¿Cuándo podrán las computadoras cuánticas romper las tecnologías criptográficas actuales? a16z analistas profundizan en la línea de tiempo real de la amenaza cuántica, aclaran los diferentes riesgos que enfrentan la criptografía y las firmas digitales, y proponen siete recomendaciones para la industria blockchain. Este artículo se basa en un informe de investigación de Justin Thaler / a16z, traducido y editado por 動區.
（Resumen previo: Experto en física: en cinco años más, las computadoras cuánticas podrán romper las claves privadas de Bitcoin, ¿deberíamos detener completamente la red para actualizar BTC?）
（Información adicional: ¿Se romperá Bitcoin antes de 2030? Willow de Google “Eco Cuántico” genera debate entre expertos: la mayoría de las claves públicas ya están expuestas）

Índice del artículo

• Línea de tiempo: ¿Qué tan lejos estamos de que las computadoras cuánticas puedan romper la criptografía?
• Ataque de “robo actual, descifrado futuro”: ¿a quiénes aplica? ¿a quiénes no?
• ¿Qué significa esto para blockchain?
• El problema especial de Bitcoin: estancamiento en gobernanza y “monedas dormidas”
• Costos y riesgos de firmas post-cuánticas
• Desafíos únicos de blockchain vs. infraestructura de internet
• ¿Cómo debemos responder? Siete recomendaciones

¿Qué tan lejos estamos de que las computadoras cuánticas puedan romper Bitcoin?

¿Cuándo podrán las computadoras cuánticas actuales descifrar la criptografía existente? La línea de tiempo para esta pregunta suele ser exagerada, generando llamados a “transicionar urgentemente y de manera completa hacia la criptografía post-cuántica”.

Pero estos llamados a menudo ignoran los costos y riesgos de una migración prematura, y no reconocen que diferentes herramientas criptográficas enfrentan amenazas de naturaleza muy distinta:

• La criptografía post-cuántica debe implementarse de inmediato, sin importar el costo. Porque los ataques de “robo actual, descifrado futuro” (HNDL) ya existen. Los datos sensibles cifrados hoy, incluso si la computadora cuántica aparece en décadas, seguirán teniendo un valor enorme. Aunque la criptografía post-cuántica puede reducir el rendimiento y presentar riesgos de implementación, para datos que requieren confidencialidad a largo plazo, no hay alternativa.
• Las firmas digitales post-cuánticas son otra historia. Son menos vulnerables a los ataques de “robo y descifrado”, y los costos y riesgos (aumento de tamaño, carga en rendimiento, esquemas aún no maduros, vulnerabilidades potenciales) requieren una planificación cuidadosa, no una acción inmediata.

Distinguir esto es crucial. Una percepción errónea distorsiona el análisis costo-beneficio, y puede hacer que los equipos pasen por alto riesgos de seguridad más apremiantes, como vulnerabilidades en el código.

El verdadero desafío para una transición exitosa a la criptografía post-cuántica radica en alinear la urgencia de la acción con la amenaza real. A continuación, se aclaran malentendidos comunes sobre la amenaza de la computación cuántica en criptografía, cubriendo cifrado, firmas y pruebas de conocimiento cero, con especial énfasis en su impacto en blockchain.

Línea de tiempo: ¿Qué tan lejos estamos de que las computadoras cuánticas puedan romper la criptografía?

A pesar de las campañas exageradas, la probabilidad de que en la década de los 20 del siglo actual aparezca una “computadora cuántica relacionada con la criptografía” es muy baja.

Se refiere a una computadora cuántica con capacidad de corrección de errores y tolerancia a fallos, capaz de ejecutar el algoritmo de Shor y con escala suficiente para romper en un tiempo razonable (por ejemplo, en menos de un mes de cálculo continuo) criptosistemas como curvas elípticas (por ejemplo, secp256k1) o RSA (como RSA-2048).

