La verdadera amenaza de la computación cuántica para la cadena de bloques: por qué el algoritmo de Grover no es el protagonista que crees

La narrativa en torno a la computación cuántica y blockchain se ha distorsionado profundamente. Mientras las grandes empresas tecnológicas compiten por desarrollar capacidades cuánticas y los medios de comunicación advierten sobre un colapso criptográfico inminente, la realidad es mucho más matizada—y en algunos aspectos, mucho menos urgente. El algoritmo de Grover, a menudo citado como una amenaza cuántica para la seguridad de blockchain, en realidad representa solo una preocupación menor en comparación con las vulnerabilidades reales que enfrenta la criptografía hoy en día. Entender qué amenazas son inmediatas y cuáles están a décadas de distancia podría redefinir cómo los desarrolladores priorizan las inversiones en seguridad.

Específicamente para blockchain, la amenaza cuántica se divide en dos categorías distintas: vulnerabilidades de cifrado inmediatas que requieren acción ahora, y riesgos de falsificación de firmas que permiten una planificación más medida. Confundir estos dos conceptos ha generado pánico innecesario y una presión contraproducente para la migración. Este artículo desglosa qué es real, qué está sobredimensionado y qué deberían hacer realmente los equipos de cripto en 2026.

La Línea de Tiempo Cuántica que Nadie Quiere Escuchar: CRQC Todavía Está Lejos

A pesar de los titulares, una computadora cuántica relevante criptográficamente (CRQC)—capaz de ejecutar el algoritmo de Shor para romper RSA o criptografía de curva elíptica a gran escala—aún está a una década o más de distancia. Esto no es pesimismo; se basa en las limitaciones técnicas actuales.

Los sistemas cuánticos de hoy, ya sea usando iones atrapados, qubits superconductores o átomos neutros, están muy por debajo de los requisitos. Los sistemas actuales superan las 1,000 qubits físicos en papel, pero este número es engañoso. Lo que importa es la conectividad de los qubits, la fidelidad de las puertas y la profundidad de la corrección de errores. Para ejecutar el algoritmo de Shor contra RSA-2048 o secp256k1, se necesitarían cientos de miles a millones de qubits físicos, y todavía estamos muy lejos.

La brecha en ingeniería es enorme. Los sistemas recientes han alcanzado tasas de error físico donde la corrección de errores cuánticos empieza a ser efectiva, pero demostrar una corrección de errores persistente para incluso unos pocos qubits lógicos—y mucho menos los miles necesarios para el criptoanálisis—aún no se ha logrado. Cada estimación creíble indica que necesitamos varias órdenes de magnitud más de mejora tanto en cantidad como en fidelidad de qubits.

Sin embargo, los comunicados de prensa corporativos anuncian regularmente avances inminentes. Estas afirmaciones confunden conceptos distintos:

Las demostraciones de “ventaja cuántica”: Muestran aceleraciones cuánticas en tareas artificiales diseñadas específicamente para hardware actual, no en problemas del mundo real. La aceleración es real, pero no dice mucho sobre el progreso hacia sistemas capaces de romper criptografía.

Reclamaciones de qubits lógicos: Algunas empresas anuncian “qubits lógicos”, pero el término ha sido muy diluido. Algunas afirmaciones involucran códigos de corrección de errores de distancia 2 que solo detectan errores, no los corrigen. Los verdaderos qubits lógicos tolerantes a fallos para criptoanálisis requieren cientos o miles de qubits físicos cada uno—no solo dos.

Confusión en las hojas de ruta: Muchas hojas de ruta cuánticas prometen “miles de qubits lógicos para el año X”, pero solo especifican puertas de Clifford (que las computadoras clásicas pueden simular eficientemente). Ejecutar el algoritmo de Shor requiere puertas T no-Clifford, mucho más difíciles de implementar de forma tolerante a fallos.

Incluso investigadores optimistas como Scott Aaronson han aclarado sus propias declaraciones: cuando sugirió que una computadora cuántica tolerante a fallos ejecutando Shor podría llegar antes de la próxima elección presidencial en EE. UU., señaló explícitamente que esto no significa una implementación relevante criptográficamente. Factorizar 15 en una computadora cuántica—logro repetido en años recientes—es trivial desde el punto de vista clásico.

En resumen: se espera que las amenazas criptográficas cuánticas lleguen en los años 2030 a más tardar, y más probablemente en los 2040 o más allá. Cinco a diez años simplemente no están respaldados por evidencia pública. La fecha límite de migración del gobierno de EE. UU. para criptografía post-cuántica en 2035 es razonable para una transición de esa escala—pero refleja prudencia política, no una realidad técnica sobre cuándo existirá CRQC.

