Cronograma real de la amenaza de la computación cuántica a la criptografía: evaluación racional de la controversia "¿5 años, 10 años o más?"

Nosotros escuchamos frecuentemente noticias sensacionalistas sobre avances en la computación cuántica. Pero, ¿realmente la computación cuántica logrará en cinco años romper la criptografía moderna? Justin Thaler, socio de investigación en a16z, señala en análisis profundos que la cronología de cuándo la computación cuántica representará una amenaza para los sistemas criptográficos suele estar exagerada de manera significativa. Su estudio revela un hecho central: aunque la computación cuántica representa un riesgo a largo plazo, su llegada será mucho más tardía de lo que muchos afirman. Más importante aún, la amenaza que enfrentan diferentes herramientas criptográficas varía enormemente — una distinción clave que a menudo se pasa por alto.

La amenaza de la computación cuántica a la criptografía no es un evento único, sino un problema complejo que requiere un análisis detallado según el contexto de aplicación. Este artículo analizará sistemáticamente las verdaderas cronologías, riesgos prácticos y cómo las distintas industrias deben prepararse.

Progreso real en la computación cuántica: realidad tecnológica vs. marketing

Al hablar de “computación cuántica”, generalmente se imagina una máquina capaz de romper sistemas criptográficos modernos como RSA-2048 o secp256k1 (curva elíptica utilizada en Bitcoin). Este tipo de computadora requiere cumplir condiciones estrictas: debe ser tolerante a fallos, tener capacidades de corrección de errores, ejecutar el algoritmo de Shor y ser de escala suficiente para completar el descifrado en un tiempo razonable (por ejemplo, en menos de un mes).

Según informes técnicos públicos y evaluaciones de recursos, estamos lejos de alcanzar tal sistema. Aunque algunas empresas afirman que podrían lograrlo en 2030 o incluso 2035, los avances tecnológicos actuales no respaldan esas estimaciones optimistas. Actualmente, ni los sistemas de trampas de iones, ni los qubits superconductores, ni las plataformas de átomos neutros se acercan a la escala necesaria para romper RSA-2048. Para descifrar estos sistemas, se requieren decenas de miles, o incluso millones, de qubits físicos — una cantidad que depende de las tasas de error y los esquemas de corrección.

El cuello de botella no es solo la cantidad de qubits, sino también la precisión en las puertas lógicas, la conectividad entre qubits y la profundidad de los circuitos de corrección de errores necesarios para ejecutar algoritmos profundos. Algunos sistemas actuales tienen más de 1000 qubits físicos, pero este número puede ser engañoso: carecen de la conectividad y precisión necesarias para realizar cálculos criptográficos. Aunque los sistemas modernos se acercan a los umbrales de corrección de errores físicos, nadie puede mantener de forma estable unos pocos qubits lógicos operativos, mucho menos miles de qubits lógicos de alta fidelidad, circuitos profundos y corrección de errores tolerante a fallos. La brecha entre la validación conceptual y la implementación práctica para análisis criptográficos sigue siendo enorme.

¿Por qué las noticias son tan confusas?

Los comunicados comerciales y los medios de comunicación a menudo generan confusión. Las principales fuentes de malentendidos incluyen:

La ilusión del “ventaja cuántica”: Las tareas que actualmente muestran ventaja cuántica suelen ser cuidadosamente diseñadas, no aplicaciones útiles reales, sino tareas específicas que pueden ejecutarse en hardware actual y parecer “rápidas”. Este detalle clave a menudo se omite en la promoción.

La confusión de “miles de qubits físicos”: Este término generalmente se refiere a computadoras de recocido cuántico (simulación de recocido), no a máquinas de puertas universales capaces de ejecutar Shor y romper cifrados de clave pública.

El uso indebido del término “qubits lógicos”: Los qubits físicos son susceptibles a ruido, y en aplicaciones reales se requiere corrección de errores, construyendo “qubits lógicos” a partir de múltiples qubits físicos. Ejecutar Shor requiere miles de estos qubits lógicos, cada uno construido con cientos o miles de qubits físicos. Sin embargo, algunas empresas exageran diciendo que usan códigos de corrección de errores de nivel “distancia-2” (solo detectan errores, no corrigen) para obtener 48 qubits lógicos, y que cada uno requiere solo 2 qubits físicos — lo cual es completamente falso.