Según hitos tecnológicos públicos y evaluaciones de recursos, estamos bastante lejos de alcanzar tal máquina. Aunque algunas empresas afirman que podría lograrse antes de 2030 o incluso 2035, los avances conocidos no respaldan esas afirmaciones.

Actualmente, ni los sistemas de iones atrapados, qubits superconductores o átomos neutros pueden acercarse a los decenas de miles o millones de qubits físicos necesarios para romper RSA-2048 o secp256k1 (el número exacto depende de las tasas de error y los esquemas de corrección).

El cuello de botella no solo está en la cantidad de qubits, sino también en la fidelidad de las puertas, la conectividad entre qubits, y la profundidad de circuitos de corrección de errores necesarios para ejecutar algoritmos cuánticos complejos. Algunos sistemas físicos ya superan los 1000 qubits, pero ese número puede ser engañoso: carecen de la conectividad y fidelidad necesarias para operaciones criptográficas.

Recientemente, los sistemas se acercan a los umbrales de error físico requeridos para corrección cuántica, pero nadie ha logrado mantener de forma estable más de unos pocos qubits lógicos, mucho menos los miles necesarios para ejecutar Shor con alta fidelidad y circuitos profundos. La brecha entre la verificación teórica y la escala necesaria para análisis criptográfico sigue siendo enorme.

En resumen: antes de que la cantidad y fidelidad de qubits físicos aumente varias órdenes de magnitud, las computadoras cuánticas relacionadas con la criptografía siguen siendo inalcanzables.

No obstante, los comunicados corporativos y los medios a menudo generan confusión. Los principales malentendidos incluyen:

2. “Demostraciones de ventaja cuántica”: muchas tareas demostradas son diseñadas cuidadosamente y no tienen utilidad práctica real, solo porque pueden ejecutarse en hardware actual y parecer rápidas. Esto a menudo se minimiza en la promoción.
3. La publicidad de “miles de qubits físicos”: generalmente se refiere a computadoras de recocido cuántico, no a máquinas de puertas que puedan ejecutar Shor.
4. Uso indebido de “qubits lógicos”: los qubits físicos tienen ruido, y los algoritmos prácticos requieren muchos qubits físicos formando qubits lógicos mediante corrección de errores. Ejecutar Shor requiere miles de estos qubits lógicos, cada uno compuesto por cientos o miles de qubits físicos. Algunas empresas exageran, por ejemplo, afirmando que con códigos de corrección de errores “a -2” (solo detección, no corrección) lograron 48 qubits lógicos con solo 2 físicos, lo cual es absurdo.
5. La hoja de ruta engañosa: muchos esquemas en los mapas solo soportan operaciones “Clifford”, que pueden ser simuladas eficientemente por computadoras clásicas y no permiten ejecutar algoritmos como Shor que requieren muchas “puertas no-Clifford” (como T). Por ello, que un esquema diga “en X años se alcanzarán miles de qubits lógicos” no implica que puedan romper criptografía clásica en ese momento.

Estas prácticas distorsionan gravemente la percepción pública (incluidos observadores experimentados) del progreso en computación cuántica.

Por supuesto, los avances son emocionantes. Por ejemplo, Scott Aaronson recientemente escribió que, dado el “ritmo sorprendentemente rápido de los avances en hardware”, cree que “antes de las próximas elecciones presidenciales en EE. UU., será posible tener una computadora cuántica tolerante a errores capaz de ejecutar Shor”, aunque aclaró que no se refiere a una máquina relacionada con la criptografía, sino a una demostración pequeña, como factorizar 15 (que puede hacerse a mano más rápido). Esto sigue siendo una demostración a pequeña escala, con el objetivo de 15, porque los cálculos modulares son sencillos; números mayores como 21 son mucho más difíciles.

Conclusión clave: la falta de avances públicos en la creación de computadoras cuánticas capaces de romper RSA-2048 o secp256k1 en los próximos 5 años indica que esa expectativa no tiene respaldo. Incluso en 10 años, sigue siendo ambiciosa.