Ataques HNDL: Por qué Importan (y Por qué Blockchain Evita la Mayoría)

Los ataques de Harvest-Now-Decrypt-Later (HNDL) representan la preocupación cuántica más legítima a corto plazo. El ataque es simple: adversarios registran comunicaciones cifradas hoy, sabiendo que cuando lleguen las computadoras cuánticas en décadas, podrán descifrar todo retroactivamente. Para actores estatales que archivan comunicaciones gubernamentales cifradas, esto es una amenaza real.

Pero aquí está la distinción clave: los ataques HNDL solo funcionan contra el cifrado, no contra las firmas digitales.

El cifrado oculta secretos. Un memorando clasificado del gobierno cifrado hoy sigue siendo secreto incluso si los adversarios capturan el texto cifrado—hasta que lleguen las computadoras cuánticas para romperlo. Por eso, el despliegue de cifrado post-cuántico es realmente urgente para quienes necesitan confidencialidad que dure más de 10 años.

Las firmas digitales, en cambio, no ocultan secretos que puedan ser “recogidos y descifrados después”. Una firma prueba que autorizaste un mensaje; no oculta información para extracción futura. Las transacciones de Bitcoin y Ethereum usan firmas digitales para autorizar transferencias—no cifrado para ocultar datos. El libro mayor público ya es visible. La amenaza cuántica aquí es falsificación de firmas (derivando claves privadas), no el descifrado retroactivo.

Esta distinción ha sido malinterpretada catastróficamente. Incluso fuentes creíbles como la Reserva Federal han afirmado incorrectamente que Bitcoin enfrenta ataques HNDL—un error fundamental que inflama la urgencia de migrar firmas. Bitcoin sí enfrenta riesgos cuánticos (como se discute abajo), pero no por escenarios de recoger y descifrar.

Las cadenas de bloques de privacidad son la excepción. Monero, Zcash y cadenas similares cifran detalles de transacciones o ocultan destinatarios y montos. Cuando las computadoras cuánticas rompan la criptografía de curva elíptica, esta confidencialidad se verá comprometida retroactivamente. En particular, para Monero, el libro mayor público podría usarse para reconstruir todo el grafo de gastos. Estas cadenas realmente necesitan transiciones post-cuánticas tempranas si proteger la confidencialidad histórica importa.

La infraestructura de internet ya ha internalizado esta distinción. Chrome, Cloudflare, iMessage de Apple y Signal están implementando esquemas híbridos de cifrado combinando algoritmos clásicos y post-cuánticos—protegiendo contra HNDL para datos que requieren secreto a largo plazo. Esto tiene sentido. La transición de firmas digitales, en cambio, es deliberadamente más lenta porque el modelo de amenaza difiere fundamentalmente.

El Algoritmo de Grover y la Prueba de Trabajo: Una Preocupación Menor Disfrazada

El algoritmo de Grover merece atención específica porque a menudo se invoca como una amenaza cuántica para el consenso en blockchain. La amenaza está sobredimensionada.

La Prueba de Trabajo se basa en funciones hash, que Grover puede acelerar cuadráticamente—una aceleración práctica de 2x. Esto es trivial comparado con la aceleración exponencial de Shor contra criptografía de clave pública. Un minero cuántico con la velocidad de Grover podría resolver bloques algo más rápido que los mineros clásicos, creando una ventaja. Pero esta ventaja:

1. No rompe exponencialmente el sistema (a diferencia del algoritmo de Shor contra RSA)
2. No socava fundamentalmente la seguridad económica (los mineros cuánticos mayores tendrían ventajas, pero también las tienen las operaciones mineras clásicas más grandes hoy)
3. Sigue siendo extremadamente costoso de implementar a escala para competir de manera significativa

El sobrecoste práctico de implementar Grover a cualquier escala relevante hace muy improbable que las computadoras cuánticas logren incluso una pequeña aceleración en Bitcoin PoW. La perfil de amenaza es categóricamente diferente a los ataques basados en firmas—no es existencial, solo un cambio competitivo. Por eso, el algoritmo de Grover rara vez aparece en discusiones serias sobre seguridad cuántica en blockchain: no es donde está el riesgo.

El Verdadero Problema Cuántico de Bitcoin No Es la Tecnología—Es la Gobernanza

La vulnerabilidad cuántica de Bitcoin tiene menos que ver con computadoras cuánticas y más con las limitaciones de su infraestructura. Bitcoin no puede migrar sus monedas vulnerables de forma pasiva; los usuarios deben activar el movimiento de fondos a direcciones cuántico-seguras. Esto genera un problema de coordinación complejo sin solución técnica sencilla.

Las primeras transacciones de Bitcoin usaron salidas pay-to-public-key (P2PK), poniendo la clave pública en la cadena. Combinado con la reutilización de direcciones y las wallets que usan Taproot (que también exponen claves), esto deja una superficie potencialmente enorme de Bitcoin vulnerable cuánticamente—se estiman millones de BTC por decenas de miles de millones de dólares—probablemente abandonados por propietarios inactivos.

