a16z artículo completo: ¿Qué riesgos aporta la computación cuántica a las criptomonedas?

Autor | Justin Thaler, socio de investigación en a16z

Traducción | GaryMa 吴说区块链

Sobre «cuándo llegarán las computadoras cuánticas que puedan representar una amenaza real para los sistemas criptográficos existentes», las personas suelen hacer predicciones exageradas en cuanto al tiempo — — generando así demandas de migrar de inmediato y a gran escala hacia sistemas criptográficos post-cuánticos.

Pero estas demandas a menudo ignoran los costes y riesgos de migrar demasiado pronto, además de que diferentes primitivas criptográficas enfrentan perfiles de riesgo completamente distintos:

La criptografía post-cuántica, aunque costosa, debe desplegarse de inmediato: los ataques de «recopilación y posterior desencriptación» (Harvest-now-decrypt-later, HNDL) ya están ocurriendo, porque cuando las computadoras cuánticas realmente lleguen — — incluso en décadas — — los datos sensibles protegidos hoy con cifrado seguirán siendo valiosos. Aunque la criptografía post-cuántica implica costes de rendimiento y riesgos de implementación, para datos que requieren confidencialidad a largo plazo, los ataques HNDL dejan pocas opciones.

Las consideraciones sobre firmas post-cuánticas son completamente distintas. No se ven afectadas por ataques HNDL, y sus costes y riesgos (mayor tamaño, impacto en rendimiento, implementación aún inmadura y vulnerabilidades potenciales) implican que la migración debe hacerse con cautela, no de forma inmediata.

Estas diferencias son muy importantes. Los malentendidos pueden distorsionar el análisis de coste-beneficio, haciendo que los equipos pasen por alto riesgos de seguridad más críticos — — como vulnerabilidades en sí mismas.

El verdadero desafío para avanzar hacia un sistema criptográfico post-cuántico es alinear la «urgencia» con la «amenaza real». A continuación, aclararé malentendidos comunes acerca de la amenaza cuántica y su impacto en la criptografía — — incluyendo cifrado, firmas y pruebas de conocimiento cero — — y, en particular, en el contexto de blockchain.

¿En qué punto del tiempo nos encontramos?

En la década de 2020, la probabilidad de que exista una «computadora cuántica con amenaza práctica para la criptografía» (CRQC, por sus siglas en inglés) es extremadamente baja, aunque ya existen algunos anuncios de alto perfil que llaman la atención.

ps: Cuando hablamos de «computadora cuántica con amenaza práctica para la criptografía» / cryptographically relevant quantum computer, en adelante usaremos la abreviatura CRQC.

Aquí, «computadora cuántica con amenaza práctica para la criptografía» se refiere a una máquina tolerante a fallos, con corrección de errores, capaz de ejecutar el algoritmo de Shor a escala suficiente para atacar sistemas como la criptografía de curvas elípticas o RSA (por ejemplo, romper secp256k1 o RSA-2048 en menos de un mes de cálculos continuos).

Según hitos públicos y evaluaciones de recursos, aún estamos muy lejos de construir una computadora cuántica así. Aunque algunas empresas afirman que es probable que CRQC aparezca antes de 2030 o incluso 2035, los avances visibles públicamente no respaldan esas afirmaciones.

Desde el contexto, en la actualidad, ninguna plataforma — — ya sea de trampas de iones, qubits superconductores o átomos neutros — — se acerca a tener decenas de miles o millones de qubits físicos necesarios para ejecutar Shor en RSA-2048 o secp256k1 (cantidad específica que depende de los errores y la corrección de errores).

Los obstáculos no solo son el número de qubits, sino también la fidelidad de las puertas, la conectividad entre qubits, y la profundidad de los circuitos de corrección de errores sostenibles, requeridos para ejecutar algoritmos cuánticos profundos. Aunque algunos sistemas ya superan los 1,000 qubits físicos, solo contar la cantidad puede ser engañoso: estos sistemas carecen de la conectividad y fidelidad de puertas necesarias para realizar cálculos criptográficos.

