados en problemas de retículos algebraicos sin algoritmo cuántico conocido. Signal integró criptografía híbrida en 2023, combinando ECDH con una variante post-cuántica en su protocolo PQXDH.

La amenaza relevante a corto plazo no es la existencia de un ordenador cuántico operativo, sino el modelo «guardar ahora, descifrar después»: un adversario que almacene hoy tráfico cifrado para descifrarlo cuando la tecnología cuántica lo permita. Para comunicaciones que deban seguir siendo confidenciales dentro de quince o veinte años, la migración a primitivas post-cuánticas ha pasado de ser una decisión técnica futura a una prioridad operativa actual.

Referencias:

Diffie, W. & Hellman, M. (1976). «New Directions in Cryptography». IEEE Transactions on Information Theory.

Koblitz, N. (1987). «Elliptic Curve Cryptosystems». Mathematics of Computation.

Bernstein, D. J. (2006). «Curve25519: New Diffie-Hellman speed records». PKC 2006. cr.yp.to/ecdh.html

Signal (2023). «The PQXDH Key Agreement Protocol». signal.org/docs/specifications/pqxdh

NIST (2024). FIPS 203 (ML-KEM) y FIPS 204 (ML-DSA). csrc.nist.gov/pubs/fips/203/final

Cookie Id	Domain	Duration	Description	Script URL pattern
`cp_cookie_consent`	araintel.com	1 ano	Almacena el estado de consentimiento del usuario para que el banner no vuelva a mostrarse de forma incorrecta en cada visita.	`Propia`
`wpEmojiSettingsSupports`	araintel.com	session	WordPress sets this cookie when a user interacts with emojis on a WordPress site. It helps determine if the user's browser can display emojis properly.	`Not available`

Cookie Id	Domain	Duration	Description	Script URL pattern
`yt-remote-device-id`	youtube.com	Never Expires	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.	`youtube.com`
`ytidb::LAST_RESULT_ENTRY_KEY`	youtube.com	Never Expires	The cookie ytidb::LAST_RESULT_ENTRY_KEY is used by YouTube to store the last search result entry that was clicked by the user. This information is used to improve the user experience by providing more relevant search results in the future.	`youtube.com`
`yt-remote-connected-devices`	youtube.com	Never Expires	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.	`youtube.com`
`yt-remote-session-app`	youtube.com	session	The yt-remote-session-app cookie is used by YouTube to store user preferences and information about the interface of the embedded YouTube video player.	`youtube.com`
`yt-remote-cast-installed`	youtube.com	session	The yt-remote-cast-installed cookie is used to store the user's video player preferences using embedded YouTube video.	`youtube.com`
`yt-remote-session-name`	youtube.com	session	The yt-remote-session-name cookie is used by YouTube to store the user's video player preferences using embedded YouTube video.	`youtube.com`
`yt-remote-fast-check-period`	youtube.com	session	The yt-remote-fast-check-period cookie is used by YouTube to store the user's video player preferences for embedded YouTube videos.	`youtube.com`
`yt-remote-cast-available`	youtube.com	session	The yt-remote-cast-available cookie is used to store the user's preferences regarding whether casting is available on their YouTube video player.	`youtube.com`
`sp_t`	.spotify.com	1 year	The sp_t cookie is set by Spotify to implement audio content from Spotify on the website and also registers information on user interaction related to the audio content.	`spotify.com`
`sp_landing`	.spotify.com	1 day	The sp_landing is set by Spotify to implement audio content from Spotify on the website and also registers information on user interaction related to the audio content.	`spotify.com`
`LANG`	.linkedin.com	session	Linkedin set this cookie to set user's preferred language.	`.linkedin.com\|licdn.com`
`lidc`	.linkedin.com	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.	`.linkedin.com\|licdn.com`
`mid`	.instagram.com	1 year 1 month 4 days	The mid cookie is set by Instagram to personalise user experience by remembering user preferences and settings.	`instagram.com`

Cookie Id	Domain	Duration	Description	Script URL pattern
`_ga_*`	.araintel.com	1 year 1 month 4 days	Google Analytics sets this cookie to store and count page views.	`google-analytics.com\|googletagmanager.com/gtag/js`
`_ga`	.araintel.com	1 year 1 month 4 days	Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors.	`google-analytics.com\|googletagmanager.com/gtag/js`

Cookie Id	Domain	Duration	Description	Script URL pattern
`YSC`	.youtube.com	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.	`youtube.com`
`VISITOR_INFO1_LIVE`	.youtube.com	6 months	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.	`youtube.com`
`VISITOR_PRIVACY_METADATA`	.youtube.com	6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.	`youtube.com`
`yt.innertube::requests`	youtube.com	Never Expires	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.	`youtube.com`

Buscar

Secciones

Preferencias

Privacidad

RSS

Curvas elípticas: la geometría que protege tu WhatsApp

De Diffie–Hellman a las curvas elípticas

Qué es una curva elíptica

Cómo se suman dos puntos

Del plano real al cuerpo finito

El logaritmo discreto elíptico

ECDH: el intercambio de claves

ECDSA y la trampa del nonce

Curve25519: la curva detrás de WhatsApp

La amenaza cuántica

Otras publicaciones

TheWave: Sistemas de Inteligencia en amenazas cibernéticas mediante lA

Spiderfoot, la mejor herramienta gratis de reconocimiento OSINT

RootedCON 2026 desvela los secretos de ‘Enigma’

LinkScope Client, una herramienta de ciberinteligencia open-source para generar reportes de investigación

Ni Python, ni C; Por qué Go es el mejor lenguaje de programación

Breve historia de la Ciberseguridad y la Inteligencia en España

Iwen Coisel, forense digital en Europol: «Incluso las claves más complejas suelen seguir patrones»

RME-DisCo, Premio Araintel 2025 por su trabajo divulgativo en ciberseguridad en Aragón

Cookies en Araintel

Invitado