1/ Las predicciones recientes de computación cuántica van desde "la criptografía de clave pública se romperá en 2 años" hasta "falta un siglo". Ambos están equivocados. Mi última publicación explica qué es lo que realmente apoya el progreso conocido públicamente — y qué deberían hacer las blockchains al respecto. Hilo a continuación 🧵

2/ Un ordenador cuántico criptográficamente relevante (CRQC) en la década de 2020 es muy poco probable. Incluso mediados de los años 30 es ambicioso. Existen sistemas con 1000+ qubits, pero los conteos brutos de qubits son engañosos: necesitamos miles de qubits lógicos corregidos por errores y enormes presupuestos de compuertas T, mucho más allá de la actualidad.

3/ Una fuente importante de confusión: las empresas llaman qubits "qubits lógicos corregidos por errores" cuando no soportan operaciones no Clifford, o en algunos casos graves ni siquiera pueden corregir errores. Esto ha engañado gravemente incluso a observadores más sofisticados sobre lo cerca que estamos de la CRQC.

4/ Un error común al hablar de amenazas cuánticas: tratar todas las primitivas criptográficas de la misma manera. El cifrado, las firmas y los SNARKs enfrentan perfiles de riesgo muy diferentes.

5/ El riesgo más claro a corto plazo es Harvest-Now-Decrypt-Later (HNDL): los adversarios registran tráfico cifrado ahora para descifrarlo cuando existe un CRQC.

6/ Por eso el cifrado post-cuántico (PQ) debe enviarse ya, a pesar de los costes y riesgos. Chrome+Cloudflare desplegó esquemas híbridos (PQ+classical) para TLS; iMessage y Signal para mensajería. La HNDL no deja opción para que los datos necesiten confidencialidad a largo plazo, incluso si la cuantidad está a décadas de distancia.

7/ Las firmas son diferentes: no hay confidencialidad para "cosechar". Una firma creada antes de que exista un CRQC no puede falsificarse retroactivamente. Riesgo diferente ⇒ urgencia diferente.

8/ Hoy en día, las blockchains usan firmas para autorización, no para cifrar. Sin exposición a HNDL, podemos ser deliberados respecto a la migración de la firma PQ.

9/ Las firmas PQ actuales dejan mucho que desear: ML-DSA ≈2,4–4,6 KB, Falcon ≈666 B–1,3 KB (pero difícil de implementar correctamente), SPHINCS+ ≈7–8 KB+. Para comparar, ECDSA es solo ~64 bytes. Más grande/lento/complejo ⇒ mayor riesgo de insectos.

10/ Se requiere precaución: Rainbow (basado en MQ) y SIKE/SIDH (basado en isogenia) se rompieron clásicamente durante el proceso del NIST. El despliegue prematuro puede volverse contraproducente.

11/ La PKI web está persiguiendo el cifrado primero y firmas-después precisamente por estas razones. Las blockchains deberían seguir el mismo camino.

¿12/ zkSNARKs? Buenas noticias: incluso los SNARKs que no son PQ tienen conocimiento cero post-cuántico. No se revela nada sobre el testigo, ni siquiera a adversarios cuánticos. Lo que se vuelve vulnerable tras la CRQC es la solidez (falsificación de nuevas pruebas falsas), no la confidencialidad o la solidez de pruebas pasadas.

13/ Un punto clave: durante años, los errores y ataques de implementación (canales laterales, inyección de fallos) serán riesgos mayores que los CRQC. Esto se aplica a SNARKs, esquemas de agregación de firmas e incluso a las propias firmas. Invierte en auditorías, fuzzing y métodos formales.

14/ Los retos especiales de Bitcoin: gobernanza lenta, sin migración pasiva y un suministro abandonado no trivial en direcciones cuánticas de alto valor.

15/ No hay una solución fácil. Bitcoin debe tomarse en serio la amenaza — no porque los CRQC lleguen antes de 2030, sino porque abordar estos problemas, principalmente no técnicos, requiere años de coordinación.

16/ Qué hacer: ✅ Despliega ahora el cifrado híbrido PQ ✅ Utiliza ahora firmas híbridas basadas en hash donde el tamaño sea tolerable (actualizaciones de firmware/software) ✅ Para blockchains: no te apresures a firmar PQ, pero sí planifica rutas de migración

17/ Las cadenas de privacidad que cifran detalles de transacciones deberían priorizar el cifrado PQ (o diseños que eviten secretos descifrables en cadena) para reducir el riesgo de HNDL. Las cadenas centradas en la firma pueden introducir las firmas PQ a medida que maduran las técnicas e implementaciones de agregación.

18/ Mantener la perspectiva: paradójicamente, los anuncios frecuentes de hitos cuánticos ≠ proximidad al CRQC. Destacan cuántos puentes quedan por cruzar.

19/ En resumen: emparejar la urgencia con las amenazas reales. Cifrado: urgente (HNDL). Firmas: deliberadas. SNARKs: La propiedad ZK se mantiene segura; Vulnerabilidad a la solidez tras el CRQC. Y, sobre todo, los insectos siguen siendo el mayor riesgo a corto plazo.