Recientemente, los sistemas se acercan a niveles de error físico que hacen viable la corrección de errores cuánticos, pero aún nadie ha demostrado tener más de unos pocos qubits lógicos con corrección de errores sostenibles — — y mucho menos miles de qubits lógicos con alta fidelidad y circuitos profundos necesarios para ejecutar Shor en la escala requerida. La brecha entre demostrar teóricamente la corrección de errores cuánticos y alcanzar la escala para romper criptografía todavía es enorme.

En resumen: salvo que la cantidad de qubits y su fidelidad mejoren varios órdenes de magnitud simultáneamente, la «computadora cuántica con amenaza práctica para la criptografía» sigue siendo inalcanzable.

Sin embargo, los comunicados de empresas y la prensa suelen generar malentendidos. Los errores comunes incluyen:

• Afirmar que se ha logrado una «ventaja cuántica», pero estas demostraciones suelen enfocarse en problemas artificiales. Estos no son elegidos por su utilidad, sino porque pueden ejecutarse en hardware actual y aparentar un aceleramiento cuántico significativo — — un hecho que en muchas ocasiones se omite intencionadamente en la promoción.

• Empresas que afirman tener miles de qubits físicos, pero generalmente se refieren a máquinas de recocido cuántico, no a computadoras de puertas necesarias para ejecutar Shor en ataques criptográficos.

• Uso casual del término «qubits lógicos». Los qubits físicos son muy ruidosos, y los algoritmos criptográficos necesitan qubits lógicos; como se mencionó, Shor requiere miles de qubits lógicos. Usando corrección de errores, un qubit lógico generalmente requiere de cientos a miles de qubits físicos (dependiendo del nivel de errores). Sin embargo, algunas empresas usan el término de manera absurda. Por ejemplo, una afirmó recientemente que con un código de distancia 2, logró 48 qubits lógicos usando solo 2 qubits físicos por cada qubit lógico, lo cual es claramente incorrecto: un código de distancia 2 solo puede detectar errores, no corregirlos. Los qubits lógicos tolerantes para romper criptografía necesitan cientos o miles de qubits físicos cada uno.

• En general, muchos mapas de ruta cuánticos usan «qubits lógicos» para referirse solo a qubits que soportan operaciones Clifford, las cuales pueden ser simuladas eficientemente por algoritmos clásicos y no sirven para ejecutar Shor, que requiere miles de puertas T corregidas (o más generalmente, puertas no-Clifford).

Por tanto, incluso si una hoja de ruta afirma que «en X año se alcanzarán miles de qubits lógicos», esto no implica que esa compañía pueda ejecutar Shor para romper sistemas criptográficos clásicos en ese mismo año.

Estas prácticas distorsionan la percepción pública (y la de profesionales del sector) sobre qué tan cerca estamos de una CRQC verdadera.

A pesar de ello, algunos expertos están optimistas: Scott Aaronson escribió recientemente que, dada la velocidad asombrosa del avance actual de hardware, ahora cree que antes de las próximas elecciones presidenciales de EE.UU., quizás exista una computadora cuántica tolerante capaz de ejecutar Shor.

Pero Aaronson aclaró que eso no significa una computadora cuántica con capacidad criptográfica: incluso si una máquina totalmente tolerante solo logra factorizar 15 = 3×5 — — un número que una persona puede calcular más rápido a mano — —, consideraría que su predicción se cumple. El estándar sigue siendo la ejecución de Shor en escala pequeña, no aún en la escala significativa para romper criptografía. La factorización de 15 en la prueba cuántica usaba circuitos simplificados, no la versión completa con corrección de errores. Además, la elección de factorizar 15 no es casual: la aritmética modular 15 es extremadamente sencilla, mientras que números ligeramente mayores como 21 son mucho más difíciles de factorizar. Por eso, muchos experimentos cuánticos que afirman factorizar 21 dependen de pistas o atajos.

En resumen: no hay evidencia pública que respalde la predicción de que en 5 años surgirá una computadora cuántica capaz de romper RSA-2048 o secp256k1 (que es lo que realmente preocupa a la criptografía).