Falsas promesas en las hojas de ruta: Muchos proyectos afirman en sus hojas de ruta que alcanzarán “miles de qubits lógicos”. Pero estos solo soportan operaciones “Clifford”, que pueden ser simuladas eficientemente en computadoras clásicas y no son suficientes para ejecutar Shor, que requiere una gran cantidad de puertas “no-Clifford” (como las puertas T). Por lo tanto, que una hoja de ruta diga que logrará “miles de qubits lógicos” en cierto año, no implica que puedan romper sistemas criptográficos clásicos en ese momento.

Estas prácticas distorsionan gravemente la percepción pública (incluyendo a muchos observadores informados), generando una comprensión errónea del progreso en la computación cuántica.

Incluso los expertos exageran los plazos de amenaza

Incluso investigadores destacados como Scott Aaronson han mencionado recientemente que, considerando la “velocidad sorprendente del desarrollo del hardware”, es “posible” que antes de la próxima elección presidencial en EE. UU. aparezca una computadora cuántica tolerante a fallos capaz de ejecutar Shor. Pero aclaró inmediatamente que esto no significa una máquina capaz de romper la criptografía — incluso una que solo pueda factorizar 15=3×5 con corrección de errores, sería suficiente para cumplir su promesa. Esto sigue siendo solo una demostración a pequeña escala, ya que los experimentos con números mayores (como 21) son mucho más complejos.

Conclusión central: La idea de que en cinco años aparecerá una computadora cuántica capaz de romper RSA-2048 o secp256k1 — fundamentales para la criptografía práctica — no cuenta con respaldo en resultados técnicos públicos. Incluso si se extiende a 10 años, ese objetivo sigue siendo muy ambicioso. Por lo tanto, la emoción por los avances y la evaluación de que “aún faltan décadas” no son contradictorias.

La amenaza a la criptografía: niveles de riesgo completamente diferentes

Comprender la amenaza cuántica requiere reconocer que distintas herramientas criptográficas enfrentan riesgos muy diferentes. Esta distinción es crucial, pero a menudo se pasa por alto.

Ataques de “cifrado ahora, descifrado en el futuro” solo a ciertos sistemas

¿Cómo funciona un ataque de “Cosecha ahora, Descifra después”?: El atacante captura y almacena comunicaciones cifradas hoy, esperando que en el futuro una computadora cuántica pueda romperlas. Estados nacionales y adversarios de gran escala ya archivan en masa información cifrada, como comunicaciones del gobierno de EE. UU., para descifrarlas cuando la tecnología esté disponible.

Este tipo de ataque representa una amenaza directa para los algoritmos de cifrado. Datos confidenciales cifrados hoy pueden seguir siendo valiosos en décadas, y si en ese momento aparece una computadora cuántica, podrán ser descifrados. Por ello, para datos que requieren confidencialidad a largo plazo, la criptografía post-cuántica debe implementarse de inmediato, aunque sea costoso y con riesgos de implementación. Es una necesidad inevitable.

Pero este ataque no afecta en absoluto a las firmas digitales.

La amenaza a las firmas digitales es completamente diferente

Las firmas digitales (fundamento de todas las blockchains) no protegen la confidencialidad de la información. Aunque en el futuro exista una computadora cuántica, solo podrá falsificar firmas en el futuro, no descifrar firmas pasadas. Si puedes demostrar que una firma fue creada antes de la aparición de la computadora cuántica, esa firma no podrá ser falsificada posteriormente.

Esto hace que la migración a firmas post-cuánticas sea mucho menos urgente que la migración de cifrado. Las soluciones de firma post-cuántica tienen costos asociados (mayor tamaño, menor rendimiento, esquemas inmaduros, posibles vulnerabilidades) que deben planificarse cuidadosamente, no implementarse apresuradamente.

Propiedades únicas de las pruebas de conocimiento cero (zkSNARK)

Las zkSNARKs, similares a las firmas, pueden usar criptografía basada en curvas elípticas no resistentes a la cuántica, pero su propiedad de “zero-knowledge” (cero conocimiento) en sí misma es resistente a la cuántica. Garantiza que la prueba no revela información sobre el secreto, incluso ante un adversario con computación cuántica. Por tanto, no hay un riesgo de “robar ahora, descifrar en el futuro” en este contexto. Las zkSNARKs no son vulnerables a este tipo de ataques.