Por lo tanto, la emoción por los avances y la línea de tiempo de “diez años” no son contradictorias.

¿Y qué pasa con la decisión del gobierno de EE. UU. de establecer 2035 como plazo final para la migración completa a sistemas post-cuánticos? Creo que es un plazo razonable para una transformación a gran escala, pero no una predicción de que en ese momento aparecerá una computadora cuántica relacionada con la criptografía.

Ataque de “robo actual, descifrado futuro”: ¿a quiénes aplica? ¿a quiénes no?

Este ataque implica que un atacante almacena datos cifrados hoy y los descifra en el futuro cuando la computadora cuántica relacionada con la criptografía esté disponible. Los adversarios estatales probablemente ya están archivando comunicaciones cifradas del gobierno de EE. UU. para descifrarlas en el futuro.

Por ello, el cifrado debe actualizarse de inmediato, al menos para datos con una confidencialidad requerida por más de 10-50 años.

Pero las firmas digitales (fundamento de todas las blockchain) son diferentes: no contienen información confidencial que deba ser rastreada para su ataque futuro. Incluso si aparece una computadora cuántica, solo podrán falsificar firmas a partir de ese momento, no descifrar firmas pasadas. Mientras puedas demostrar que una firma fue generada antes de la aparición de la computadora cuántica, será irrefutable.

Esto hace que la transición a firmas digitales post-cuánticas no sea tan urgente como la del cifrado.

Las plataformas principales ya están en ello:

• Chrome y Cloudflare han implementado esquemas híbridos X25519 + ML-KEM para TLS. “Híbrido” significa usar simultáneamente un esquema post-cuántico (ML-KEM) y uno clásico (X25519), combinando seguridad y protección contra HNDL, además de mantener seguridad clásica si el esquema post-cuántico falla.
• Apple con iMessage (protocolo PQ3) y Signal (protocolos PQXDH y SPQR) también han adoptado cifrado híbrido post-cuántico.

En contraste, la implementación de firmas digitales post-cuánticas en infraestructura crítica se ha retrasado hasta que la computación cuántica relacionada con la criptografía sea una amenaza real, debido a que los esquemas actuales implican una reducción de rendimiento (detallado más adelante).

Las pruebas de conocimiento cero (zkSNARKs) enfrentan una situación similar. Aunque los zkSNARKs no post-cuánticos (que usan curvas elípticas) no son post-cuánticos en sí, su propiedad de “conocimiento cero” es segura frente a la computación cuántica. Garantiza que la prueba no revela información secreta (incluso con computadoras cuánticas), por lo que no hay secretos que puedan ser “robo actual” para descifrar en el futuro. Por ello, los zkSNARKs generados antes de la aparición de la computadora cuántica siguen siendo confiables; solo los atacantes podrán falsificarlos después.

¿Qué significa esto para blockchain?

La mayoría de las blockchains no son vulnerables fácilmente a HNDL.

Como Bitcoin y Ethereum actuales, que no priorizan la privacidad, usan criptografía clásica solo para firmas digitales, no para cifrado. Estas firmas no representan un riesgo de HNDL. En Bitcoin, la cadena es pública; la amenaza cuántica sería la falsificación de firmas (robo de fondos), no el descifrado de datos ya publicados. Esto elimina la urgencia criptográfica inmediata.

Lamentablemente, incluso instituciones como la Reserva Federal han afirmado erróneamente que Bitcoin sería vulnerable a HNDL, exagerando la urgencia de la transición.

Por supuesto, menor urgencia no significa que Bitcoin esté exento de riesgos. La mayor preocupación es la necesidad de cambios en el protocolo y la coordinación social, que llevan tiempo (se explicará más adelante).