Incluso en una década, sigue siendo una predicción agresiva. La distancia aún enorme con una verdadera computadora cuántica criptográfica, hace que seguir emocionados por avances en hardware sea compatible con un horizonte de diez años o más.

Entonces, ¿qué significa que el gobierno de EE.UU. establezca 2035 como año objetivo para la migración completa a sistemas post-cuánticos? Mi opinión es que ese plazo es razonable para una migración a gran escala. Sin embargo, no implica que espere que CRQC aparezca en ese momento.

¿En qué escenarios aplican los ataques HNDL (y en cuáles no)?

El ataque «recopilar ahora, desencriptar después» (Harvest now, decrypt later, HNDL) consiste en que un atacante almacena comunicaciones cifradas actuales, esperando que en algún momento futuro aparezca una computadora cuántica con amenaza práctica para descifrarlas. Es seguro que actores estatales ya están archivando en masa las comunicaciones cifradas del gobierno de EE.UU., para poder descifrarlas cuando las computadoras cuánticas sean efectivas. Por eso, los sistemas criptográficos deben migrar desde hoy — — al menos para entidades que requieren mantener la confidencialidad por más de 10–50 años.

Pero las firmas digitales — — la tecnología en la que se basan todas las blockchains — — no tienen la misma vulnerabilidad: no hay «confidencialidad» que pueda ser atacada post factum.

En otras palabras, cuando las computadoras cuánticas lleguen, sí será posible falsificar firmas digitales, pero las firmas pasadas no «ocultan» secretos como los mensajes cifrados. Siempre que se pueda verificar que una firma fue creada antes de la aparición de CRQC, no puede ser falsa.

Por tanto, en comparación con el cifrado, la migración a firmas post-cuánticas no es tan urgente.

Las principales plataformas ya reflejan esto: Chrome y Cloudflare han desplegado en TLS (Transport Layer Security) un esquema híbrido X25519 + ML-KEM. [Aquí, para facilitar la lectura, los llamo «esquemas criptográficos», aunque estrictamente, los protocolos TLS usan mecanismos de intercambio o encapsulación de claves, no cifrado de clave pública].

«Híbrido» significa que se combina simultáneamente un esquema post-cuántico (ML-KEM) con uno clásico (X25519), logrando así la seguridad de ambos. La idea es que ML-KEM impida ataques HNDL, y si se demuestra que ML-KEM no es seguro en la práctica actual, X25519 proporciona garantías tradicionales.

Apple también ha implementado en su protocolo PQ3 un esquema híbrido similar, y Signal ha hecho lo propio en sus protocolos PQXDH y SPQR.

En contraste, la migración de las infraestructuras web clave hacia firmas post-cuánticas se retrasará hasta que la amenaza cuántica sea realmente inminente, debido a que los esquemas existentes conllevan una caída notable en rendimiento (lo discutiremos más adelante).

Los zkSNARKs — — pruebas de conocimiento cero, breves y no interactivas — — que son fundamentales para la escalabilidad y privacidad futura de la blockchain, presentan un problema similar a las firmas digitales frente a la amenaza cuántica. La razón es que, aunque algunos zkSNARKs no sean seguros post-cuánticos (porque usan la misma criptografía de curvas elípticas que la actual), su propiedad de «conocimiento cero» sigue siendo post-cuántica segura.

El carácter de conocimiento cero garantiza que la prueba no revele ninguna información sobre el testigo secreto — — incluso ante atacantes cuánticos — — por lo que no hay datos confidenciales que puedan ser recopilados y descifrados en el futuro.

Por ello, los zkSNARKs no se ven afectados por ataques HNDL. Como las firmas digitales no post-cuánticas actuales, siempre y cuando la prueba zkSNARK se haya generado antes de la aparición de CRQC, será confiable (es decir, la afirmación que prueba será verdadera). Incluso si zkSNARKs usan criptografía de curvas elípticas. Solo después de la aparición de CRQC, un atacante podría crear pruebas «falsas pero aparentes válidas».

