Computación cuántica y blockchain: igualando la urgencia con las amenazas reales

Escrito por: Justin Thaler

Traducción: Baihua Blockchain

Las previsiones sobre la llegada de ordenadores cuánticos capaces de romper criptografía suelen estar exageradas, lo que lleva a exigencias de una transición urgente y generalizada hacia la criptografía post-cuántica.

Sin embargo, estos llamamientos suelen pasar por alto los costes y riesgos de una migración prematura y no distinguen entre los muy diferentes perfiles de riesgo de los distintos primitivos criptográficos:

La criptografía post-cuántica, a pesar de sus costes, debe desplegarse de inmediato: los ataques de “Recolectar ahora, descifrar después” (Harvest-Now-Decrypt-Later, HNDL) ya están en marcha, porque los datos sensibles cifrados hoy seguirán teniendo valor cuando lleguen los ordenadores cuánticos, incluso si eso ocurre dentro de décadas. El sobrecoste de rendimiento y los riesgos de implementación de la criptografía post-cuántica son reales, pero los ataques HNDL dejan a los datos que requieren confidencialidad a largo plazo sin alternativa.

Las firmas post-cuánticas enfrentan consideraciones diferentes. No son vulnerables a ataques HNDL, y sus costes y riesgos (mayor tamaño, sobrecoste de rendimiento, implementaciones inmaduras y errores) exigen una transición reflexiva, no inmediata.

Estas diferencias son cruciales. Malentenderlas distorsiona el análisis coste-beneficio y lleva a los equipos a ignorar riesgos de seguridad más acuciantes, como errores de software.

El verdadero reto de la transición exitosa a la criptografía post-cuántica es ajustar la urgencia a la amenaza real. A continuación, aclaro malentendidos comunes sobre la amenaza cuántica a la criptografía — cubriendo cifrado, firmas y pruebas de conocimiento cero — y me centro especialmente en su impacto sobre blockchain.

¿En qué punto está nuestro calendario?

A pesar de las afirmaciones más llamativas, es extremadamente improbable que veamos ordenadores cuánticos capaces de romper criptografía (CRQC) en la década de 2020.

Por “ordenador cuántico relevante para criptografía” me refiero a una máquina cuántica tolerante a fallos y con corrección de errores, capaz de ejecutar el algoritmo de Shor a la escala suficiente para, en un plazo razonable (por ejemplo, dentro de un mes de cálculo ininterrumpido), romper {secp}256{k}1 o {RSA-2048}, atacando la criptografía de curva elíptica o RSA.

Cualquier análisis razonable de los hitos públicos y las estimaciones de recursos muestra que estamos muy lejos de contar con un CRQC. A veces, empresas declaran que podría haber CRQC antes de 2030 o incluso de 2035, pero los avances públicamente conocidos no sustentan estas afirmaciones.

Como contexto, en todas las arquitecturas actuales — iones atrapados, cúbits superconductores y sistemas de átomos neutros — las plataformas cuánticas de hoy están muy lejos de ejecutar el algoritmo de Shor contra {RSA-2048} o {secp}256{k}1, lo cual exige entre cientos de miles y millones de cúbits físicos (dependiendo de la tasa de error y el esquema de corrección).

El número de cúbits no es el único factor limitante, también lo son la fidelidad de las puertas, la conectividad entre cúbits y la profundidad de circuitos de corrección de errores necesaria para ejecutar algoritmos cuánticos profundos. Aunque algunos sistemas ya superan los 1.000 cúbits físicos, esa cifra por sí sola es engañosa: carecen de la conectividad y fidelidad necesarias para cálculos criptográficamente relevantes.

Los sistemas recientes se acercan a la tasa de error físico donde la corrección cuántica empieza a funcionar, pero nadie ha demostrado más que unos pocos cúbits lógicos con circuitos de corrección de errores sostenidos… y mucho menos los miles requeridos para ejecutar el algoritmo de Shor en condiciones reales. La brecha entre la factibilidad teórica de la corrección de errores y la escala necesaria para criptoanálisis práctico sigue siendo enorme.