Evaluación de la amenaza cuántica en el ecosistema blockchain

La mayoría de las cadenas públicas son inmunes por naturaleza

Bitcoin, Ethereum y otras cadenas públicas no privadas: en ellas, la criptografía post-cuántica se usa principalmente para la autorización de transacciones (firmas digitales), no para cifrado. Estas firmas no están sujetas a la amenaza de “cifrado ahora, descifrado en el futuro”. Bitcoin, por ejemplo, es público: la amenaza cuántica radica en la falsificación de firmas (robo de fondos), no en el descifrado de datos ya publicados. Esto elimina la necesidad inmediata de migrar a criptografía post-cuántica.

Lamentablemente, incluso instituciones como la Reserva Federal de EE. UU. han afirmado erróneamente que Bitcoin sería vulnerable, exagerando la urgencia de la migración.

Por supuesto, esto no significa que Bitcoin sea completamente seguro. Enfrenta limitaciones de tiempo, principalmente relacionadas con la coordinación social para actualizar protocolos.

Riesgos reales en monedas de privacidad

Excepción: cadenas de privacidad: muchas de ellas cifran o ocultan destinatarios y montos. Estos datos secretos pueden ser robados hoy y, en el futuro, ser revelados mediante la ruptura de la criptografía de curvas elípticas con computadoras cuánticas. La gravedad del ataque depende del diseño (por ejemplo, los esquemas de Monero con firmas en anillo y esquemas de clave espejo podrían permitir recuperar toda la gráfica de transacciones). Por ello, si los usuarios temen que sus transacciones puedan ser reveladas en el futuro, estas cadenas deben migrar rápidamente a primitivas post-cuánticas o esquemas híbridos, o cambiar su arquitectura para no registrar secretos que puedan ser descifrados en la cadena.

El desafío único de Bitcoin: gobernanza y la problemática de las “monedas zombis”

Para Bitcoin, hay dos factores relacionados con la realidad que hacen urgente planificar firmas post-cuánticas, pero que no dependen de la tecnología cuántica en sí:

La lentitud en la gobernanza: Bitcoin evoluciona lentamente, y las desacuerdos pueden derivar en bifurcaciones duras destructivas.

La imposibilidad de migrar pasivamente: los poseedores de monedas deben migrar activamente. Esto significa que monedas abandonadas o vulnerables a la cuántica no estarán protegidas. Se estima que hay millones de “monedas zombi” susceptibles, cuyo valor en dólares equivale a billones de dólares.

Pero la amenaza cuántica en Bitcoin no es un apocalipsis instantáneo, sino un proceso gradual y selectivo. Los primeros ataques cuánticos serán muy costosos y lentos, y los atacantes optarán por dirigirse solo a las billeteras de alto valor. Además, evitar la reutilización de direcciones y no usar Taproot (que expone la clave pública en la cadena) mantiene la seguridad: la clave pública se mantiene oculta tras un hash hasta que se gasta. Solo en el momento de la transacción, la clave pública se revela, y los adversarios cuánticos intentarán calcular la clave privada antes de eso para robar fondos.

Las monedas más vulnerables son aquellas con claves públicas expuestas: salidas P2PK tempranas, direcciones reutilizadas y activos en Taproot. Para las monedas abandonadas y vulnerables, la solución es compleja: o la comunidad acuerda una “fecha límite” para migrar, tras la cual las monedas no migradas se considerarán quemadas, o se permite que futuros poseedores con computadoras cuánticas las roben. La segunda opción puede acarrear problemas legales y técnicos graves.

Un problema adicional específico de Bitcoin es su bajo rendimiento de transacciones, que hace que la migración completa de fondos vulnerables tome meses incluso en escenarios ideales.

Estos desafíos obligan a Bitcoin a comenzar a planificar la transición al mundo post-cuántico ahora mismo, no porque la computación cuántica pueda aparecer en 2030, sino por la complejidad de coordinación, gestión y logística que implica mover activos por cientos de miles de millones de dólares.