¿Qué significa esto para blockchain?

La mayoría de blockchains no están expuestas a ataques HNDL: muchas cadenas no privadas — — como Bitcoin y Ethereum — — usan firma digital en las autorizaciones, no cifrado.

Recalco: las firmas digitales no son vulnerables a HNDL: los ataques de «recopilación y posterior desencriptación» solo afectan a datos cifrados. Por ejemplo, la cadena de bloques de Bitcoin es pública; la amenaza cuántica radica en falsificar firmas (derivar claves privadas y robar fondos), no en descifrar transacciones ya públicas. Esto implica que HNDL no genera una urgencia criptográfica inmediata para las cadenas actuales.

Lamentablemente, algunos organismos confiables (incluido la Reserva Federal de EE.UU.) han declarado erróneamente que Bitcoin sería vulnerable a HNDL, lo cual exagera la urgencia de migrar a sistemas criptográficos post-cuánticos.

Pero «menos urgencia» no significa que Bitcoin pueda esperar indefinidamente: la enorme coordinación social necesaria para actualizar los protocolos impone diferentes presiones temporales. (Discutiremos en mayor detalle los desafíos específicos de Bitcoin más adelante).

Un caso excepcional actual son las cadenas de privacidad, que en muchos casos encriptan o ocultan detalles de las transacciones. La información confidencial en estas cadenas puede ser recopilada con antelación y, si los ordenadores cuánticos logran romper la criptografía de curvas elípticas, podría ser desanonimizada posteriormente.

El riesgo varía según el diseño de la cadena: por ejemplo, en Monero, las firmas en anillo basadas en curvas elípticas y las key images (una especie de etiqueta única para evitar doble gasto) podrían permitir reconstruir el grafo completo de transacciones en el futuro, solo con el libro público. En otras cadenas de privacidad, el daño sería mucho menor (ver más en las discusiones del criptógrafo y investigador de Zcash, Sean Bowe).

Si los usuarios consideran «que las transacciones no se expondrán en el futuro por la llegada de CRQC» como un aspecto muy importante, las cadenas de privacidad deben migrar rápidamente a primitivas post-cuánticas (o esquemas híbridos). O bien, adoptar arquitecturas que no pongan secretos descifrables en la cadena.

¿Cuáles son los problemas específicos de Bitcoin? Gobernanza y fondos abandonados

Para Bitcoin, hay dos factores prácticos que hacen urgente comenzar a migrar a firmas post-cuánticas, y estos no están relacionados con la tecnología cuántica en sí:

1. La velocidad de gobernanza: la evolución de Bitcoin es extremadamente lenta. Cualquier problema polémico puede desencadenar un fork duro destructivo si la comunidad no logra consenso sobre la solución adecuada.

2. La migración a firmas post-cuánticas no puede hacerse pasivamente: los poseedores de fondos deben activar la transferencia a nuevas direcciones. Esto deja expuestos a fondos abandonados — — pero aún vulnerables a amenazas cuánticas. Se estima que millones de BTC, valorados en cientos de miles de millones de dólares a precios actuales (hasta diciembre de 2025), podrían estar en riesgo.

Pero la amenaza cuántica no provocará un «colapso catastrófico de un día para otro» en Bitcoin; más bien, será un proceso selectivo y progresivo. La computación cuántica no puede romper todos los esquemas de cifrado de una vez: el algoritmo de Shor tiene que atacar clave por clave. Los costes y la lentitud de los primeros ataques cuánticos serán muy altos. Por tanto, si una máquina cuántica logra romper una clave de firma de Bitcoin, el atacante priorizará las wallets de mayor valor.

Además, si los usuarios evitan reutilizar direcciones y no usan Taproot (que expone las claves públicas en la cadena), incluso sin actualizar el protocolo, estarán relativamente protegidos: sus claves públicas siguen ocultas en el hash hasta que gasten fondos. Cuando hagan una transacción, solo en ese momento la clave pública será pública, y en ese breve «ventana de tiempo» el atacante cuántico intentará hallar la clave privada antes de que la transacción se confirme. Los fondos más vulnerables son aquellos con claves públicas expuestas desde hace años: salidas P2PK antiguas, direcciones reutilizadas y fondos en Taproot.

