1/ Las predicciones sobre la computación cuántica últimamente varían desde "la criptografía de clave pública será quebrantada en 2 años" hasta "está a un siglo de distancia." Ambos están equivocados. Mi última publicación explica qué progreso conocido públicamente realmente apoya — y qué deberían hacer las blockchains al respecto. Hilo a continuación 🧵

2/ Es muy poco probable que exista una computadora cuántica relevante desde el punto de vista criptográfico (CRQC) en la década de 2020. Incluso a mediados de la década de 2030 es ambicioso. Existen sistemas con más de 1000 qubits, pero el conteo bruto de qubits es engañoso: necesitamos miles de qubits lógicos corregidos por error y enormes presupuestos de puertas T, muy por encima de lo que tenemos hoy.

3/ Una fuente importante de confusión: empresas que llaman a los qubits "qubits lógicos corregidos por errores" cuando no soportan operaciones no-Clifford, o en algunos casos egregios ni siquiera pueden corregir errores. Esto ha engañado seriamente incluso a observadores sofisticados sobre cuán cerca estamos de CRQC.

4/ Un error común al discutir las amenazas cuánticas: tratar todos los primitivos criptográficos de la misma manera. La encriptación, las firmas y los SNARKs enfrentan perfiles de riesgo muy diferentes.

5/ El riesgo más claro a corto plazo es Harvest-Now-Decrypt-Later (HNDL): los adversarios graban el tráfico cifrado ahora para descifrarlo cuando exista un CRQC.

6/ Por eso la encriptación post-cuántica (PQ) debe implementarse ahora, a pesar de los costos/riesgos. Chrome+Cloudflare desplegaron esquemas híbridos (PQ+clásicos) para TLS; iMessage y Signal para mensajería. HNDL no deja opción para datos que necesitan confidencialidad a largo plazo, incluso si la computación cuántica está a décadas de distancia.

7/ Las firmas son diferentes: no hay confidencialidad para "cosechar." Una firma creada antes de que exista un CRQC no puede ser falsificada retroactivamente. Diferente riesgo ⇒ diferente urgencia.

8/ Las blockchains hoy en día utilizan firmas para la autorización, no para la encriptación. Sin la exposición a HNDL, podemos ser deliberados sobre la migración de firmas PQ.

9/ Las firmas PQ de hoy dejan mucho que desear: ML-DSA ≈2.4–4.6 KB, Falcon ≈666 B–1.3 KB (pero es complicado implementarlas correctamente), SPHINCS+ ≈7–8 KB+. Para comparación, ECDSA es solo ~64 bytes. Más grande/más lento/más complejo ⇒ mayor riesgo de errores.

10/ Se requiere precaución: Rainbow (basado en MQ) y SIKE/SIDH (basado en isogenias) fueron quebrantados clásicamente durante el proceso de NIST. Un despliegue prematuro puede salir mal.

11/ La PKI web está persiguiendo un enfoque de cifrado primero, firmas después, por exactamente estas razones. Las blockchains deberían seguir el mismo camino.

12/ zkSNARKs? Buenas noticias: incluso los SNARKs no PQ tienen conocimiento cero post-cuántico. No se revela nada sobre el testigo, ni siquiera a adversarios cuánticos. Lo que se vuelve vulnerable después del CRQC es la solidez (forjar nuevas pruebas falsas), no la confidencialidad o la solidez de pruebas pasadas.

13/ Un punto clave: durante los próximos años, los errores y los ataques de implementación (canales laterales, inyección de fallos) serán riesgos mayores que los CRQCs. Esto se aplica a los SNARKs, esquemas de agregación de firmas e incluso a las propias firmas. Invierte en auditorías, fuzzing y métodos formales.

14/ Los desafíos especiales de Bitcoin: gobernanza lenta, sin migración pasiva y un suministro abandonado no trivial en direcciones vulnerables a la computación cuántica de alto valor.

15/ No hay una solución fácil. Bitcoin tiene que tomarse la amenaza en serio, no porque los CRQC vayan a llegar antes de 2030, sino porque abordar estos problemas principalmente no técnicos requiere años de coordinación.

16/ Qué hacer: ✅ Implementar la encriptación híbrida PQ ahora ✅ Usar firmas híbridas basadas en hash ahora donde el tamaño sea tolerable (actualizaciones de firmware/software) ✅ Para blockchains: no apresurarse con las firmas PQ, pero planificar rutas de migración

17/ Las cadenas de privacidad que encriptan los detalles de las transacciones deben priorizar la encriptación PQ (o diseños que eviten secretos desencriptables en la cadena) para reducir el riesgo HNDL. Las cadenas centradas en firmas pueden incorporar gradualmente firmas PQ a medida que las técnicas de agregación y las implementaciones maduran.

18/ Mantén la perspectiva: paradójicamente, los anuncios frecuentes de hitos cuánticos ≠ proximidad al CRQC. Destacan cuántos puentes quedan por cruzar.

19/ Conclusión: igualar la urgencia con las amenazas reales. Cifrado: urgente (HNDL). Firmas: deliberadas. SNARKs: la propiedad ZK se mantiene segura; la solidez es vulnerable después de CRQC. Y sobre todo, los errores siguen siendo el mayor riesgo a corto plazo.