a16z Informe destacado: Las vulnerabilidades de código son más peligrosas que la computación cuántica, no te dejes llevar por el pánico

a16z Crypto señaló que la amenaza de la computación cuántica está exagerada, y que la probabilidad de CRQC (Computadora Cuántica Relacionada con la Criptografía) antes de 2030 es extremadamente baja. Las firmas digitales y los zkSNARKs no están sujetos a ataques de “recoger primero y luego descifrar”, y cambiar demasiado pronto introduce riesgos. Las amenazas actuales son vulnerabilidades en el código y dificultades de gobernanza, y se recomienda priorizar las pruebas de auditoría en lugar de actualizaciones apresuradas.

a16z refuta la narrativa de la CRQC antes de 2030

a16z Crypto publicó un artículo de análisis en su cuenta oficial, afirmando que el juicio temporal del mercado sobre “la computación cuántica amenaza a las criptomonedas” suele estar exagerado, y que la probabilidad de que aparezcan ordenadores cuánticos con un poder destructivo realista antes de 2030 es extremadamente baja. El llamado “ordenador cuántico con significado criptográfico” se refiere a ordenadores cuánticos tolerantes a fallos y correctores de errores que pueden operar, y el algoritmo Shor es lo suficientemente grande como para atacar la criptografía de curvas elípticas o RSA en un tiempo razonable.

Basándonos en una interpretación razonable de hitos públicos y estimaciones de recursos, aún estamos lejos de construir un ordenador cuántico de este nivel. Todas las arquitecturas actuales —iones aprisionados, qubits superconductores y sistemas atómicos neutrales— no pueden acercarse a la escala de cientos de miles o incluso millones de qubits sólidos. Los factores limitantes no son solo el número de qubits, sino también la fidelidad de la puerta, la conectividad de los qubits y la profundidad del circuito continuo de corrección de errores necesario para ejecutar el algoritmo cuántico profundo.

Algunos sistemas tienen actualmente más de 1.000 qubits físicos, pero esta cifra es muy engañosa. Estos sistemas carecen de la conectividad de qubits y la fidelidad de puertas necesarias para cálculos relacionados con la criptografía. Todavía existe una gran diferencia entre demostrar que los principios de corrección cuántica de errores son factibles y la escala necesaria para lograr el criptoanálisis. En resumen: a menos que el número de qubits y la fidelidad aumenten varios órdenes de magnitud, los ordenadores cuánticos criptográficamente significativos siguen estando fuera de alcance.

Tres conceptos erróneos comunes sobre el pánico cuántico

La ventaja cuántica es confusa: Las demostraciones que afirman “ventaja cuántica” están dirigidas a tareas diseñadas por humanos, no a descifrar contraseñas real

Los recocidores cuánticos son engañosos: reclamando miles de qubits pero refiriéndose a recocidos, no a máquinas de modelos de puertas que ejecutan el algoritmo de Shor

Abuso lógico de qubits: Algunas empresas afirman ser “qubits lógicos” pero usan codificación por distancia 2 para detectar errores y no corregirlos

Los ataques HNDL no se aplican a signatures ni a zkSNARKs

El artículo señalaba que las soluciones convencionales de firma digital y los sistemas de conocimiento cero como zkSNARKs no son susceptibles al patrón de ataque cuántico de “recoger primero, descifrar después”. Los ataques Harvest Now, Decryption Later (HNDL) se refieren a fuerzas hostiles que ahora almacenan tráfico cifrado y luego lo descifran tras la aparición de un ordenador cuántico criptográficamente significativo. Este ataque supone una amenaza real para la criptografía, por lo que la criptografía necesita transformarse hoy en día, al menos para quienes tienen necesidades de confidencialidad durante más de 10-50 años.

Sin embargo, la firma digital en la que dependen todas las blockchains es diferente de la cifración: no tiene el secreto de un ataque rastreable. En otras palabras, si aparecían operaciones cuánticas relacionadas con la criptografía, entonces era posible falsificar firmas, pero las firmas del pasado no “ocultaban” secretos como los mensajes cifrados. Mientras sepas que la firma digital se generó antes de que apareciera la CRQC, no puede ser falsificada. Esto hace que la transición a firmas digitales post-cuánticas sea menos urgente que la transición a la criptografía post-cuántica.

Los zkSNARKs (argumentos sucintos y no interactivos de conocimiento cero) son clave para la escalabilidad y privacidad a largo plazo de las blockchains, y están en una situación similar a la de las firmas. Aunque los zkSNARKs utilizan criptografía de curvas elípticas, sus propiedades de conocimiento cero son seguras para el post-cuántico. El atributo de conocimiento cero garantiza que no se revele información sobre testigos secretos durante el proceso de prueba – ni siquiera a adversarios cuánticos – por lo que no hay información confidencial disponible para ser “recopilada ahora” y su posterior descifrado.