La excepción actual son las cadenas de privacidad, que cifran o ocultan destinatarios y montos. Estos datos confidenciales pueden ser robados ahora y, tras la llegada de computadoras cuánticas, descifrados y desanonimizados. La gravedad del ataque varía según el diseño (por ejemplo, las firmas de anillo de Monero y las huellas de clave pueden permitir reconstruir toda la gráfica de transacciones). Por ello, si los usuarios desean que sus transacciones no sean expuestas en el futuro, las cadenas de privacidad deben migrar rápidamente a primitivas post-cuánticas (o esquemas híbridos), o usar arquitecturas que no registren secretos descifrables en la cadena.

El problema especial de Bitcoin: estancamiento en gobernanza y “monedas dormidas”

Para Bitcoin, hay dos factores prácticos que impulsan la planificación urgente de firmas post-cuánticas, ambos ajenos a la tecnología cuántica en sí:

• La gobernanza lenta: los cambios en Bitcoin son lentos, y cualquier controversia puede derivar en bifurcaciones duras destructivas.
• La imposibilidad de migrar pasivamente: los poseedores deben migrar activamente sus fondos. Esto significa que monedas abandonadas y vulnerables a ataques cuánticos no podrán ser protegidas. Se estima que millones de BTC en “monedas dormidas” y vulnerables podrían valer miles de millones de dólares en valor actual.

Pero la amenaza cuántica no es un apocalipsis instantáneo para Bitcoin, sino un proceso gradual y selectivo. Los primeros ataques cuánticos serán costosos y lentos, y los atacantes preferirán dirigirse a billeteras de alto valor.

Además, evitar reutilizar direcciones y no usar direcciones Taproot (que expone la clave pública en la cadena) hace que, sin actualizar el protocolo, la mayoría de los fondos sean relativamente seguros: la clave pública permanece oculta en el hash hasta que se gasta. Cuando se realiza una transacción, la clave pública se revela, y en ese momento, un atacante cuántico puede intentar calcular la clave privada y robar fondos en una carrera contra el tiempo: los usuarios honestos deben confirmar rápidamente, y los atacantes cuánticos intentarán calcular la clave antes.

Por ello, las monedas realmente vulnerables son aquellas con claves públicas ya expuestas: salidas P2PK antiguas, direcciones reutilizadas, y fondos en direcciones Taproot.

Para fondos abandonados y vulnerables, la solución es difícil: o la comunidad establece una “fecha límite” para migrar, tras la cual los fondos no migrados se considerarán quemados; o se dejan en riesgo de ser robados por futuros atacantes cuánticos. La segunda opción genera problemas legales y de seguridad.

El último problema particular de Bitcoin es su bajo rendimiento en transacciones. Aunque ya hay planes de migración, con la tasa actual, mover todos los fondos vulnerables tomaría meses.

Estos desafíos indican que Bitcoin debe comenzar a planear la transición post-cuántica ahora, no porque las computadoras cuánticas puedan aparecer en 2030, sino por la complejidad de gobernanza, coordinación y logística que implica mover miles de millones en activos, y que requiere años.

La amenaza cuántica a Bitcoin es real, pero la presión de tiempo proviene principalmente de sus propias limitaciones, no de una inminente llegada de la computadora cuántica.

Nota: Las vulnerabilidades en firmas no afectan la seguridad económica de Bitcoin (prueba de trabajo). PoW depende de funciones hash, solo aceleradas por el algoritmo de búsqueda de Grover, y con un costo práctico muy alto, por lo que no es probable que se logre una aceleración significativa. Incluso si se lograra, solo beneficiaría a los mineros más grandes, sin alterar el modelo de seguridad económica.

Costos y riesgos de firmas post-cuánticas

¿Por qué no implementar apresuradamente firmas post-cuánticas en blockchain? Es importante entender los costos de rendimiento y la confianza en que estos nuevos esquemas aún están en desarrollo.

La criptografía post-cuántica se basa principalmente en cinco clases de problemas matemáticos: hash, codificación, retículas, sistemas de ecuaciones cuadráticas multivariadas y curvas elípticas de origen. La variedad responde a que la eficiencia de los esquemas depende de la “estructura” del problema: más estructura, mayor eficiencia, pero también más vulnerabilidades potenciales, un compromiso fundamental.