Para fondos abandonados y vulnerables, no hay soluciones fáciles actuales. Algunas opciones son:

• Que la comunidad establezca un «Día de la Bandera» (flag day), después del cual todos los fondos no migrados se consideren quemados.

• Permitir que fondos abandonados y en riesgo cuántico sean tomados por quienes tengan CRQC.

La segunda opción genera problemas legales y de seguridad: usar una computadora cuántica para tomar fondos sin la clave privada — — incluso alegando propiedad legítima o buen uso — — puede violar leyes de robo y fraude informático en muchas jurisdicciones.

Asimismo, «abandono» es una hipótesis basada en la inactividad, pero nadie puede saber con certeza si los fondos en realidad han perdido a sus poseedores con claves activas. Incluso si alguien demuestra que alguna vez tuvo esos fondos, no tiene autoridad legal para destruir la protección criptográfica y recuperarlos. La ambigüedad legal puede hacer que estos fondos abandonados, expuestos a riesgos cuánticos, caigan en manos de atacantes maliciosos sin respeto a las leyes.

Otro problema de Bitcoin es su limitada capacidad de transacción. Aunque la migración se planifique, mover fondos expuestos a riesgos cuánticos hacia direcciones seguras post-cuánticas puede tomar meses con la tasa actual de transacciones.

Estos desafíos hacen que Bitcoin deba comenzar a planear la migración post-cuántica ahora, no porque se espere que CRQC aparezca antes de 2030, sino porque coordinar gobernanza, lograr consenso y gestionar la logística de mover cientos de miles de millones en fondos requiere años.

La amenaza cuántica en Bitcoin es real, pero la urgencia proviene de las limitaciones estructurales del propio sistema, no de la cercanía de las computadoras cuánticas. Otras cadenas también enfrentan riesgos, pero Bitcoin es especialmente vulnerable: las primeras transacciones usaron pay-to-public-key (P2PK), exponiendo las claves públicas en la cadena y dejando a gran parte de BTC vulnerable. Su historia técnica, antigüedad, alta concentración de valor, baja capacidad y gobernanza lenta acentúan estos problemas.

Es importante notar que esta vulnerabilidad afecta solo la seguridad criptográfica de las firmas digitales en Bitcoin, no la seguridad económica del sistema. La seguridad económica de Bitcoin se basa en su mecanismo de prueba de trabajo (PoW), que no es tan vulnerable a ataques cuánticos por las siguientes razones:

• PoW depende de funciones hash, por lo que solo se verá acelerado por Grover en un factor cuadrático, no exponencial como Shor.

• La implementación práctica de Grover es muy costosa, haciendo inviable que una máquina cuántica obtenga alguna ventaja significativa en minería de Bitcoin.

• Incluso si una computadora cuántica lograra acelerar la minería, solo beneficiaría a los mineros con mayor potencia cuántica, sin romper radicalmente la seguridad económica del sistema.

Costos y riesgos de firmas post-cuánticas

Para entender por qué no se debe desplegar apresuradamente firmas post-cuánticas en blockchain, hay que considerar tanto los costes de rendimiento como la confianza en su seguridad post-cuántica, que aún evoluciona.

La mayoría de la criptografía post-cuántica se basa en cinco enfoques principales: hash, códigos de corrección de errores, reticulados, MQ (ecuaciones multivariadas) y isogenias.

¿Por qué cinco enfoques? Porque la seguridad de cualquier primitive post-cuántica depende de la suposición de que una computadora cuántica no puede resolver eficientemente cierto problema matemático. Cuanto más «fuerte» sea el problema, más eficiente puede ser la construcción criptográfica.

Pero esto es una espada de doble filo: mayor estructura también implica mayor superficie de ataque y mayor facilidad para romperla. Esto genera una tensión fundamental: las hipótesis más fuertes ofrecen mejor rendimiento, pero a costa de potenciales vulnerabilidades (mayor probabilidad de que una hipótesis sea falsa).