Nota adicional: las vulnerabilidades relacionadas con firmas no afectan la seguridad económica de Bitcoin (el consenso de prueba de trabajo). La minería requiere cálculos hash, y solo el algoritmo Grover puede acelerar esto en un factor dos, pero a un costo enorme, haciendo poco probable una aceleración significativa. Incluso si ocurriera, solo beneficiaría a los grandes mineros, sin comprometer la seguridad económica.

Costos y riesgos de las firmas post-cuánticas

¿Por qué no implementar apresuradamente firmas post-cuánticas en blockchain? Es importante entender los costos en rendimiento y la confianza en estas soluciones aún en desarrollo.

La criptografía post-cuántica se basa en cinco clases de problemas matemáticos difíciles: hash, codificación, retículas, sistemas de ecuaciones cuadráticas y curvas elípticas isométricas. La diversidad responde a un compromiso fundamental: cuanto más estructurado sea el problema, más eficiente será el esquema, pero también más vulnerable a ciertos ataques.

Esquemas basados en hash: los más conservadores (mayor confianza en seguridad), pero con peor rendimiento. Los estándares del NIST para firmas hash producen firmas de 7-8 KB, en contraste con las firmas de curvas elípticas actuales, que son de solo 64 bytes — una diferencia de varios órdenes de magnitud.

Esquemas de retículas: actualmente en foco. La única propuesta de post-cuántica aprobada por el NIST (ML-KEM) y dos de los esquemas de firma (ML-DSA, Falcon) se basan en retículas.

• La firma ML-DSA ocupa entre 2.4 y 4.6 KB, unas 40-70 veces más grande que las firmas actuales.
• Falcon, con firmas de 0.7 a 1.3 KB, es muy complejo de implementar, requiere cálculos en punto flotante en tiempo constante y ha sido vulnerable a ataques de canal lateral. Sus creadores lo describen como “el esquema criptográfico más complejo que he implementado”.
• La seguridad en la implementación es aún más difícil: las firmas en retícula involucran más valores intermedios y lógica de rechazo en el muestreo, requiriendo protección contra ataques de canal lateral y fallos que superan a las firmas de curvas elípticas.

Frente a una computadora cuántica lejana, estos problemas de implementación representan un riesgo mucho más urgente. La experiencia histórica advierte: los principales candidatos en la estandarización del NIST, como Rainbow (basado en problemas de multiconjuntos) y SIKE/SIDH (basados en retículas), han sido rotundamente rotos en computadoras clásicas. Esto muestra los riesgos de estandarizar y desplegar demasiado pronto.

La infraestructura de internet, en su proceso de migración a nuevas firmas, ha sido cautelosa, y esto es aún más crítico en blockchain, donde la migración puede tomar años (como la migración de MD5/SHA-1, que aún no se ha completado).

Desafíos comunes en infraestructura de internet y blockchain

Factores positivos: las cadenas abiertas (como Ethereum, Solana) pueden actualizarse más rápidamente que las infraestructuras tradicionales. Factores negativos: en las redes tradicionales, las claves se rotan con frecuencia para reducir la superficie de ataque, pero en blockchain, las claves y monedas pueden permanecer vulnerables por mucho tiempo.

En general, las cadenas deben seguir la estrategia cautelosa del ecosistema PKI, planificando migraciones de firmas. Ambas no son vulnerables a ataques de “cifrado ahora, descifrado en el futuro”, y los costos y riesgos de la migración post-cuántica son elevados.

Algunas características específicas hacen que la migración temprana sea especialmente peligrosa:

Necesidad de agregación rápida de firmas: en blockchain, a menudo se requiere agregar muchas firmas (como BLS). BLS es eficiente, pero no cuánticamente resistente. La investigación en firmas post-cuánticas basadas en SNARKs para agregación está en etapas iniciales, aunque promete en tamaño y rendimiento.

El futuro de los SNARKs: actualmente, la comunidad favorece SNARKs basados en hash, pero se espera que en meses o años surjan alternativas basadas en retículas, con ventajas en tamaño y eficiencia.

El problema más apremiante es garantizar la seguridad en la implementación. En los próximos años, las vulnerabilidades de software y los ataques de canal lateral en SNARKs y firmas post-cuánticas serán una amenaza mayor que la computación cuántica misma. La comunidad debe invertir en auditorías, fuzzing, verificación formal y defensas en capas durante años, para no quedar expuesta por la ansiedad cuántica.