• Los esquemas basados en hash son los más conservadores (mayor confianza en seguridad), pero con peor rendimiento. Por ejemplo, las firmas hash estandarizadas por NIST ocupan al menos 7-8 KB, mientras que las firmas de curvas elípticas actuales son de solo 64 bytes, una diferencia de aproximadamente 100 veces.
• Los esquemas de retículas son el foco actual. La única opción de post-cuántica aprobada por NIST (ML-KEM) y dos de las tres firmas (ML-DSA, Falcon) se basan en retículas.
• ML-DSA produce firmas de unos 2.4-4.6 KB, unas 40-70 veces más grandes que las actuales.
• Falcon genera firmas más pequeñas (0.7-1.3 KB), pero su implementación es extremadamente compleja, involucra cálculos en tiempo constante y ha sido vulnerable a ataques de canal lateral. Uno de sus creadores dice que es “el esquema criptográfico más complejo que he implementado”.
• La implementación segura presenta mayores desafíos: las firmas basadas en retículas tienen más valores intermedios sensibles y lógica de rechazo más compleja, requiriendo protección contra ataques de canal lateral y fallos.

Estos problemas representan riesgos mucho más inmediatos que la existencia de una computadora cuántica en el futuro cercano.

Las lecciones históricas también nos advierten: los principales esquemas en proceso de estandarización, como Rainbow (firma basada en MQ) y SIKE/SIDH (criptografía basada en isogenias), han sido rotos por computadoras clásicas. Esto demuestra los riesgos de estandarizar y desplegar demasiado pronto.

La adopción en infraestructura de internet ha sido cautelosa, dado que la transición criptográfica en sí misma lleva años (el cambio de MD5/SHA-1 duró mucho y aún no se ha completado).

Blockchain vs. desafíos únicos en infraestructura de internet

Por un lado, las cadenas de bloques de código abierto (como Ethereum, Solana) pueden actualizarse más rápidamente que la infraestructura tradicional. Pero, por otro, las redes tradicionales usan rotaciones frecuentes de claves para reducir la superficie de ataque, mientras que en blockchain, las monedas y claves relacionadas pueden estar expuestas por mucho tiempo.

En general, las blockchains deberían seguir la estrategia cautelosa de migración de firmas de internet. Ambos no son vulnerables a HNDL si migran a tiempo, y migrar demasiado pronto implica costos y riesgos elevados.

Sin embargo, existen desafíos específicos que hacen que una migración temprana sea especialmente arriesgada:

• Necesidad de agregación de firmas: muchas blockchains usan firmas agrupadas (como BLS). Aunque rápidas, no son post-cuánticas. La investigación en firmas agrupadas post-cuánticas basadas en SNARKs está en etapas iniciales, pero se espera que en meses o años surjan esquemas basados en retículas con mejor rendimiento.
• El futuro de SNARKs: la comunidad actualmente favorece SNARKs post-cuánticos basados en hash, pero en meses o años, se prevé que surjan alternativas basadas en retículas, con ventajas en tamaño y eficiencia.

El problema más apremiante ahora es la seguridad de la implementación.

En los próximos años, las vulnerabilidades en la implementación serán una amenaza mayor que la computación cuántica en sí. Para los SNARKs, la principal amenaza son los errores en el código. Las firmas digitales y cifrado ya enfrentan desafíos, y los SNARKs aún más. De hecho, las firmas digitales pueden considerarse una forma simple de zkSNARK.

Para firmas post-cuánticas, los ataques de canal lateral y fallos en la implementación son amenazas inmediatas. La comunidad necesita años para fortalecer estas implementaciones.

Por ello, migrar demasiado pronto puede dejar en una situación de menor seguridad, o forzar una segunda migración para corregir vulnerabilidades.