En resumen: a menos que el número y la fidelidad de los cúbits aumenten varios órdenes de magnitud, el CRQC sigue siendo inalcanzable.

Sin embargo, notas de prensa y artículos de medios pueden inducir a confusión fácilmente. Algunas fuentes habituales de malentendidos incluyen:

Demostraciones de “ventaja cuántica” en tareas diseñadas ad hoc, elegidas no por su utilidad, sino porque pueden ejecutarse en el hardware actual y aparentan una aceleración cuántica significativa; esto suele obviarse en los anuncios.

Empresas que anuncian haber alcanzado miles de cúbits físicos. Pero se refieren a ordenadores de recocido cuántico, no al modelo de puertas necesario para ejecutar el algoritmo de Shor y atacar criptografía de clave pública.

Uso ambiguo del término “cúbit lógico”. Los cúbits físicos son ruidosos; los algoritmos cuánticos exigen cúbits lógicos, y el algoritmo de Shor necesita miles. Con corrección de errores, muchos cúbits físicos implementan uno lógico, normalmente cientos o miles según la tasa de error. Algunas empresas han deformado tanto este término que, por ejemplo, han anunciado un cúbit lógico usando un código de distancia 2 y solo dos cúbits físicos, lo cual es absurdo: un código de distancia 2 solo detecta errores, no los corrige. Los cúbits lógicos verdaderamente tolerantes a fallos requieren cientos o miles de cúbits físicos, no dos.

Más generalmente, muchos planes cuánticos llaman “cúbit lógico” a los que solo soportan operaciones Clifford, que pueden simularse eficientemente de forma clásica y no bastan para ejecutar el algoritmo de Shor, que requiere miles de puertas T (o no-Clifford) corregidas por errores.

Incluso si una hoja de ruta marca como objetivo “lograr miles de cúbits lógicos en el año X”, no implica que la empresa espere romper la criptografía clásica con el algoritmo de Shor ese mismo año X.

Estas prácticas distorsionan gravemente la percepción pública sobre lo cerca que estamos de los CRQC, incluso entre observadores expertos.

No obstante, algunos expertos sí están emocionados por los avances. Por ejemplo, Scott Aaronson escribió recientemente que, dada “la asombrosa velocidad actual del desarrollo de hardware”,

Creo que es realista que antes de la próxima elección presidencial de EE.UU. tengamos un ordenador cuántico tolerante a fallos ejecutando el algoritmo de Shor.

Pero Aaronson aclaró después que no se refería a un CRQC: considera que un algoritmo de Shor tolerante a fallos que factorice 15 = 3 × 5 ya cuenta como hito, aunque este cálculo puede realizarse más rápido con lápiz y papel. El estándar sigue siendo la ejecución a pequeña escala de Shor, no a escala criptográfica, ya que experimentos previos que factorizan 15 en un ordenador cuántico usan circuitos simplificados, no el algoritmo completo y tolerante a fallos. Además, siempre se factoriza 15 porque la aritmética módulo 15 es fácil, mientras que números algo mayores como 21 son mucho más complicados. Por eso, experimentos cuánticos que afirman factorizar 21 suelen requerir pistas o atajos extra.

En resumen, no hay avances públicos que respalden la expectativa de que en los próximos 5 años existirá un CRQC capaz de romper {RSA-2048} o {secp}256{k}1, algo vital para la criptografía práctica.

Incluso 10 años parece ambicioso. Considerando lo lejos que estamos del CRQC, es totalmente coherente entusiasmarse con los avances y seguir manejando horizontes temporales de más de una década.

¿Y qué pasa con que el gobierno de EE.UU. haya fijado 2035 como fecha límite para la migración post-cuántica (PQ) completa de sistemas gubernamentales? Creo que es un calendario razonable para una transición tan masiva. Sin embargo, no implica que se prevea la existencia de CRQC en ese momento.

¿A qué casos se aplican los ataques HNDL (y a cuáles no)?

