Cronología de las amenazas cuánticas: cómo prepararse realmente para la criptografía postcuántica

¿Cuándo podrán las computadoras cuánticas descifrar nuestros datos? Esta pregunta ha sido objeto de debate durante años, pero a menudo las predicciones apocalípticas carecen de fundamentos técnicos claros. La verdad requiere una comprensión más diferenciada: existe una amenaza, pero su horizonte y gravedad dependen del tipo de cifrado del que hablamos. El artículo original de un investigador de a16z analiza este tema desde la perspectiva de realidades técnicas concretas, no de promesas de marketing.

Plazos reales: ¿estamos cerca de que las computadoras cuánticas rompan el cifrado?

Lo primero que hay que entender: las afirmaciones de que las computadoras cuánticas romperán la criptografía antes de 2030 no están basadas en avances reales en el campo. Los investigadores señalan la diferencia fundamental entre lo que anuncian las empresas y lo que realmente sucede en los laboratorios.

Para descifrar cifrados actuales (como RSA-2048 o secp256k1), una computadora cuántica necesita capacidad de corrección de errores, suficiente cantidad de qubits lógicos y una fidelidad adecuada de los compuertas. Actualmente, nadie ha alcanzado siquiera cerca de eso. Sistemas con 1000 qubits físicos parecen impresionantes en papel, pero sin la fidelidad y conexiones necesarias, siguen siendo principalmente promesas.

Las principales fuentes de malentendidos:

«Ventaja cuántica» no es lo mismo que utilidad práctica. Cuando las empresas anuncian haber logrado “ventaja cuántica”, suelen mostrar problemas diseñados específicamente que se resuelven en su hardware más rápido que en ordenadores clásicos. Pero esas tareas no tienen aplicación práctica alguna.

Miles de qubits — muy lejos de ser suficientes. La mayoría de las afirmaciones sobre “mil qubits” se refieren a la supuesta supresión cuántica, no al modelo de puerta universal necesario para atacar criptografía.

Qubits lógicos vs físicos — una gran diferencia. Decir que se tienen 48 qubits lógicos usando solo dos físicos por qubit lógico parece poco plausible, dado que la corrección de errores en esa configuración sería insuficiente.

Las cartas de mapa a menudo son engañosas. Muchas predicciones muestran miles de qubits lógicos para cierto año, pero esos qubits solo soportan operaciones de Clifford, que los ordenadores clásicos pueden simular eficientemente. Para romper RSA con el algoritmo de Shor, se necesitan operaciones no-Clifford (T-gates), que allí no existen.

En conclusión: las expectativas de que en los próximos 5 años exista un cuántico capaz de romper RSA-2048 no están respaldadas por logros públicos. Incluso 10 años es una estimación ambiciosa. Pero esto no significa que podamos relajarnos, especialmente en ciertos tipos de datos.

Ataque “roba ahora, descifra después”: ¿quién está realmente en riesgo?

Esta es la diferencia más crítica para entender por qué el cifrado postcuántico requiere acciones inmediatas, mientras que las firmas postcuánticas no.

Para el cifrado: Un atacante puede interceptar y almacenar datos cifrados hoy, y luego, cuando exista una computadora cuántica, descifrarlos todos. Esto implica que datos que deben permanecer confidenciales por más de 10-50 años ya necesitan protección postcuántica hoy. Agentes estatales ya pueden estar acumulando gigabytes de comunicaciones interceptadas para descifrar en el futuro. Por eso, los esquemas híbridos (clásicos + postcuánticos) ya se implementan en navegadores (Chrome con Cloudflare), mensajería (Signal, iMessage).

Para las firmas digitales: La situación es fundamentalmente diferente. Si puedes demostrar que una firma fue creada antes de la aparición de las computadoras cuánticas, no puede ser falsificada retroactivamente. Las computadoras cuánticas solo podrán falsificar nuevas firmas a partir de su aparición. Esto significa que las firmas postcuánticas no tienen la misma urgencia que el cifrado postcuántico.

Para las pruebas de conocimiento cero (zkSNARK): Tampoco son vulnerables a ataques “roba y descifra”, ya que su propiedad de conocimiento cero garantiza que ninguna información secreta se revele — ni siquiera a una computadora cuántica. Así, un zkSNARK creado hoy seguirá siendo criptográficamente seguro mañana, independientemente de la criptografía de curvas elípticas que utilice.

Firmas postcuánticas: ¿por qué no hay que apresurarse?

