El período de peligro de las computadoras cuánticas: ¿cuándo amenazarán realmente la seguridad criptográfica?

¿cuándo podrá la computación cuántica romper la criptografía? La respuesta a esta pregunta suele ser distorsionada por campañas empresariales y medios de comunicación. Desde demostraciones emblemáticas de empresas tecnológicas hasta planes políticos gubernamentales, las líneas de tiempo sobre la amenaza cuántica se exageran continuamente, generando una urgencia por una “transición inmediata y completa a la criptografía post-cuántica”. Pero estas voces a menudo ignoran una realidad clave: las diferentes herramientas criptográficas enfrentan amenazas cuánticas fundamentalmente distintas, y actuar demasiado pronto puede tener costos mucho mayores que retrasar la acción.

Según un análisis profundo del socio de investigación de a16z, Justin Thaler, debemos abordar con racionalidad esta discusión sobre la “computadora peligrosa”: no todas las herramientas criptográficas están en el mismo nivel de peligro inminente.

La verdadera amenaza de las computadoras cuánticas: la realidad detrás del análisis de datos

Sobre la línea de tiempo para que la computación cuántica rompa la criptografía, existen muchas predicciones contradictorias en el mercado. Algunas empresas afirman que podrán lograrlo en 2030 o incluso antes, en 2035. Pero al profundizar en los detalles técnicos, se revela un gran desfase entre esas promesas y los avances reales.

Las llamadas “computadoras cuánticas relacionadas con la criptografía” capaces de romper cifrados deben cumplir varias condiciones estrictas: primero, deben ser computadoras cuánticas tolerantes a fallos y con capacidad de corrección de errores; segundo, deben poder ejecutar el algoritmo de Shor (clave para romper criptografía moderna); y tercero, su escala debe ser suficiente para, en un tiempo razonable (por ejemplo, menos de un mes), romper estándares criptográficos como la curva elíptica o RSA-2048.

Según los hitos tecnológicos públicos, tales computadoras aún están muy lejos. Incluso en sistemas con más de 1000 qubits, lo que se observa es solo un avance en cantidad, no en capacidad práctica. Estos sistemas generalmente carecen de la conectividad y fidelidad necesarias para realizar cálculos criptográficos.

El cuello de botella no está en la cantidad, sino en la calidad. Romper la criptografía moderna requiere decenas de miles o incluso millones de qubits físicos, solo una estimación preliminar. Los desafíos más severos son la conectividad entre qubits, la fidelidad de las puertas y la corrección de errores necesaria para ejecutar algoritmos cuánticos profundos. Actualmente, incluso los sistemas más avanzados no pueden mantener estables más de unos pocos qubits lógicos, y la cantidad de qubits lógicos con alta fidelidad y tolerancia a fallos necesarios para ejecutar Shor (varios miles) está muy lejos, en una escala exponencial.

Juicio racional: antes de que la cantidad y fidelidad de qubits aumente en 3 o 4 órdenes de magnitud, no existirá una “computadora peligrosa” capaz de romper la criptografía moderna.

No obstante, muchas notas de prensa y reportajes mediáticos generan confusión:

• Ilusión de “ventaja cuántica”: la mayoría de las demostraciones actuales son tareas cuidadosamente diseñadas, no aplicaciones útiles reales, solo porque pueden ejecutarse en hardware existente y “parecen” rápidas. Esto a menudo se oculta o minimiza en la promoción.

• Engaño en el número de qubits físicos: los “miles de qubits físicos” que se anuncian suelen referirse a computadoras de recocido cuántico, no a computadoras de puertas que puedan ejecutar Shor; son tecnologías distintas.

• Uso abusivo de “qubits lógicos”: algunas empresas afirman que con un costo de solo 2 qubits físicos por cada qubit lógico lograron 48 qubits lógicos, pero esto no tiene sentido técnico, ya que el código de corrección utilizado no puede corregir errores, solo detectar errores.

