La "supremacía cuántica" malinterpretada: no te asustes antes de 2030

Actualmente, sobre cuándo nacerá la “computadora cuántica relacionada con la criptografía (CRQC)”, las predicciones del mercado suelen ser demasiado agresivas y exageradas — lo que ha llevado a la gente a pedir una migración inmediata y total hacia la criptografía post-cuántica.

Pero estas llamadas a menudo ignoran los costos y riesgos de una migración prematura, además de pasar por alto las diferentes propiedades de riesgo entre los distintos primitivas criptográficas:

• La encriptación post-cuántica (Post-quantum encryption) realmente necesita implementarse de inmediato, aunque tenga un coste elevado: los ataques de “primer interceptar, después descifrar” (HNDL) ya están ocurriendo. Los datos sensibles encriptados hoy en día, incluso décadas después de la aparición de las computadoras cuánticas, todavía pueden tener valor. Aunque implementar encriptación post-cuántica conlleva costos de rendimiento y riesgos en la ejecución, ante ataques HNDL, quienes mantienen datos que deben permanecer confidenciales a largo plazo no tienen otra opción.
• La firma post-cuántica (Post-quantum signatures), en cambio, enfrenta una lógica de cálculo completamente diferente: no se ven afectadas por ataques HNDL. Además, el coste y los riesgos de las firmas post-cuánticas (mayor tamaño, peor rendimiento, tecnología inmadura y posibles bugs) nos obligan a adoptar una estrategia de migración cuidadosamente pensada, no una solución apresurada.

Aclarar estas diferencias es fundamental. La confusión distorsiona el análisis costo-beneficio, llevando a los equipos a ignorar riesgos de seguridad más críticos en el presente — como los errores en el código.

En el proceso de migrar hacia la criptografía post-cuántica, el verdadero desafío es igualar la urgencia con la amenaza real. A continuación, se abordarán conceptos erróneos comunes sobre la amenaza cuántica, cubriendo en particular encriptación, firmas y pruebas de conocimientos cero (especialmente su impacto en blockchain).

¿Qué tan lejos estamos de la amenaza cuántica?

A pesar del bombo en los medios, la probabilidad de que en la década de 2020 surja una “computadora cuántica relacionada con la criptografía (CRQC)” es extremadamente baja.

Por “CRQC” me refiero a una computadora cuántica con capacidad de corrección de errores, que tenga suficiente escala para ejecutar en un tiempo razonable el algoritmo de Shor para atacar la criptografía de curvas elípticas o RSA (por ejemplo, romper secp256k1 o RSA-2048 en un máximo de un mes).

Con una lectura racional de hitos públicos y recursos estimados, estamos muy lejos de construir tal máquina. Aunque algunas empresas afirman que la CRQC podría aparecer antes de 2030 o 2035, los avances públicamente conocidos no respaldan esas afirmaciones.

Desde una perspectiva objetiva, ninguno de los enfoques tecnológicos actuales — trampas de iones, qubits superconductores, sistemas de átomos neutros — cuenta hoy con la cantidad de qubits físicos, que van desde decenas de miles hasta millones, necesarios para ejecutar Shor (esto depende de las tasas de error y los esquemas de corrección).

La limitación no es solo el número de qubits, sino también la fidelidad de las puertas (Gate Fidelities), conectividad de los qubits y la profundidad de circuitos de corrección de errores necesarios para ejecutar algoritmos cuánticos complejos. Aunque algunos sistemas tienen ya más de 1,000 qubits físicos, solo contar su cantidad es engañoso: carecen de la conectividad y fidelidad necesarias para realizar cálculos criptográficos relacionados.

Los sistemas recientes comienzan a acercarse a los umbrales de errores físicos que hacen viable la corrección cuántica, pero aún no hay nadie que pueda mostrar unos pocos qubits lógicos con profundidad de circuito de corrección constante — mucho menos los miles de qubits lógicos de alta fidelidad, profundos y tolerantes a errores que requiere la ejecución real de Shor. La brecha entre “demostrar que la corrección cuántica funciona en principio” y “alcanzar la escala necesaria para análisis criptográfico” sigue siendo enorme.

En resumen: salvo que el número y la fidelidad de los qubits mejoren varios órdenes de magnitud, la CRQC sigue siendo inalcanzable.

No obstante, es fácil confundirse por los comunicados de empresas y la prensa. Aquí algunas fuentes comunes de malentendidos:

