¿Es AES-256 drásticamente más seguro que AES-128 en el mundo real?
Respuesta breve
En la práctica, no. AES-128 ya exige unos 2^128 de esfuerzo para romperse por fuerza bruta — totalmente inviable — así que AES-256 no te hace realmente más seguro frente a la fuerza bruta; sobre todo añade margen (reserva poscuántica, cumplimiento). Ambos están estandarizados y sin romper. Tu modo (GCM), el manejo de nonces y la gestión de claves importan mucho más que 128 frente a 256. «AES-256 es el doble de seguro» es la idea errónea.
Las listas de compras adoran «AES-256», y los candidatos suelen repetir que es «el doble de seguro» que AES-128. El número es mayor, pero la diferencia de seguridad para sistemas reales es esencialmente nula frente a la fuerza bruta — y eso revela un malentendido sobre cómo escala la búsqueda de claves.
Lo que ya te dan 128 bits de clave
Romper AES-128 por fuerza bruta implica recorrer un espacio de claves de 2^128, es decir, unas 3,4×10^38 claves. Incluso una máquina absurda que probara mil billones de billones de claves por segundo tardaría mucho más que la edad del universo. AES-128 no está «casi roto» — está cómodamente fuera del alcance de cualquier atacante clásico. Pasar a 2^256 no te lleva de «rompible» a «seguro»; ambos están en el lado seguro de lo inviable, con márgenes astronómicos.
«Cada bit divide el ataque a la mitad» — cierto pero irrelevante
El distractor es técnicamente correcto en dirección: cada bit de clave añadido duplica el esfuerzo de búsqueda. Pero duplicar algo ya inviable solo da un número inviable mayor. AES-256 es en teoría unas 2^128 veces más difícil que AES-128, y ambos son irrompibles en la práctica. La diferencia de fuerza solo existe sobre el papel.
Dónde ayuda de verdad AES-256
AES-256 aporta margen, no seguridad cotidiana:
- Reserva poscuántica. El algoritmo de Grover da una aceleración cuadrática, reduciendo de hecho a la mitad la fuerza de las claves simétricas ante un gran computador cuántico. AES-256 conservaría una fuerza equivalente a ~128 bits; AES-128 caería a ~64 bits equivalentes.
- Cumplimiento y secretos de largo plazo. Muchos regímenes (datos clasificados, por ejemplo) exigen claves de 256 bits.
Lo que realmente rompe los despliegues de AES
Los fallos reales de AES casi nunca vienen de la longitud de clave, sino de errores de modo y operativos: usar ECB, reutilizar un nonce GCM (lo que puede filtrar el texto plano y falsificar tags), generación de claves débil, claves embebidas, o falta de autenticación. Elegir AES-256 mientras se reutilizan nonces es mucho más débil que AES-128 bien hecho. Las dos respuestas «Sí» se obsesionan con el tamaño de clave; la falsa «AES-128 es más fuerte» inventa una debilidad de claves relacionadas que no aplica a un AES bien usado. La lección: elige 256 por margen si quieres, pero dedica tu atención al modo, los nonces y la gestión de claves.
Posibles preguntas de seguimiento
- ¿Cuánto esfuerzo de fuerza bruta exige AES-128 aproximadamente, y por qué es inviable?
- ¿Cómo cambia el algoritmo de Grover el panorama de AES ante un atacante cuántico?
- ¿Por qué la reutilización de un nonce GCM rompe la seguridad, sea 128 o 256?