Desde una perspectiva de seguridad, los enfoques basados en hash son los más conservadores y confiables, porque confiamos en que los algoritmos hash no puedan ser atacados eficientemente por computadoras cuánticas. Sin embargo, su rendimiento es peor: por ejemplo, la firma hash estándar de NIST, incluso en configuraciones mínimas, tiene firmas de 7–8 KB, comparado con 64 bytes de firmas de curvas elípticas, aproximadamente 100 veces menor.

Los esquemas basados en reticulados son actualmente el enfoque principal. La única propuesta de criptografía basada en reticulados aceptada por NIST, y dos de las tres firmas en proceso de estandarización, usan este método. Una de ellas, Dilithium (ML-DSA), en su nivel de seguridad de 128 bits produce firmas de 2.4 KB, y en 256 bits de 4.6 KB — — aproximadamente 40–70 veces las firmas de curvas elípticas actuales. Otra, Falcon, tiene firmas más pequeñas (Falcon-512: 666 bytes; Falcon-1024: 1.3 KB), pero requiere operaciones de punto flotante complejas y NIST la considera un reto importante para la implementación. Uno de los diseñadores de Falcon, Thomas Pornin, la llama «la más compleja que he implementado hasta ahora».

En términos de seguridad, las firmas en reticulados son mucho más difíciles de implementar que las de curvas elípticas: ML-DSA involucra valores intermedios sensibles y lógica de rechazo más compleja, que necesitan protección contra canales laterales y fallos. Falcon añade operaciones en punto flotante en tiempo constante, y ya se han logrado ataques laterales que recuperan claves privadas.

Estos problemas representan riesgos inmediatos, distintos a la amenaza de una CRQC lejana.

La cautela en cuanto a esquemas post-cuánticos de alto rendimiento está justificada: esquemas que alguna vez fueron prometedores, como Rainbow (firma basada en MQ) y SIKE/SIDH (criptografía de reticulados), han sido rotos «clásicamente», por computadoras modernas, no por computadoras cuánticas.

Esto ocurrió en etapas avanzadas del proceso de estandarización de NIST. Es un reflejo del método científico saludable, pero también advierte que una estandarización prematura puede ser perjudicial.

Como mencioné antes, la infraestructura de Internet avanza con migraciones cautelosas: aunque los hash como MD5 y SHA-1 se eliminaron formalmente hace años, su uso persiste en algunos sistemas, y aún se tarda años en migrar completamente. Estos algoritmos están completamente rotos, no solo potencialmente en el futuro.

Desafíos específicos de blockchain vs infraestructura de Internet

Afortunadamente, las cadenas de bloques de código abierto como Ethereum y Solana son más fáciles de actualizar rápidamente que la infraestructura tradicional. Sin embargo, la infraestructura de Internet se beneficia de rotaciones frecuentes de claves, que aceleran la evolución del área de ataque más allá de lo que la computación cuántica puede seguir — — mientras que en blockchain, las monedas y claves podrían estar expuestas indefinidamente. En general, blockchain debe seguir las prácticas cautelosas del Internet en la migración de firmas, porque migrar demasiado pronto a esquemas aún inmaduros implica costes y riesgos importantes, independientemente de la duración del ciclo de vida de las claves.

Además, hay desafíos que hacen que migrar demasiado pronto sea especialmente peligroso y complejo: por ejemplo, muchas cadenas necesitan la capacidad de «agregar firmas rápidamente» en grandes volúmenes. Las firmas BLS, populares por su alta eficiencia en agregación, no son post-cuánticas. Se están investigando esquemas de firmas post-cuánticas basados en SNARKs. Aunque el progreso es prometedor, todavía están en etapas tempranas.

Respecto a los SNARKs, la comunidad se centra ahora en estructuras basadas en hash. Pero se espera un cambio importante: en los próximos meses y años, los esquemas basados en reticulados probablemente serán una alternativa más atractiva, con mejor rendimiento en varios aspectos, como firmas más cortas — — similar a cómo las firmas en reticulados pueden ser más cortas que las hash.