• Falsas hojas de ruta: muchas hojas de ruta mencionan “miles de qubits lógicos” que solo soportan operaciones Clifford, las cuales pueden ser simuladas eficientemente por computadoras clásicas, y no pueden ejecutar el algoritmo de Shor, que requiere muchas puertas T. Por lo tanto, que una hoja de ruta diga que en cierto año se logrará cierta cantidad de qubits lógicos no implica que en ese momento puedan romper la criptografía.

Estas prácticas distorsionan gravemente la percepción pública del progreso en computación cuántica, incluso entre observadores experimentados.

“Robar ahora, descifrar en el futuro”: ¿quién está realmente en peligro?

Para entender la urgencia de la amenaza cuántica, primero hay que distinguir entre dos tipos de herramientas criptográficas: cifrado y firmas digitales.

El ataque de “robar ahora, descifrar en el futuro” (HNDL) consiste en que un atacante almacena en el presente datos cifrados y espera a que aparezca una computadora cuántica para descifrarlos en el futuro. Los adversarios a nivel estatal probablemente ya han archivado comunicaciones cifradas de gobiernos y empresas, preparándose para ese día.

Por ello, el cifrado sí requiere una actualización inmediata, al menos para datos que deben mantenerse confidenciales durante 10 a 50 años. Este es un riesgo real e ineludible.

Pero las firmas digitales son completamente diferentes. No contienen información confidencial que deba ser rastreada. Incluso si en el futuro aparece una computadora cuántica, solo podrá falsificar firmas a partir de ese momento, no descifrar firmas pasadas. Mientras puedas demostrar que una firma fue generada antes de la aparición de la computadora cuántica, esa firma nunca podrá ser falsificada.

Esta diferencia es crucial, porque determina la urgencia de actualizar diferentes herramientas.

Las plataformas actuales ya actúan en consecuencia:

• Chrome y Cloudflare han implementado esquemas híbridos X25519 + ML-KEM para cifrado TLS. “Híbrido” es clave: usan simultáneamente esquemas post-cuánticos y clásicos, para prevenir ataques HNDL y mantener seguridad clásica en caso de que los esquemas post-cuánticos tengan vulnerabilidades.

• Apple con iMessage (protocolo PQ3) y Signal (protocolos PQXDH y SPQR) también han adoptado cifrado híbrido post-cuántico.

En cambio, la implementación de firmas digitales post-cuánticas en infraestructura crítica se ha retrasado, no porque no sean necesarias, sino por el impacto en rendimiento y complejidad de implementación.

La crisis cuántica en blockchain: ¿real o exagerada?

Para las criptomonedas, esto es una buena noticia: la mayoría de las cadenas no son vulnerables a HNDL.

Cadenas como Bitcoin y Ethereum, que no priorizan la privacidad, usan principalmente firmas digitales para autorización de transacciones, no cifrado. Estas firmas no representan riesgo HNDL. La cadena de Bitcoin es pública: cada transacción visible en la cadena. La amenaza cuántica radica en la falsificación de firmas (que podría permitir robar fondos), no en descifrar datos ya públicos.

Este hecho ha sido malinterpretado por muchas instituciones. La Reserva Federal, por ejemplo, afirmó erróneamente que Bitcoin sería vulnerable a HNDL, exagerando la urgencia de migrar.

La excepción real son las cadenas de privacidad. Muchas ocultan o cifran las direcciones y montos de los destinatarios. Esa información confidencial puede ser robada ahora y, tras la llegada de computadoras cuánticas, descifrada para desanonimizar transacciones. Los mecanismos de firmas en ring y las huellas de clave pueden permitir reconstruir el grafo completo de transacciones.

Por ello, si los usuarios de cadenas de privacidad desean que sus transacciones no sean expuestas en el futuro por computadoras cuánticas, deben migrar cuanto antes a esquemas post-cuánticos o híbridos, o adoptar arquitecturas que no registren secretos susceptibles de ser descifrados.

La situación de Bitcoin: ¿por qué no basta con esperar a la computadora cuántica?

Para Bitcoin, los factores prácticos impulsan a planear ya una migración post-cuántica, pero no por la tecnología cuántica en sí.