Un ataque “Harvest-Now-Decrypt-Later” (HNDL) consiste en que un adversario almacena ahora el tráfico cifrado para descifrarlo cuando disponga de un CRQC. Sin duda, adversarios a nivel de estado-nación ya están archivando en masa comunicaciones cifradas del gobierno estadounidense, para descifrarlas años después si se logra un CRQC.

Por eso, la migración del cifrado es urgente, al menos para quienes requieran confidencialidad durante 10-50 años.

Pero las firmas digitales —de las que depende todo blockchain— son diferentes: no existe confidencialidad retroactiva que atacar.

En otras palabras, si llega un CRQC, la falsificación de firmas sí será posible desde ese momento, pero las firmas históricas no “ocultan” secretos como los mensajes cifrados. Mientras sepamos que una firma se generó antes de la llegada de un CRQC, no puede ser falsa.

Esto hace que la transición a firmas digitales post-cuánticas sea menos urgente que la del cifrado.

Las principales plataformas actúan en consecuencia: Chrome y Cloudflare han lanzado cifrado TLS híbrido {X}25519+{ML-KEM}.

En este texto, para facilitar la lectura, empleo el término “esquema de cifrado”, aunque en rigor, protocolos como TLS emplean mecanismos de intercambio o encapsulación de claves, no cifrado de clave pública estricto.

Aquí, “híbrido” significa usar simultáneamente un esquema post-cuántico (ML-KEM) y uno clásico ({X}25519), para combinar sus garantías de seguridad. Así, pueden (esperan) bloquear ataques HNDL gracias a ML-KEM, y seguir siendo seguros clásicamente mediante {X}25519 si ML-KEM resultara ser inseguro incluso para ordenadores actuales.

Apple también ha desplegado este cifrado híbrido post-cuántico en iMessage mediante el protocolo PQ3, y Signal lo ha hecho con PQXDH y SPQR.

En cambio, la adopción de firmas digitales post-cuánticas en la infraestructura crítica de la red se ha pospuesto hasta que un CRQC sea realmente inminente, debido al impacto negativo en el rendimiento (que se detalla más adelante).

zkSNARKs — pruebas de conocimiento cero no interactivas y sucintas, clave para la escalabilidad y privacidad a largo plazo de blockchain — están en una situación similar a las firmas. Incluso los zkSNARKs no post-cuánticos (que usan criptografía de curva elíptica, igual que los esquemas clásicos de cifrado y firma de hoy) mantienen la propiedad de conocimiento cero frente a adversarios cuánticos.

La propiedad de conocimiento cero garantiza que una prueba no filtra información sobre el testigo secreto — incluso ante un adversario cuántico — así que no hay información confidencial que “recolectar” para descifrar en el futuro.

Por tanto, los zkSNARKs no son vulnerables a ataques HNDL. Igual que las firmas clásicas generadas hoy son seguras, cualquier prueba zkSNARK generada antes de la llegada de un CRQC sigue siendo fiable (la afirmación probada es objetivamente verdadera), aunque use criptografía de curva elíptica. Solo después de la llegada de un CRQC un atacante podría generar pruebas convincentes de afirmaciones falsas.

¿Qué implica esto para blockchain?

La mayoría de blockchains no están expuestas a ataques HNDL:

La mayoría de cadenas no privadas, como Bitcoin y Ethereum, usan criptografía clásica solo para autorizar transacciones — es decir, usan firmas digitales, no cifrado.

Estas firmas tampoco están en riesgo HNDL: los ataques “Recolectar ahora, descifrar después” solo aplican a datos cifrados. Por ejemplo, la blockchain de Bitcoin es pública; la amenaza cuántica es la falsificación de firmas (derivar claves privadas para robar fondos), no descifrar datos de transacciones ya públicos. Esto elimina la urgencia de migrar el cifrado impuesta por ataques HNDL.

Por desgracia, incluso análisis de fuentes fiables como la Reserva Federal han afirmado erróneamente que Bitcoin es vulnerable a ataques HNDL, exagerando así la urgencia de la transición post-cuántica.

Dicho esto, menos urgencia no significa que Bitcoin pueda esperar: enfrenta una presión temporal diferente derivada de la enorme coordinación social necesaria para cambiar el protocolo.