Cuando lleguen las computadoras cuánticas, los ataques no serán simultáneos. En cambio, los atacantes seleccionarán direcciones de alto valor y expuestas. Los usuarios que eviten reutilizar direcciones y no usen Taproot tienen protección adicional: sus claves públicas permanecen ocultas tras funciones hash hasta que gastan, creando una carrera en tiempo real entre el gasto legítimo y los atacantes con capacidades cuánticas. Pero las monedas verdaderamente obsoletas con claves expuestas no tienen esa protección.

El desafío de gobernanza supera con mucho al técnico. Bitcoin cambia lentamente. Implementar una estrategia de migración coordinada, obtener consenso comunitario y procesar miles de millones en transacciones a través de una red con capacidad limitada requiere años de planificación. Algunas propuestas sugieren un enfoque de “marcar y quemar” donde las monedas vulnerables no migradas se vuelven de propiedad comunitaria. Otros cuestionan si actores con capacidades cuánticas que ingresen a wallets sin claves legítimas podrían enfrentar responsabilidad legal.

Estos no son problemas de computación cuántica; son problemas sociales, legales y logísticos que deben resolverse ahora, aunque las computadoras cuánticas aún estén a décadas de distancia. La ventana de Bitcoin para planear e implementar soluciones se cierra mucho más rápido que la línea de tiempo de amenaza de la tecnología cuántica.

Firmas Post-Cuánticas: Poderosas Pero No Listas

Si las firmas cuánticas necesitan desplegarse, ¿por qué no hacerlo ya? Porque los esquemas actuales de firmas post-cuánticas son inmaduros, complejos y con riesgos de implementación que superan ampliamente la amenaza cuántica lejana.

NIST ha estandarizado recientemente enfoques post-cuánticos en cinco categorías fundamentales: basados en hash, codificación, basados en retículas, multivariados y esquemas de isogenias. Esta fragmentación refleja un dilema de seguridad real: los problemas matemáticos estructurados permiten mejor rendimiento pero crean más superficie de ataque. Los enfoques conservadores y no estructurados (firmas basadas en hash) son los más seguros, pero con rendimiento pobre. Los esquemas basados en retículas ofrecen un punto medio—son la opción preferida de NIST—pero con serios compromisos.

Los costos de rendimiento son sustanciales:

• Firmas basadas en hash (estándar NIST): 7-8 KB por firma (vs. 64 bytes de ECDSA actual)—casi 100 veces más grandes
• ML-DSA basado en retículas (elección NIST): 2.4-4.6 KB por firma—40-70 veces más grande que ECDSA
• Falcon: ligeramente más pequeño (666 bytes a 1.3 KB) pero con operaciones en punto flotante en tiempo constante que su creador, Thomas Pornin, llamó “el algoritmo criptográfico más complejo que he implementado”

La complejidad de implementación genera riesgos inmediatos. ML-DSA requiere manejo cuidadoso de intermediarios sensibles y lógica de rechazo no trivial. Falcon, con sus operaciones en punto flotante, es notoriamente difícil de implementar de forma segura; varias implementaciones han sufrido ataques de canal lateral que extraen claves secretas.

La historia ofrece lecciones sobrias. Candidatos principales como Rainbow (basado en MQ) y SIKE/SIDH (basado en isogenias) fueron rotos clásicamente—con las computadoras de hoy—muy tarde en el proceso de estandarización de NIST. Esto es ciencia saludable, pero ilustra que desplegar prematuramente esquemas inmaduros introduce riesgos inmediatos y concretos.

El enfoque de la infraestructura de internet hacia la migración de firmas refleja esta cautela. La transición de MD5 y SHA-1, que ya están completamente rotos, tomó muchos años. Desplegar esquemas post-cuánticos nuevos y complejos en infraestructura crítica requiere tiempo por buenas razones.

Las blockchains enfrentan una complejidad adicional. Ethereum y cadenas similares podrían migrar más rápido que la infraestructura tradicional, pero las limitaciones de Bitcoin y la necesidad de migración activa de usuarios multiplican los desafíos. Además, los requisitos específicos de firmas en blockchain—especialmente la agregación rápida de firmas para escalar—todavía no tienen soluciones post-cuánticas maduras. Las firmas BLS permiten agregación rápida hoy, pero no existe una alternativa post-cuántica lista para producción.

La Amenaza Más Cercana y Grande: Errores de Implementación que Superan a las Computadoras Cuánticas

Mientras la comunidad cripto debate sobre las líneas de tiempo post-cuánticas, una amenaza más inmediata acecha: errores de implementación y ataques de canal lateral.