¿Cómo debemos responder? Siete recomendaciones

Con base en estas realidades, propongo las siguientes recomendaciones para actores desde desarrolladores hasta responsables de decisiones. La regla general es: tomar en serio la amenaza cuántica, pero sin asumir que en 2030 aparecerá una computadora cuántica relacionada con la criptografía (el progreso actual no respalda esa suposición). Además, hay acciones que podemos y debemos comenzar ahora mismo:

2. Implementar cifrado híbrido de inmediato: al menos en escenarios donde la confidencialidad debe mantenerse por más de 10-50 años y el costo sea aceptable. Muchos navegadores, CDN y aplicaciones de comunicación (como iMessage, Signal) ya lo hacen. La estrategia híbrida (post-cuántico + clásico) protege contra HNDL y evita vulnerabilidades en esquemas post-cuánticos.
3. En escenarios donde el tamaño no sea un problema, usar firmas hash ahora: por ejemplo, en actualizaciones de software/firmware, donde la frecuencia es baja y el tamaño no importa. Se puede adoptar firmas hash híbridas (combinando esquemas clásicos y post-cuánticos) como medida conservadora y de protección contra errores en esquemas nuevos. Esto actúa como un “salvavidas” en caso de que la computación cuántica aparezca antes de lo esperado.
4. Blockchain no necesita migrar apresuradamente a firmas post-cuánticas, pero sí debe comenzar a planear:
5. Los desarrolladores deben seguir la cautela de la comunidad PKI, permitiendo que los esquemas maduren.
6. Las cadenas principales como Bitcoin deben definir rutas de migración y políticas para fondos “dormidos” vulnerables. Es crucial comenzar a planear ahora, dado que el desafío principal no es técnico, sino de gobernanza y coordinación social.
7. Reservar tiempo para que las investigaciones en zkSNARKs y firmas agrupadas post-cuánticas maduren (puede tomar años), evitando bloquearse en esquemas subóptimos demasiado pronto.
8. En Ethereum, las cuentas con contratos inteligentes (que pueden ser actualizadas) podrían facilitar migraciones más suaves, pero la diferencia clave es que la comunidad debe seguir promoviendo la investigación y planes de contingencia en primitives post-cuánticas. Un diseño más amplio, que desacople la identidad de la cuenta del esquema de firma, ofrece mayor flexibilidad, facilitando migraciones post-cuánticas y funciones como transacciones patrocinadas y recuperación social.
9. Las cadenas de privacidad deben priorizar la migración (si el rendimiento lo permite): sus datos confidenciales están en riesgo de HNDL. Se pueden considerar esquemas híbridos o ajustes en la arquitectura para evitar registrar secretos descifrables en la cadena.
10. A corto plazo, priorizar la seguridad en la implementación, en lugar de centrarse excesivamente en la amenaza cuántica: los errores en esquemas complejos como zkSNARKs y firmas post-cuánticas representan riesgos mayores en los próximos años que la computación cuántica. Es importante invertir en auditorías, fuzzing, verificación formal y defensa en profundidad, para no dejar que la ansiedad cuántica opaque amenazas más inmediatas.
11. Financiar continuamente la investigación en computación cuántica: desde la seguridad nacional, es imprescindible seguir invirtiendo en fondos y en la formación de talento. Los adversarios que obtengan primero capacidades relacionadas con la criptografía cuántica representarán un riesgo grave.
12. Evaluar con racionalidad las noticias sobre computación cuántica: habrá más hitos en el futuro, pero cada uno demuestra que aún estamos lejos del objetivo. Los comunicados deben ser analizados críticamente, no interpretados como señales de que debemos actuar apresuradamente.

Por supuesto, los avances tecnológicos pueden acelerarse o los obstáculos prolongar las predicciones. No afirmo que en cinco años sea imposible, solo que la probabilidad es muy baja. Seguir estas recomendaciones puede ayudarnos a evitar riesgos más directos y probables: errores en la implementación, migraciones apresuradas y errores en la transición criptográfica.