A día de hoy, la excepción la constituyen las cadenas de privacidad, muchas de las cuales cifran u ocultan receptores y montos. Una vez que un ordenador cuántico sea capaz de romper la criptografía de curva elíptica, esa confidencialidad puede ser recolectada hoy y desenmascarada retroactivamente.

La gravedad del ataque depende del diseño de cada blockchain. Por ejemplo, en Monero, las firmas de anillo y las imágenes clave (etiquetas de vinculabilidad para evitar doble gasto, basadas en curvas) permiten que, a partir del propio libro público, se reconstruya retroactivamente el grafo de gastos. En otras cadenas, el daño es más limitado; para más detalles, véase la discusión de Sean Bowe, ingeniero y criptógrafo de Zcash.

Si es importante que las transacciones de los usuarios no sean expuestas por un CRQC, las cadenas de privacidad deberían migrar a primitivos post-cuánticos (o híbridos) tan pronto como sea factible. O bien, adoptar arquitecturas que eviten poner secretos desencriptables en la propia blockchain.

El dilema especial de Bitcoin: gobernanza + monedas abandonadas

Bitcoin enfrenta dos realidades que hacen urgente empezar la migración a firmas digitales post-cuánticas, ambas independientes de la tecnología cuántica.

Una preocupación es la lentitud de la gobernanza: Bitcoin evoluciona muy despacio. Si la comunidad no logra consenso sobre una solución, cualquier cuestión polémica puede causar una bifurcación dura (hard fork) destructiva.

La otra es que la migración de Bitcoin a firmas post-cuánticas no puede ser pasiva: los propietarios deben migrar activamente sus monedas. Esto significa que las monedas abandonadas y vulnerables a lo cuántico no podrán protegerse. Algunas estimaciones sitúan el número de BTC vulnerables y probablemente abandonados en varios millones, lo que a precios actuales (diciembre de 2025) implica decenas de miles de millones de dólares.

Sin embargo, la amenaza cuántica a Bitcoin no será un desastre repentino de la noche a la mañana, sino más bien un proceso selectivo y gradual. Los ordenadores cuánticos no romperán toda la criptografía a la vez; el algoritmo de Shor debe atacar una clave pública cada vez. Los primeros ataques cuánticos serán extremadamente caros y lentos. Por tanto, una vez que una máquina cuántica pueda romper una sola clave de firma de Bitcoin, los atacantes buscarán selectivamente las carteras de mayor valor.

Además, quienes eviten la reutilización de direcciones y no usen direcciones Taproot —que exponen la clave pública directamente en la cadena— están en gran medida protegidos aunque no cambie el protocolo: su clave pública permanece oculta tras una función hash hasta que gasten sus monedas. Cuando finalmente transmitan una transacción, la clave pública se hace visible y se desencadena una breve carrera en tiempo real entre el usuario legítimo y cualquier atacante cuántico que intente obtener la clave privada antes de que la transacción sea confirmada. Así, las monedas realmente vulnerables son aquellas cuyas claves públicas ya han sido expuestas: salidas Pay-to-PubKey tempranas, direcciones reutilizadas y fondos en Taproot.

Para las monedas vulnerables y abandonadas, no hay una solución sencilla. Algunas opciones incluyen:

La comunidad de Bitcoin acuerda un “día de corte” tras el cual las monedas no migradas se consideran destruidas.

Las monedas vulnerables y abandonadas quedarían a merced de quien posea un CRQC.

La segunda opción acarrea serios problemas legales y de seguridad. Usar un ordenador cuántico para tomar posesión de monedas sin la clave privada —aunque se alegue propiedad legítima o buena fe— puede constituir delito de robo o fraude informático en muchas jurisdicciones.

Además, “abandonado” se presume por inactividad, pero nadie puede saber con certeza si una moneda carece de dueño vivo con la clave. Haber poseído las monedas no basta para autorizar legalmente la ruptura de la protección criptográfica y su recuperación. Esta ambigüedad legal aumenta la probabilidad de que monedas vulnerables y abandonadas caigan en manos de actores maliciosos dispuestos a ignorar las restricciones legales.