El primer factor es la velocidad de gobernanza. La modificación de Bitcoin es extremadamente lenta, y cualquier disputa puede derivar en bifurcaciones dañinas. La dificultad de coordinación social es un obstáculo fundamental.

El segundo factor es la imposibilidad de una migración pasiva. Los titulares deben activar la transferencia a nuevos esquemas, lo que implica que las monedas con firmas vulnerables en realidad no están protegidas por el protocolo. Se estima que millones de bitcoins en estado “dormido” y con firmas frágiles podrían existir, valorados en miles de millones de dólares.

Pero esto no significa que sea un “fin del mundo de la noche a la mañana”. Los ataques cuánticos tempranos serán costosos y lentos, por lo que los atacantes preferirán dirigirse a las billeteras de mayor valor. Además, quienes eviten reutilizar direcciones y no usen Taproot (que oculta la clave pública hasta gastar) estarán relativamente seguros, ya que su clave pública solo se revela en la transacción de gasto, y en ese momento hay una ventana de oportunidad para actuar.

Las monedas verdaderamente vulnerables son aquellas con claves públicas expuestas: salidas P2PK antiguas, direcciones reutilizadas y direcciones Taproot (que exponen la clave pública en la cadena).

Para las monedas abandonadas y vulnerables, la solución es difícil: la comunidad puede establecer una “fecha límite” para migrar, tras la cual las monedas no migradas se considerarán perdidas o serán susceptibles a ser robadas por futuros adversarios con computadoras cuánticas. La segunda opción genera problemas legales y de seguridad.

Bitcoin también enfrenta un reto único: su bajo rendimiento en transacciones. Aunque se defina un plan de migración, con la tasa actual, mover todos los fondos vulnerables puede tomar meses.

Conclusión: Bitcoin debe comenzar a planear ya la migración post-cuántica, pero no porque la computación cuántica pueda aparecer en 2030 (sin evidencia que lo respalde), sino porque la gestión, coordinación y logística para migrar activos por valor de miles de millones requiere años. La amenaza cuántica es real, pero el tiempo no es una amenaza inminente, sino que la principal limitación proviene de su propia estructura y gobernanza.

Costos y riesgos de la migración post-cuántica: ¿por qué no debe hacerse a la ligera?

La criptografía post-cuántica se basa principalmente en cinco clases de problemas matemáticos: hash, codificación, retículas, sistemas de ecuaciones cuadráticas multivariadas y curvas elípticas. La variedad de esquemas responde a que, cuanto más estructurado sea, más eficiente, pero también más vulnerables a ciertos ataques. Es un equilibrio fundamental.

• Los esquemas basados en hash son los más conservadores (mayor confianza en la seguridad), pero con peor rendimiento. Los firmantes estándar de NIST usan firmas de 7-8 KB, mientras que las firmas de curvas elípticas actuales son de solo 64 bytes, una diferencia de aproximadamente 100 veces.

• Las retículas (lattice) son el foco de implementación. La única propuesta de NIST (ML-KEM) y dos de las firmas (ML-DSA y Falcon) se basan en retículas.

• La firma ML-DSA tiene un tamaño de 2.4 a 4.6 KB, 40 a 70 veces mayor que las firmas actuales.

• Falcon es más compacto (0.7 a 1.3 KB), pero su implementación es extremadamente compleja, requiere operaciones en punto flotante en tiempo constante, y ha sido vulnerable a ataques de canal lateral. Uno de sus creadores la calificó como “la criptografía más compleja que he implementado”.

El desafío de seguridad es aún mayor: las firmas basadas en retículas tienen más valores intermedios sensibles y lógica de rechazo de muestreo, lo que requiere mayor protección contra ataques de canal lateral y fallos.

Las lecciones del pasado son claras. Los candidatos líderes en la estandarización de NIST, como Rainbow (firma basada en MQ) y SIKE/SIDH (criptografía basada en isogenias), han sido rotos por computadoras clásicas. Esto demuestra los riesgos de estandarizar y desplegar demasiado pronto.