Como resultado, los zkSNARKs no están sujetos a ataques de captura y descifrado. Así como las firmas no post-cuánticas generadas hoy en día son seguras, cualquier prueba de zkSNARK generada antes de la llegada de los ordenadores cuánticos con significado criptográfico es fiable. Solo después de la aparición de ordenadores cuánticos criptográficamente significativos los atacantes podrán encontrar pruebas convincentes de afirmaciones falsas. Este detalle técnico es crucial para comprender la autenticidad de las amenazas cuánticas.

Los tres principales costes y riesgos de la migración prematura

Forzar a blockchain a cambiar demasiado pronto a soluciones resistentes a la cuantidad puede introducir problemas como degradación del rendimiento, inmadurez de ingeniería y posibles fallos de seguridad. El coste de rendimiento de las firmas post-cuánticas es extremadamente considerable. Las firmas basadas en hash tienen un tamaño de 7-8 KB, mientras que las firmas digitales actuales basadas en curvas elípticas solo tienen 64 bytes, lo que supone una diferencia de tamaño de aproximadamente 100 veces. La solución de cuadrícula es ligeramente mejor, con firmas ML-DSA que van de 2,4 KB a 4,6 KB, lo que sigue siendo entre 40 y 70 veces mayor que la solución actual.

¿Qué significa este aumento de tamaño para blockchain? Firmas más grandes significan mayores comisiones de transacción, propagación de bloques más lenta y mayores costes de almacenamiento de nodos. Para blockchains como Bitcoin, que ya enfrentan desafíos de escalabilidad, cambiar a firmas post-cuánticas podría agravar el problema decenas de veces. Además, los esquemas de firma post-cuántica son más desafiantes para implementar la seguridad que las firmas basadas en curvas elípticas, y ML-DSA conlleva más riesgos de seguridad y una lógica de muestreo de rechazo compleja que requiere protección en canales laterales.

Las lecciones de la historia son aún más advertencias. Rainbow (un esquema de firma basado en MQ) y SIKE/SIDH (un esquema de cifrado basado en homología) son candidatos principales que se descifraron con ordenadores tradicionales más adelante en el proceso de estandarización del NIST. Esto demuestra el funcionamiento normal de la ciencia, pero también sugiere que una estandarización y despliegue prematuros pueden volverse contraproducentes. Los desafíos específicos de blockchain también hacen que la migración prematura sea especialmente peligrosa, como los requisitos únicos de blockchain para esquemas de firmas, especialmente la capacidad de agregar rápidamente grandes cantidades de firmas.

a16z Siete sugerencias: Afrontar con prudencia las amenazas cuánticas

a16Z enfatizó además que, en comparación con los riesgos de computación cuántica que aún no se han concretado, los desafíos más realistas que enfrentan actualmente las cadenas públicas convencionales como Bitcoin y Ethereum provienen de la dificultad de las actualizaciones colaborativas, la complejidad de la gobernanza y las vulnerabilidades del código de capa de implementación. Recomienda que los desarrolladores planifiquen con antelación rutas resistentes a la cuantización basándose en una ventana de tiempo razonable para evaluación, en lugar de apresurarse en las migraciones. Al mismo tiempo, se señala que en un futuro previsible, problemas tradicionales de seguridad como defectos de código, ataques de canal lateral e inyección de fallos siguen siendo más prioritarios que la computación cuántica, y deberían centrarse en fortalecer la auditoría, el fuzzing y la verificación formal.

a16z Resumen de las siete recomendaciones principales

Despliega cifrado híbrido hoy mismo: Al menos en escenarios donde la confidencialidad a largo plazo es crucial

Utiliza firmas basadas en hash: En escenarios de baja frecuencia de tamaño tolerable, como actualizaciones de software

La blockchain está cuidadosamente planificada: No te precipites a migrar, pero empieza a planificar tu camino ahora

Primero la cadena de privacidad: Si el rendimiento es aceptable, la transición debe realizarse lo antes posible

Priorizar la seguridad: La auditoría y las pruebas son más urgentes que las anticuánticas

Financiación de la investigación y desarrollo cuántico: Evitar que los oponentes adquieran habilidades primero

Mira el anuncio con racionalidad: Tratar los informes de progreso como hitos en lugar de desencadenantes de acción

Los desarrolladores de blockchain deberían seguir el ejemplo de la comunidad web de PKI adoptando un enfoque prudente para desplegar firmas post-cuánticas. Esto ayuda a que los esquemas de firma post-cuántica sigan mejorando en términos de rendimiento y seguridad. Es especialmente importante que la comunidad Bitcoin empiece a planificar ahora, ya que la lenta gobernanza y el gran número de direcciones de alto valor, potencialmente abandonadas y vulnerables a la cuantía plantean desafíos especiales.