Un último problema propio de Bitcoin es su bajo rendimiento de transacciones. Incluso si se acuerda un plan de migración, trasladar todos los fondos vulnerables a direcciones seguras post-cuánticas a la velocidad de transacción actual llevaría meses.

Estos retos hacen esencial que Bitcoin empiece a planificar su transición post-cuántica ya —no porque sea probable que un CRQC llegue antes de 2030, sino porque la gobernanza, coordinación y logística técnica requerirá años para migrar decenas de miles de millones en monedas.

La amenaza cuántica a Bitcoin es real, pero la presión temporal viene de sus propias limitaciones, no de la inminencia de ordenadores cuánticos. Otras blockchains también afrontan desafíos con fondos vulnerables a lo cuántico, pero Bitcoin está especialmente expuesto: sus primeras transacciones usaban salidas Pay-to-PubKey (P2PK), exponiendo directamente la clave pública y dejando una parte significativa de BTC especialmente vulnerable a un CRQC. Esta diferencia técnica —sumada a la antigüedad, concentración de valor, bajo rendimiento y gobernanza rígida de Bitcoin— agrava el problema.

Nótese que los riesgos aquí descritos afectan a la seguridad criptográfica de las firmas de Bitcoin, pero no a la seguridad económica de la blockchain de Bitcoin. Esta última se basa en la prueba de trabajo (PoW), que no es vulnerable a los ordenadores cuánticos, por tres razones:

PoW depende de funciones hash, por lo que solo está sujeto a la aceleración cuadrática (no exponencial) del algoritmo de Grover, no a la del algoritmo de Shor.

El sobrecoste práctico de Grover hace extremadamente improbable que un ordenador cuántico logre siquiera una aceleración moderada en el PoW de Bitcoin.

Aun si se lograra una aceleración significativa, beneficiaría a grandes mineros cuánticos frente a pequeños, pero no socavaría el modelo de seguridad económica subyacente.

Costes y riesgos de las firmas post-cuánticas

Para entender por qué blockchain no debe apresurarse a desplegar firmas post-cuánticas, hay que considerar tanto el coste de rendimiento como la confianza, aún en evolución, en su seguridad.

La mayoría de primitivos post-cuánticos se basan en uno de cinco enfoques:

(hashing) (hash)

(codes) (códigos)

(lattices) (redes o retículas)

(multivariate quadratic systems, MQ) (sistemas multivariados cuadráticos, MQ)

(isogenies) (isogenias)

¿Por qué cinco métodos? La seguridad de cualquier primitivo criptográfico post-cuántico se basa en la conjetura de que los ordenadores cuánticos no pueden resolver eficientemente cierto problema matemático. Cuanto más “estructurado” el problema, más eficientes pueden ser los protocolos derivados.

Pero esto tiene un coste: la mayor estructura ofrece más oportunidades para ataques. Esto crea una tensión fundamental: suposiciones más fuertes permiten mejor rendimiento, pero conllevan mayor riesgo de inseguridad (la suposición podría probarse falsa).

En general, los métodos basados en hash son los más conservadores en seguridad, ya que tenemos gran confianza en que los ordenadores cuánticos no los romperán. Pero también son los menos eficientes. Por ejemplo, el esquema de firma basado en hash estandarizado por NIST, incluso en su configuración mínima, tiene un tamaño de 7-8 KB. En cambio, las firmas digitales actuales basadas en curvas elípticas ocupan solo 64 bytes — una diferencia de tamaño de unas 100 veces.

Las soluciones basadas en retículas (lattices) son el principal foco actual de despliegue. NIST ha elegido para estandarizar su único esquema de cifrado y dos de sus tres esquemas de firma sobre retículas. Uno de ellos (ML-DSA, antes Dilithium) genera firmas de 2,4 KB (nivel de seguridad 128 bits) a 4,6 KB (256 bits), unas 40-70 veces mayores que una firma clásica de curva elíptica. Otro, Falcon, produce firmas algo menores (Falcon-512: 666 bytes; Falcon-1024: 1,3 KB), pero implica operaciones complejas en coma flotante, que el propio NIST señala como un desafío especial de implementación. Thomas Pornin, uno de los creadores de Falcon, lo llama “el algoritmo criptográfico más complejo que he implementado”.