Un problema aún más grave: la seguridad de la implementación

En los próximos años, los errores en la implementación serán más relevantes que la amenaza de CRQC real. En particular, para SNARKs y firmas post-cuánticas complejas, los bugs y ataques de canal lateral (side-channel) o inyección de fallos (fault injection) serán mucho más frecuentes y peligrosos. Ya existen casos en los que se han recuperado claves privadas a través de ataques de canal lateral en implementaciones de Falcon, por ejemplo.

Estos riesgos son inmediatos y no dependen de la llegada de una CRQC. La comunidad debe dedicar esfuerzos continuos a detectar y corregir vulnerabilidades en SNARKs, fortalecer las implementaciones contra ataques de canal lateral y fallos, y evitar migrar demasiado pronto hacia esquemas aún no estandarizados o con vulnerabilidades no resueltas. Una migración prematura, sin estabilidad, puede dejar a la blockchain atrapada en soluciones subóptimas, y luego tener que volver a migrar si surgen fallos o mejores esquemas.

¿Cómo deberíamos actuar? Siete recomendaciones

Basándome en lo discutido, comparto las siguientes recomendaciones para diferentes actores — — desde desarrolladores hasta reguladores. La idea clave: tomar en serio la amenaza cuántica, pero sin actuar bajo la premisa de que en 2030 aparecerá una CRQC que ponga en riesgo la criptografía actual. La evidencia técnica no respalda esa predicción. Sin embargo, sí hay acciones que podemos y debemos comenzar a tomar ahora mismo:

1. Desplegar inmediatamente cifrado híbrido

Al menos en escenarios donde la confidencialidad a largo plazo sea crucial y los costes de rendimiento sean aceptables. Muchos navegadores, CDN y aplicaciones de mensajería (como iMessage y Signal) ya han desplegado esquemas híbridos. La idea es que la combinación de criptografía clásica y post-cuántica proporcione protección frente a ataques HNDL y también mitigue vulnerabilidades en los esquemas post-cuánticos.

2. Usar firmas hash en escenarios de baja frecuencia y tamaño tolerable

Actualizaciones de software/firmware en escenarios donde los tamaños de firma no sean críticos deben adoptar firmas hash híbridas de inmediato. La intención es que la combinación proteja contra vulnerabilidades en nuevas primitivas, no que la seguridad hash sea cuestionada. Es una estrategia conservadora y prudente, que ofrece un «bote salvavidas» en caso de que las computadoras cuánticas aparezcan antes de lo esperado. Sin actualizaciones en software que integren firmas post-cuánticas, la comunidad enfrentará problemas al distribuir las actualizaciones criptográficas tras la aparición de CRQC.

3. Blockchain no necesita desplegar firmas post-cuánticas apresuradamente — — pero debe planear ahora

Los desarrolladores de blockchain deben aprender del enfoque de PKI en la web y avanzar con cautela en la adopción de firmas post-cuánticas. Esto dará tiempo para que las primitivas maduren en rendimiento y seguridad, y para que los desarrolladores rediseñen sistemas, acomodando firmas más grandes y mejores esquemas de agregación. En Bitcoin y otras cadenas de capa uno: la comunidad necesita definir rutas de migración y políticas para fondos en direcciones vulnerables y abandonadas. La migración pasiva no es viable; la planificación es esencial. Los desafíos de Bitcoin no solo son tecnológicos: gobernanza lenta y altos valores en direcciones cuánticamente vulnerables hacen que comenzar a planear cuanto antes sea la mejor estrategia.

Simultáneamente, la investigación en SNARKs post-cuánticos y firmas agregables debe continuar y madurar, lo que puede tomar años. La migración prematura puede dejar a la cadena atrapada en soluciones subóptimas o con vulnerabilidades de implementación.