La infraestructura de Internet ha sido prudente en la migración de firmas, y esto es especialmente importante, ya que la transición criptográfica en sí misma lleva años: la migración de MD5/SHA-1 duró muchos años y aún no se ha completado.

Recomendaciones inmediatas

Con base en la realidad descrita, debemos seguir estos principios: tomar en serio la amenaza cuántica, pero no asumir que la computadora peligrosa aparecerá antes de 2030, ya que los avances actuales no lo respaldan. Sin embargo, hay acciones que podemos y debemos tomar ahora.

01. Implementar inmediatamente cifrado híbrido

En ámbitos donde la confidencialidad a largo plazo sea crítica y el costo sea aceptable, desplegar ya cifrado híbrido post-cuántico. Muchos navegadores, CDN y aplicaciones de comunicación (iMessage, Signal) ya están en ello. La estrategia híbrida (post-cuántico + clásico) previene ataques HNDL y mantiene seguridad clásica en caso de vulnerabilidades en esquemas post-cuánticos.

02. Usar firmas hash en escenarios tolerantes

Para casos donde se toleren firmas grandes y baja frecuencia (como actualizaciones de software/firmware), ya se pueden usar firmas híbridas basadas en hash. Es una opción conservadora y de “salvavidas” ante una aparición inesperada de computadoras cuánticas.

03. Planificar en blockchain

Aunque no es urgente implementar firmas post-cuánticas en cadenas, sí es recomendable comenzar a planear, siguiendo la prudencia del sector PKI, para que las soluciones sean maduras cuando sea necesario.

04. Definir rutas de migración

Las cadenas públicas como Bitcoin deben definir claramente su plan de migración post-cuántica y políticas para fondos “dormidos” vulnerables. La planificación debe comenzar ahora, ya que los desafíos principales no son técnicos, sino de gobernanza y coordinación social.

05. Dar tiempo para investigación

Permitir que investigaciones en SNARKs post-cuánticos y firmas agregadas maduren (pueden tomar años), evitando bloquear soluciones subóptimas demasiado pronto.

06. Lecciones para el diseño de cuentas

Para plataformas como Ethereum, los monederos con contratos inteligentes (que puedan actualizar) ofrecen una migración más sencilla. La abstracción de cuentas (separar identidad y esquema de firma) brinda mayor flexibilidad, facilitando la migración post-cuántica y funciones como patrocinio y recuperación social.

07. Priorizar cadenas de privacidad

Las cadenas de privacidad exponen secretos a ataques HNDL. Deben migrar cuanto antes a esquemas híbridos o post-cuánticos, o modificar su arquitectura para no registrar secretos susceptibles de ser descifrados.

08. Prioridad a corto plazo: seguridad frente a amenazas inmediatas

Durante los próximos años, las vulnerabilidades por errores y ataques de canal lateral serán más probables que la llegada de computadoras cuánticas. Es fundamental invertir en auditorías, fuzzing, verificación formal y defensas en profundidad, sin dejar que la ansiedad cuántica opaque riesgos más inmediatos.

09. Financiar investigación

Desde la perspectiva de seguridad nacional, es imprescindible seguir financiando el desarrollo de talento en criptografía post-cuántica. Los adversarios que logren avanzar primero en capacidades cuánticas relacionadas con la criptografía representarán un riesgo grave.

10. Evaluar noticias cuánticas con racionalidad

Habrá más hitos en el futuro, pero cada uno solo demuestra cuánto estamos lejos de la amenaza real. Las noticias deben ser vistas críticamente, como informes de avances, no como señales de que la amenaza inminente ya está aquí.

Epílogo: encontrar equilibrio antes de que llegue el peligro

Los avances tecnológicos pueden acelerarse o retrasarse. No afirmamos que en cinco años no sea posible, solo que la probabilidad actual, basada en datos técnicos públicos, es baja.

Seguir estas recomendaciones ayuda a evitar riesgos más inmediatos: errores en implementación, despliegues apresurados y errores en la transición criptográfica. Estos problemas no surgirán en un futuro lejano, sino en los años previos a la llegada de la computadora peligrosa, que puede ya estar causando daños en la sombra.