• Demostraciones de “ventaja cuántica”: estas demostraciones se orientan actualmente a tareas artificialmente diseñadas. Elegir esas tareas no es por practicidad, sino porque pueden ejecutarse en hardware actual y mostrar una aceleración cuántica significativa — algo que muchas veces no se menciona en los anuncios.
• Empresas que afirman tener miles de qubits físicos: generalmente se refieren a computadoras de recocido cuántico (Quantum Annealers), no a máquinas que puedan ejecutar Shor y atacar criptografía de clave pública basada en puertas.
• Uso abusivo del término “qubits lógicos”: algoritmos cuánticos (como Shor) necesitan miles de qubits lógicos estables. La corrección cuántica nos permite usar muchos qubits físicos para implementar un qubit lógico — generalmente cientos o miles. Pero algunas empresas han llevado al extremo esta confusión: por ejemplo, un anuncio reciente afirmó que con solo dos qubits físicos por cada qubit lógico se lograron 48 qubits lógicos. Esos códigos de baja redundancia solo detectan errores, no los corrigen. Los qubits lógicos tolerantes a errores, que sí se usan en análisis criptográficos, requieren cientos o miles de qubits físicos por cada uno.
• Manipulación de definiciones: muchas hojas de ruta usan “qubits lógicos” para referirse a qubits que solo soportan operaciones Clifford, las cuales pueden ser simuladas eficientemente por computadoras clásicas, por lo que no son suficientes para ejecutar Shor.

Incluso si alguna hoja de ruta apunta a “tener miles de qubits lógicos en X años”, eso no implica que esa empresa tenga planes de ejecutar en ese momento Shor para romper criptografía clásica.

Estas estrategias de marketing distorsionan gravemente la percepción pública — e incluso la de algunos expertos — sobre qué tan cerca estamos de una amenaza cuántica.

A pesar de ello, algunos expertos sí están entusiasmados con los avances. Scott Aaronson dijo recientemente que, dada la velocidad del progreso en hardware, cree que “es posible que para las próximas elecciones presidenciales en EE. UU. se tenga una computadora cuántica tolerante capaz de ejecutar Shor”. Pero aclaró que esto no significa que exista una CRQC que pueda amenazar la criptografía: que pueda factorizar 15 = 3 × 5 en un sistema tolerante ya sería un “éxito de predicción”. Pero eso está muy lejos de romper RSA-2048.

De hecho, todos los experimentos cuánticos que factorizaron 15 usaron circuitos simplificados, no la versión completa de Shor con corrección de errores; y para factorizar 21 se requiere aún más ayuda y atajos.

En resumen, no hay avances públicos que prueben que podamos construir en los próximos 5 años una computadora cuántica capaz de romper RSA-2048 o secp256k1.

Incluso en diez años, sigue siendo un pronóstico muy agresivo.

El gobierno estadounidense propone completar la migración post-cuántica en sus sistemas antes de 2035, pero esto es solo un calendario para la migración, no una predicción de que aparecerá una CRQC en ese momento.

¿Para qué tipo de sistemas criptográficos es aplicable la amenaza HNDL?

“HNDL (Harvest Now, Decrypt Later)” se refiere a que un atacante almacena comunicaciones encriptadas hoy, para descifrarlas en el futuro cuando surja una computadora cuántica.

Es probable que actores estatales ya hayan archivado a gran escala comunicaciones cifradas del gobierno de EE. UU., con la intención de descifrarlas más adelante. Por ello, los sistemas encriptados deben migrar de inmediato, especialmente en escenarios donde la confidencialidad debe mantenerse por 10–50 años o más.

Pero las firmas digitales (Digital Signatures) en blockchain, en contraste con la encriptación, no contienen información confidencial que pueda ser objeto de ataques de trazabilidad.

En otras palabras, cuando surja una computadora cuántica, sí será posible falsificar firmas a partir de ese momento, pero las firmas del pasado no se verán afectadas: no tienen secretos que revelar, y mientras puedan demostrar que la firma fue creada antes de la aparición de la CRQC, no podrán ser falsificadas.

Por lo tanto, la urgencia de migrar a firmas post-cuánticas es mucho menor que la de migrar a encriptación post-cuántica.

Las plataformas principales ya han adoptado estrategias en este sentido:

• Chrome y Cloudflare han implementado en modo híbrido X25519 + ML-KEM para TLS.
• Apple iMessage (PQ3) y Signal (PQXDH, SPQR) también han desplegado encriptación híbrida post-cuántica.

Pero el despliegue de firmas post-cuánticas en infraestructuras clave de la web se ha retrasado deliberadamente — solo se hará cuando la CRQC esté realmente cerca, porque el rendimiento de las firmas post-cuánticas todavía presenta caídas significativas.

La situación de zkSNARKs (una técnica de pruebas de conocimientos cero breves y no interactivas) es similar a la de las firmas: incluso usando curvas elípticas (no seguras frente a PQ), su propiedad de conocimiento cero sigue siendo válida en un entorno cuántico.

Las pruebas de conocimiento cero garantizan que no se revela ninguna prueba secreta, por lo que un atacante no puede “recolectar pruebas ahora y descifrarlas en el futuro”. Por ello, los zkSNARKs no son fácilmente vulnerables a los ataques HNDL. Al igual que las firmas generadas hoy en día son seguras, cualquier prueba zkSNARK creada antes de la aparición de la computadora cuántica puede considerarse confiable — incluso si usa criptografía de curvas elípticas. Solo cuando la CRQC aparezca, los atacantes podrán falsificar pruebas falsas. Se construirá un nuevo mundo digital, en el que se intercambiarán valores sin descanso y que superará con creces la escala económica humana.