La seguridad de implementación de las firmas basadas en retículas es también más difícil que las clásicas: ML-DSA tiene más valores intermedios sensibles y lógica de muestreo por rechazo no trivial, lo que exige protección contra ataques de canal lateral y fallos. Falcon añade problemas de tiempo constante en coma flotante; de hecho, varios ataques de canal lateral ya han recuperado claves secretas de implementaciones de Falcon.

Estos problemas suponen riesgos inmediatos, a diferencia de la lejana amenaza del CRQC.

Hay buenas razones para ser cautos con los métodos post-cuánticos más eficientes. Históricamente, candidatos líderes como Rainbow (firmas MQ) y SIKE/SIDH (cifrado basado en isogenias) fueron rotos en la fase final del proceso de estandarización de NIST — es decir, con ordenadores clásicos, no cuánticos.

Esto ocurrió en etapas muy avanzadas del proceso. Es una muestra de la ciencia funcionando correctamente, pero ilustra que estandarizar y desplegar prematuramente puede ser contraproducente.

Como se mencionó, la infraestructura de Internet adopta una aproximación reflexiva a la migración de firmas. Dado que una vez iniciada la transición criptográfica de la red puede durar mucho tiempo, esto es especialmente relevante. El cambio de funciones hash como MD5 y SHA-1 —desaconsejadas técnicamente por los reguladores hace años— llevó años en implementarse en la infraestructura práctica y, en algunos casos, aún no ha terminado. Esto ocurrió porque estos algoritmos fueron completamente rotos, no solo potencialmente vulnerables a futuras tecnologías.

Desafíos únicos para blockchain frente a la infraestructura de Internet

Afortunadamente, blockchains como Ethereum o Solana, mantenidas por comunidades activas de desarrolladores open source, pueden actualizarse más rápidamente que la infraestructura de red tradicional. Por otro lado, la red tradicional se beneficia de una rotación frecuente de claves, desplazando el vector de ataque más rápido de lo que los primeros ordenadores cuánticos pueden explotar — algo que blockchain no puede permitirse, ya que monedas y claves asociadas pueden permanecer expuestas indefinidamente.

En general, blockchain debe seguir la estrategia reflexiva de migración de firmas de la red tradicional. En ambos contextos, las firmas no son vulnerables a ataques HNDL y, sin importar cuánto duren las claves, los costes y riesgos de migrar prematuramente a esquemas post-cuánticos inmaduros siguen siendo elevados.

Existen, además, desafíos específicos de blockchain que hacen que migrar demasiado pronto sea especialmente arriesgado y complejo: por ejemplo, blockchain exige esquemas de firma capaces de agrupar rápidamente muchas firmas. Hoy, las firmas BLS son populares por su agregación ultrarrápida, pero no son post-cuánticas. Se investiga la agregación de firmas post-cuánticas basadas en SNARKs, un campo prometedor pero aún incipiente.

Para los SNARKs, la comunidad se centra actualmente en estructuras basadas en hash como principal opción post-cuántica. Pero se avecina un gran cambio: creo que en los próximos meses y años, las opciones basadas en retículas serán alternativas atractivas. Estas ofrecerán en todos los aspectos mejor rendimiento que los SNARKs basados en hash, por ejemplo, pruebas más cortas — igual que las firmas basadas en retículas son más compactas que las basadas en hash.

El problema más urgente hoy: seguridad de implementación

En los próximos años, las vulnerabilidades de implementación serán un riesgo mucho mayor que los CRQC. En el caso de los SNARKs, la principal preocupación son los errores de software (bugs).

Ya los errores de software son un reto en firmas digitales y esquemas de cifrado, pero los SNARKs son mucho más complejos. De hecho, un esquema de firma digital puede verse como un SNARK muy simple para la afirmación “conozco la clave privada asociada a mi clave pública y autorizo este mensaje”.