Sobre el modelo de cuentas en Ethereum: soporta dos tipos, con diferentes implicaciones para la migración post-cuántica: las cuentas externas controladas por claves secp256k1, y las wallets con lógica de autorización programable.

En escenarios no urgentes, cuando Ethereum añada soporte para firmas post-cuánticas, las wallets inteligentes podrán actualizarse mediante contratos para usar validaciones post-cuánticas; en cambio, las cuentas externas (EOA) podrían transferir fondos a nuevas direcciones seguras. En emergencias cuánticas, los investigadores de Ethereum proponen un hard fork: bloquear las cuentas vulnerables, y que los usuarios puedan recuperar fondos mediante pruebas con SNARKs que demuestren control sobre la semilla. Este mecanismo sería aplicable a EOAs y wallets no actualizados.

El impacto en los usuarios sería que wallets inteligentes auditados y actualizables podrían facilitar una migración más fluida, aunque con confianza en los proveedores y en la gobernanza de las actualizaciones. Más importante que el tipo de cuenta, es que la comunidad continúe promoviendo primitivas post-cuánticas y planes de contingencia.

Una enseñanza más amplia: muchas blockchains enlazan la identidad de las cuentas con primitivas criptográficas específicas — — como secp256k1 en Bitcoin y Ethereum, y EdDSA en otras cadenas. La dificultad de migrar a firmas post-cuánticas resalta la importancia de desacoplar la identidad de la firma del esquema criptográfico en sí. La evolución hacia cuentas inteligentes y otras formas de abstracción refleja esa dirección: permitir que las cuentas actualicen su lógica de autenticación, conservando el historial y estado en la cadena. Esto no simplifica la migración post-cuántica, pero aumenta la flexibilidad en comparación con fijar una única firma; además, habilita funciones como pagos por adelantado, recuperación social y multisignaturas.

4. Para cadenas de privacidad, priorizar la migración si el rendimiento lo permite

Estas cadenas encriptan o ocultan detalles de transacciones, exponiendo los datos a ataques HNDL en función del diseño. La mayor vulnerabilidad recae en aquellas que solo con el libro público permiten una desanonimización total. La adopción de esquemas híbridos (post-cuántico + clásico) o cambios en la arquitectura para evitar poner secretos descifrables en la cadena, puede reducir estos riesgos.

5. Priorizar la seguridad en la implementación — — más que la mitigación de la amenaza cuántica

Para esquemas complejos como SNARKs y firmas post-cuánticas, los bugs y ataques de canal lateral o inyección de fallos serán más relevantes en los próximos años que la amenaza de CRQC. Es hora de invertir en auditorías, fuzzing, verificación formal y defensas en múltiples capas. No dejar que la preocupación por la amenaza cuántica opaque los riesgos de seguridad inmediatos.

6. Apoyar el desarrollo de la computación cuántica

Desde la perspectiva de seguridad nacional, debemos seguir invirtiendo en investigación, desarrollo y formación de talento en computación cuántica. Si un país rival logra antes que EE.UU. una CRQC, representará un serio riesgo para la seguridad nacional global.

7. Mantener una perspectiva correcta sobre anuncios relacionados con la computación cuántica

Con la maduración del hardware cuántico, en los próximos años aparecerán hitos y noticias llamativas. Pero estos hitos solo indican que aún estamos lejos de CRQC, pues cada uno es solo un paso entre muchos caminos hacia esa meta. La prensa debe analizar críticamente estos avances, y no interpretarlos como señales inmediatas de acción.

Un avance inesperado acelerará la llegada de CRQC; un cuello de botella lo retrasará. Pero la realidad es que no creo que CRQC aparezca en cinco años — — solo que es muy poco probable. Estas recomendaciones son robustas ante esa incertidumbre, y ayudan a evitar riesgos más inmediatos — — como errores de implementación, migraciones apresuradas y migraciones fallidas.

Justin Thaler es socio de investigación en a16z y profesor asociado en la Universidad de Georgetown, en Ciencias de la Computación. Su trabajo se centra en cómputo verificable, teoría de la complejidad y algoritmos para grandes conjuntos de datos.