Para primitivas criptográficas complejas como zkSNARKs (usados en privacidad y escalabilidad), los errores en el programa son una vulnerabilidad enorme. Los zkSNARKs son exponencialmente más complejos que las firmas; en esencia, intentan probar enunciados computacionales. Los errores aquí pueden romper completamente la seguridad. La industria pasará años identificando y corrigiendo fallos sutiles en la implementación.

Las firmas post-cuánticas también presentan riesgos de canal lateral y inyección de fallos: ataques de temporización, análisis de potencia, fuga electromagnética e inyección física de fallos que han extraído claves secretas de sistemas desplegados. Estos ataques son bien conocidos y prácticos—no solo teóricos como la criptoanálisis cuántico.

Esto crea una ironía cruel: apresurarse a desplegar firmas post-cuánticas prematuramente introduce vulnerabilidades inmediatas en la implementación, mientras se protege contra amenazas que están a una década de distancia. Las prioridades de seguridad actuales deben centrarse en auditorías, fuzzing, verificación formal y enfoques de defensa en profundidad para mitigar ataques de implementación.

Siete Recomendaciones Prácticas para 2026

1. Desplegar cifrado híbrido ahora (si la confidencialidad a largo plazo importa). Combinar cifrado clásico (X25519) y post-cuántico (ML-KEM). Esto protege contra HNDL mientras mantiene una seguridad de respaldo. Navegadores, CDN y apps de mensajería ya lo hacen; las blockchains con requisitos de confidencialidad a largo plazo deberían seguir.

2. Usar firmas basadas en hash para actualizaciones de baja frecuencia. Las actualizaciones de software y firmware que toleren firmas más grandes deberían adoptar inmediatamente firmas híbridas basadas en hash. Esto ofrece seguridad conservadora y una “bote de rescate” práctica si los esquemas post-cuánticos resultan ser inesperadamente débiles.

3. Las blockchains deben planear, pero no apresurarse en la implementación de firmas post-cuánticas. Comenzar rediseños arquitectónicos ahora para manejar firmas más grandes y desarrollar mejores técnicas de agregación. No desplegar esquemas inmaduros prematuramente; dejar que las normas post-cuánticas maduren y que los riesgos de implementación afloren.

4. Bitcoin necesita planificación de gobernanza inmediata (no despliegue). Definir rutas de migración, políticas comunitarias para fondos vulnerables abandonados y cronogramas realistas. La gobernanza y las limitaciones de throughput de Bitcoin requieren años de planificación antes de que las computadoras cuánticas sean una amenaza.

5. Las cadenas de privacidad deben priorizar transiciones post-cuánticas tempranas. Monero, Zcash y proyectos similares enfrentan realmente exposición HNDL. Si proteger la privacidad histórica de transacciones importa, la transición a primitivas post-cuánticas o cambios arquitectónicos debe ser prioridad mayor que en cadenas no orientadas a la privacidad.

6. Invertir en criptografía centrada en seguridad ahora, no en criptografía cuántica en el futuro. Auditar zkSNARKs, corregir errores, implementar verificación formal y defenderse contra ataques de canal lateral. Estos riesgos son mucho mayores e inmediatos que las computadoras cuánticas.

7. Financiar investigación en computación cuántica y mantenerse informado críticamente. La seguridad nacional de EE. UU. depende del liderazgo en computación cuántica. Cuando lleguen anuncios cuánticos—y llegarán, cada vez más—tratarlos como informes de progreso que requieren evaluación, no como motivos para acciones inmediatas.

El Camino a Seguir: Urgencia Alineada con la Realidad

La amenaza cuántica a blockchain es real, pero las líneas de tiempo distorsionadas han generado pánico contraproducente. Los ataques HNDL justifican un despliegue urgente de cifrado post-cuántico para datos confidenciales a largo plazo. La falsificación de firmas requiere una planificación seria, pero no apresurarse con implementaciones inmaduras.

El algoritmo de Grover, a pesar de su aceleración cuántica, no representa una amenaza existencial para la Prueba de Trabajo. Los desafíos de Bitcoin provienen de la gobernanza y la coordinación, no de computadoras cuánticas inminentes. Los errores de implementación y los ataques de canal lateral presentan riesgos mucho mayores en el corto plazo que el criptoanálisis a una década vista.

La estrategia ganadora es matizada: desplegar cifrado híbrido de inmediato, dejar que las firmas post-cuánticas maduren mediante planificación cuidadosa, priorizar transiciones en cadenas de privacidad y apostar fuerte por arreglos de seguridad inmediatos. Este enfoque admite la incertidumbre—si los avances cuánticos se aceleran, estas medidas ofrecen defensa; si los plazos se extienden, los equipos evitan quedar atrapados en soluciones subóptimas.

La computación cuántica transformará la criptografía. La cuestión es si blockchain responderá con urgencia alineada a amenazas realistas, o con pánico que introduzca vulnerabilidades peores que el peligro que pretende evitar.