Para las firmas post-cuánticas, los riesgos inmediatos incluyen ataques de implementación como canal lateral y inyección de fallos. Este tipo de ataques están bien documentados y pueden extraer claves secretas de sistemas ya desplegados. Son una amenaza más urgente que los CRQC.

La comunidad dedicará años a identificar y corregir errores en los SNARKs y a endurecer implementaciones de firmas post-cuánticas contra canales laterales e inyección de fallos. Debido a que aún no se ha asentado el polvo sobre SNARKs post-cuánticos y esquemas de agregación de firmas, migrar demasiado pronto expone a blockchain a quedar atada a soluciones subóptimas. Cuando surjan mejores opciones o se descubran vulnerabilidades de implementación, podrían verse obligadas a migrar de nuevo.

¿Qué deberíamos hacer? 7 recomendaciones

A la vista de todo lo anterior, resumo con consejos para distintos interesados — desde desarrolladores a legisladores. Principio fundamental: tomar en serio la amenaza cuántica, pero no actuar bajo la suposición de que un CRQC llegará antes de 2030. No hay avances actuales que lo justifiquen. Aun así, sí podemos (y debemos) hacer varias cosas ya:

Debemos desplegar cifrado híbrido de inmediato.

O al menos hacerlo donde la confidencialidad a largo plazo importe y el coste sea asumible.

Muchos navegadores, CDN y apps de mensajería (iMessage, Signal) ya han adoptado métodos híbridos. El enfoque híbrido — post-cuántico + clásico — bloquea ataques HNDL y cubre posibles debilidades en los esquemas post-cuánticos.

Usar ya firmas basadas en hash donde el tamaño sea asumible.

Las actualizaciones de software/firmware y otros casos de baja frecuencia y poca sensibilidad al tamaño deberían adoptar ya firmas basadas en hash (en modo híbrido, para cubrir errores de implementación, no por dudas sobre la seguridad del hash).

Esto es conservador y, en el improbable caso de que aparezca un CRQC pronto, da a la sociedad un “salvavidas” claro. Si no se han desplegado firmas post-cuánticas antes, la llegada de un CRQC planteará un problema de arranque: no podremos distribuir de forma segura los parches criptográficos necesarios para resistirlo.

Blockchain no debe apresurarse a desplegar firmas post-cuánticas — pero debe empezar a planificar ya.

Los desarrolladores blockchain deben seguir el ejemplo de la comunidad PKI de la red y adoptar una estrategia reflexiva para desplegar firmas post-cuánticas. Esto permite que los esquemas post-cuánticos sigan madurando en rendimiento y confianza en su seguridad. También da tiempo para rediseñar sistemas que soporten firmas más grandes y desarrollar mejores técnicas de agregación.

Para Bitcoin y otras L1: la comunidad debe definir la ruta de migración y la política sobre fondos vulnerables y abandonados. La migración pasiva no es posible, así que la planificación es esencial. Y dado que Bitcoin enfrenta desafíos no técnicos particulares — gobernanza lenta y gran cantidad de fondos de alto valor potencialmente abandonados y vulnerables — es especialmente urgente que su comunidad empiece a planificar ya.

Mientras tanto, hay que dejar que la investigación sobre SNARKs post-cuánticos y firmas agregables madure (lo que puede requerir varios años más). De nuevo, migrar demasiado pronto puede atar a soluciones subóptimas o requerir una segunda migración para corregir errores de implementación.

Una nota sobre el modelo de cuentas de Ethereum: Ethereum soporta dos tipos de cuentas, con diferentes implicaciones para la migración post-cuántica: las cuentas externas (EOAs) (controladas por claves privadas {secp}256{k}1 tradicionales) y las carteras de contratos inteligentes con lógica de autorización programable.

En un escenario no urgente, si Ethereum añade soporte para firmas post-cuánticas, las carteras de contratos inteligentes actualizables podrán migrar mediante una actualización del contrato, mientras que las EOAs quizá deban mover sus fondos a nuevas direcciones seguras post-cuánticas (aunque Ethereum probablemente ofrecerá un mecanismo especial de migración para EOAs).