Por ello, migrar demasiado pronto —antes de que las soluciones maduras estén disponibles— puede dejarte en una situación no deseada o forzar migraciones adicionales para corregir fallos.

Hacia adelante: siete recomendaciones estratégicas

Basado en esta realidad, propongo a todos los actores interesados (desde desarrolladores hasta responsables políticos) las siguientes recomendaciones. La regla principal: tomar en serio la amenaza cuántica, pero no asumir que en 2030 aparecerá una computadora capaz de romper los sistemas criptográficos actuales (los logros existentes no respaldan esa hipótesis). Sin embargo, hay acciones que podemos y debemos tomar ahora:

1. Implementar inmediatamente cifrado híbrido: al menos en escenarios donde la confidencialidad a largo plazo sea crítica y el costo sea aceptable. Muchos navegadores, CDN y aplicaciones (como iMessage, Signal) ya están en proceso. La estrategia híbrida (post-cuántico + clásico) protege contra amenazas futuras y mitiga posibles fallos en las soluciones post-cuánticas.

2. Usar firmas hash en escenarios tolerantes a tamaño grande: por ejemplo, actualizaciones de firmware o software poco frecuentes, donde el tamaño no sea un problema. Actualmente, se puede usar firmas hash híbridas (que combinan esquemas clásicos y post-cuánticos) como “salvavidas” prudente en caso de que la computación cuántica aparezca antes de lo esperado.

3. La migración en blockchains no debe ser apresurada, pero sí planificada de inmediato.

4. Los desarrolladores deben seguir la cautela del ecosistema PKI, para que las soluciones propuestas maduren antes de su adopción.

5. Bitcoin y otras cadenas públicas deben definir ahora mismo rutas de migración y políticas para fondos “zombi” vulnerables. Bitcoin, en particular, requiere planificación temprana, ya que sus desafíos principales no son tecnológicos, sino de gobernanza y coordinación social.

6. Reservar tiempo para que las investigaciones en SNARKs post-cuánticos y firmas agregadas maduren (posiblemente varios años), para evitar soluciones subóptimas prematuras.

7. En Ethereum, las cuentas inteligentes (carteras con capacidad de actualización) pueden facilitar migraciones suaves, pero no son la única opción. Lo más importante es que la comunidad siga promoviendo la investigación en primitivas post-cuánticas y planes de contingencia. Un enfoque más amplio es desacoplar la identidad de la cuenta de la esquema de firma específico (como la abstracción de cuentas), para ofrecer mayor flexibilidad en la transición, soportar funciones como patrocinio de transacciones y recuperación social.

8. Las cadenas de privacidad deben priorizar la migración (si el rendimiento lo permite): la privacidad actual ya es vulnerable. Considerar esquemas híbridos o cambios en la arquitectura para no registrar secretos en la cadena que puedan ser descifrados en el futuro.

9. Estrategia a corto plazo: proteger primero la seguridad de las implementaciones, en lugar de centrarse solo en la amenaza cuántica. La seguridad en la implementación de SNARKs y firmas post-cuánticas, frente a vulnerabilidades de software y ataques de canal lateral, será una amenaza mayor en los próximos años que la computación cuántica misma. Invertir en auditorías, fuzzing, verificación formal y defensas en capas, para no quedar expuestos por la ansiedad cuántica.

10. Continuar financiando la investigación en computación cuántica: desde una perspectiva de seguridad nacional, es necesario invertir en talento y recursos. Si un adversario obtiene primero capacidades criptográficas cuánticas, será un riesgo grave.

11. Mantener una visión racional de las noticias sobre computación cuántica: habrá más hitos, pero cada uno solo confirma que aún estamos lejos del objetivo. Ver los anuncios como informes de progreso que requieren evaluación crítica, no como señales de acción inmediata. La innovación puede acelerar, pero también puede haber cuellos de botella que retrasen avances. No afirmo que no pueda ocurrir en cinco años, pero considero que la probabilidad es muy baja.

Seguir estas recomendaciones ayudará a evitar riesgos más directos y probables: vulnerabilidades en la implementación, migraciones apresuradas y errores en la transición criptográfica.