Aquí entra en juego la parte práctica de la transición. Los esquemas de firmas postcuánticas tienen compromisos importantes:

Tamaño y rendimiento: Las firmas hash (las más conservadoras en seguridad) tienen un tamaño de 7-8 KB, 100 veces más que las firmas actuales de curvas elípticas (64 bytes). ML-DSA ocupa entre 2,4 y 4,6 KB (40-70 veces más). Incluso Falcon, una opción más compacta (0,7-1,3 KB), presenta dificultades de implementación.

Complejidad de implementación: Falcon incluye operaciones en punto flotante en tiempo constante y ya ha sido objeto de ataques por canales laterales. Uno de sus desarrolladores lo calificó como “el algoritmo criptográfico más complejo que he implementado”.

Falta de madurez: Rainbow y SIKE/SIDH, candidatos a estándares NIST, han sido rotos por ordenadores clásicos. Esto muestra el riesgo de estandarizar y desplegar esquemas demasiado pronto.

La infraestructura de Internet ya está en marcha: migrar a firmas postcuánticas puede hacerse en cualquier momento, sin plazos estrictos. La cautela está justificada, ya que un error en esta etapa puede ser costoso. Las cadenas de bloques deben seguir una estrategia similar.

Blockchain bajo presión: ¿quién es vulnerable a ataques cuánticos?

Cadenas públicas (Bitcoin, Ethereum): En general, son seguras frente a ataques “roba y descifra” porque usan firmas no postcuánticas para autorizar, no cifrado. La amenaza cuántica para Bitcoin es falsificación de firmas y robo de fondos, no descifrado de datos ya abiertos. Incluso la Reserva Federal se equivocó al afirmar que Bitcoin sería críticamente vulnerable a ataques cuánticos por HNDL.

Pero Bitcoin enfrenta problemas únicos: gestión lenta del protocolo, millones de direcciones “dormidas” con claves públicas conocidas, valor de decenas de miles de millones de dólares. Aunque no aparezcan computadoras cuánticas antes de 2035, la logística de transición puede tardar años. Por eso, Bitcoin debe comenzar a planear ya, no por amenazas cuánticas inmediatas, sino por la coordinación del cambio.

Cadenas privadas: Son realmente vulnerables. Si los datos de destinatarios y montos están cifrados o son confidenciales (como en Monero), esa información puede ser interceptada hoy y desanonimizada mañana mediante ataques cuánticos. Para ellas, ya se necesitan cifrados postcuánticos o esquemas híbridos, o una reestructuración que evite guardar secretos descifrados en la cadena.

Siete pasos hacia una seguridad postcuántica

Basado en el análisis anterior, recomendaciones prácticas:

1. Implementar cifrado híbrido de inmediato donde la confidencialidad a largo plazo sea crítica. Esquemas híbridos (postcuánticos + clásicos) protegen contra ataques “roba y descifra” y mitigan debilidades de esquemas puramente postcuánticos.

2. Usar firmas hash en escenarios de baja frecuencia, donde el tamaño no sea crítico (actualizaciones de software, firmware). Esto ofrece una protección conservadora y contra posibles aceleraciones en el desarrollo cuántico.

3. Las cadenas de bloques no deben apresurarse con firmas, pero sí comenzar a planear. Los desarrolladores deben ser cautelosos, como en la comunidad PKI.

4. Bitcoin necesita un plan específico para migrar y gestionar “direcciones dormidas” con claves públicas conocidas. Sus desafíos son principalmente de gestión y coordinación, no técnicos.

5. Dedicar tiempo a investigar zkSNARK postcuánticos y firmas combinadas. Esto tomará años, pero evitar bloquear soluciones subóptimas demasiado pronto vale la pena.

6. Considerar la abstracción de direcciones en monederos inteligentes para mayor flexibilidad en la transición a primitivas postcuánticas.

7. Las cadenas privadas deben migrar cuanto antes, si la productividad lo permite, ante la amenaza real de HNDL a su privacidad.

El mayor riesgo: la implementación, no los computadoras cuánticas

La conclusión más importante, a menudo pasada por alto: en los próximos años, las vulnerabilidades por errores de implementación, canales laterales y ataques de entrada de errores serán una amenaza más seria que las computadoras cuánticas. Para sistemas complejos como zkSNARK y firmas postcuánticas, los errores de implementación pueden tener consecuencias catastróficas.

Invertir en auditorías, fuzzing, verificación formal y seguridad en capas. No dejar que la preocupación cuántica opaque amenazas más inmediatas y peligrosas.

Escuche con espíritu crítico los anuncios de avances cuánticos. Cada hito importante en realidad demuestra que aún estamos lejos del objetivo. Los comunicados de prensa son informes de logros que requieren análisis crítico, no señales de pánico ni acciones apresuradas.