En caso de emergencia cuántica, los investigadores de Ethereum han propuesto un plan de hard fork para congelar cuentas vulnerables y permitir que los usuarios recuperen sus fondos mediante una prueba SNARK post-cuántica de conocimiento de su frase mnemotécnica. Este mecanismo serviría tanto para EOAs como para contratos inteligentes aún no actualizados.

Impacto real para el usuario: una cartera de contrato inteligente actualizable y bien auditada puede ofrecer una migración algo más fluida, pero la diferencia no es grande y conlleva concesiones en la confianza en el proveedor de la cartera y la gobernanza de actualizaciones. Es más importante que la comunidad de Ethereum continúe su trabajo sobre primitivos post-cuánticos y planes de respuesta de emergencia.

Lección de diseño para creadores: hoy, muchas blockchains vinculan la identidad de cuenta a un primitivo criptográfico específico — Bitcoin y Ethereum a firmas ECDSA sobre {secp}256{k}1, otras cadenas a EdDSA. El reto de la migración post-cuántica subraya el valor de desacoplar la identidad de cuenta del esquema de firma concreto. El paso de Ethereum hacia cuentas inteligentes y los esfuerzos de abstracción de cuentas en otras cadenas reflejan esta tendencia: permiten actualizar la lógica de autenticación de una cuenta sin perder su historial o estado. Esto no hace trivial la migración post-cuántica, pero ofrece más flexibilidad que encajar cuentas a un único esquema de firma. (También habilita otras funciones como transacciones patrocinadas, recuperación social o multifirma).

Para las cadenas de privacidad que cifran u ocultan detalles de transacciones, si el rendimiento lo permite, deben priorizar una transición temprana.

La confidencialidad de los usuarios en estas cadenas está expuesta a ataques HNDL, aunque la gravedad varía según el diseño. Las cadenas que permiten un desanonimato completo retroactivo solo con el libro público enfrentan el riesgo más urgente.

Considerar esquemas híbridos (post-cuántico + clásico) para cubrir la posibilidad de que un esquema post-cuántico resulte inseguro incluso para ordenadores clásicos, o adoptar cambios arquitectónicos que eviten almacenar secretos desencriptables en la blockchain.

A corto plazo, priorizar la seguridad de implementación — no la mitigación de la amenaza cuántica.

Especialmente para primitivos complejos como {SNARKs} y firmas post-cuánticas, los errores de software y ataques de implementación (canal lateral, inyección de fallos) serán un riesgo de seguridad mucho mayor que los CRQC en los próximos años.

Invertir de inmediato en auditorías, fuzzing, verificación formal y enfoques de defensa en profundidad / seguridad por capas — ¡no dejar que la preocupación cuántica oculte la amenaza más inminente de los bugs!

Financiar el desarrollo de la computación cuántica.

Un impacto clave para la seguridad nacional de todo lo anterior es la necesidad de mantener la financiación y formación de talento en computación cuántica.

Si un adversario importante supera a EE.UU. en lograr un CRQC, supondría un grave riesgo para nuestra seguridad nacional y la del resto del mundo.

Mantener perspectiva ante anuncios cuánticos.

A medida que la tecnología cuántica madure, los próximos años estarán llenos de hitos. Paradójicamente, la frecuencia de estos anuncios prueba lo lejos que estamos del CRQC: cada hito representa uno de los muchos puentes que aún debemos cruzar, y cada uno generará su propia ola de titulares y entusiasmo.

Tratar los comunicados de prensa como informes de avance que requieren evaluación crítica, no como señales para actuar de inmediato.

Por supuesto, podría haber avances sorprendentes o innovaciones que aceleren el calendario previsto, así como cuellos de botella graves que lo retrasen aún más.

No sostengo que la aparición de un CRQC en cinco años sea absolutamente imposible, solo extremadamente improbable. Las recomendaciones anteriores son robustas ante esta incertidumbre, y aplicarlas permite evitar riesgos más inmediatos y probables: errores de implementación, despliegues apresurados y los problemas habituales en migraciones criptográficas.