Respecto a la amenaza cuántica para Bitcoin y las blockchains, hay dos puntos de vista generales: (1) El cuántico no será relevante durante mucho tiempo, por lo tanto no hay necesidad de urgencia. (2) El cuántico ya es relevante y debemos actuar con urgencia. Por si sirve de algo, los físicos cuánticos y expertos en seguridad están cada vez más presentes en el mundo (2). Las personas que creen que estamos en el mundo (1) están armadas con hechos erróneos, suposiciones erróneas, o simplemente no quieren pensar críticamente sobre el impacto. 🧵

1/ Prueba 1: La última entrada del blog de Google, escrita por Hartmut Neven (responsable de @GoogleQuantumAI) y Kent Walker (responsable de Asuntos Públicos de Google/Alphabet), presenta la transición hacia la criptografía post-cuántica como urgente, sistémica, que requiere una acción coordinada ahora para "acelerar el progreso" y la adopción.

2/ El argumento de Google es sencillo: los ordenadores cuánticos romperán la criptografía que protege internet. Los métodos criptográficos actuales se basan en problemas que los ordenadores clásicos no pueden resolver de forma eficiente. Quantum rompe ese paradigma y no estará "para siempre a una década de distancia".

3/ Y no solo están teorizando. Investigadores de Google acaban de publicar un trabajo que muestra que romper el cifrado RSA de 2048 bits requiere ~1 millón de qubits ruidosos, no los miles de millones estimados anteriormente. Los requisitos de recursos están cayendo más rápido de lo esperado, por lo que el calendario se está comprimiendo.

4/ (Por cierto, para los comentaristas que puedan señalar que Bitcoin no usa RSA, respondo de antemano que ECDSA puede ser más fácil de romper que RSA-2048 porque el algoritmo de Shor funciona en un polinomio temporal en la longitud de la clave, y las claves de curva elíptica son mucho más cortas que las claves RSA, lo que podría hacer esto aún más urgente).

5/ Pregunta: ¿Por qué Google invertiría mucho en acelerar la adopción post-cuántica de la criptografía para sus propios sistemas si fueran pesistas respecto al progreso cuántico? Respuesta: Están viendo sus propias curvas de capacidades y actuando en consecuencia.

6/ Incluso asumiendo que lo público es de última generación (no lo es), la posición de Google es racional: prepárate para la capacidad antes de que llegue, porque una vez que llega, ya vas por detrás. Postura clásica de defensa. Esto no es solo Google. Las empresas líderes que priorizan la seguridad (como @Cloudflare y @Apple) están priorizando la seguridad post-cuántica en sus hojas de ruta. ¿Qué motivo tienen ellos para priorizar esto que nosotros no?

7/ Prueba 2: Scott Aaronson, uno de los escépticos más destacados de la computación cuántica y físico conocido por denunciar el bombo cuántico, ha reconocido el progreso genuino logrado en los últimos dos años, al tiempo que enfatiza la incertidumbre sobre las líneas temporales futuras. @preskill ha hecho observaciones similares. Aquí está Scott:

8/ Cuando personas a este nivel, que construyeron su reputación con escepticismo cuántico e integridad académica, dicen que el progreso es real y que los plazos podrían acelerarse, eso debería hacer que todos se duden en pensar. Apostar la seguridad de billones en activos a que "será lento" es una locura.

9/ Prueba 3: El gobierno de EE. UU. ha ordenado que todos los sistemas críticos migren a la criptografía post-cuántica para 2030. El NIST finalizó los estándares PQC en 2024. La NSA es obviamente un factor clave en la imposición de estos plazos, trabajando hacia atrás desde la inteligencia de amenazas. Si requieren migración para 2030, podrían ver plazos de capacidad que justifiquen esa urgencia. Ellos pueden saber cosas que nosotros no.

10/ En resumen, el consenso de expertos entre quienes realmente construyen ordenadores cuánticos, o organizaciones que tienen mucho riesgo, es: el progreso se ha acelerado, los plazos son inciertos, la preparación es esencial y lo que está en juego es alto.

11/ Ahora contrasta eso con el bando de "no hacer nada". Sus pruebas suelen ser autorreferenciales, ignoran por completo a los expertos cuánticos y repiten afirmaciones empíricamente erróneas en una cámara de eco. Estudio de caso: @coinshares informe (publicado el mismo día que la entrada del blog de Google mencionada arriba). Desglosemos los errores de esa publicación, ya que es un ejemplo ilustrativo.

12/ Error #1: El autor afirma que solo ~1,6 millones de BTC son vulnerables, con quizá 10.200 BTC capaces de causar disrupciones en el mercado. Las matemáticas aquí son simplemente erróneas.

13/ Hecho: La entidad que se cree es Satoshi posee únicamente 1.096.152 BTC en 21.924 direcciones. Todos vulnerables. Y no son solo direcciones P2PK. Cualquier dirección que haya firmado una transacción una vez (y haya dejado fondos residuales allí) es vulnerable a ataques cuánticos. Eso incluye muchas de las mayores direcciones de BTC actuales.

14/ Mantenemos aquí un rastreador constantemente actualizado de Bitcoin vulnerable a la cuántica: Compara con @ChaincodeLabs excelente informe técnico sobre amenazas cuánticas a Bitcoin aquí: En cualquier caso, la exposición es mucho mayor de lo que sugiere el informe @coinshares.

15/ Error #2: Su "prueba" de que la cuántica está lejos es una cita del CTO de Ledger. Respeto a esa persona y no tengo nada en su contra, pero esto es pura apelación a la autoridad con un sesgo evidente. Si se adoptan firmas resistentes a la forma cuántica, todos los dispositivos de @Ledger existentes podrían quedar obsoletos. Así que considera el incentivo y la fuente. Como mínimo, deberíamos reconocer que esta es una opinión única, y una potencialmente "seleccionada a dedo" por el sesgo de confirmación.

16/ Error #3: Aunque se consulta a no expertos sobre su experiencia en el dominio cuántico, no se intenta comprender el esfuerzo o la complejidad únicas de aplicar soluciones post-cuánticas a una blockchain ya desplegada. Entre ellas se encuentran: - millones de claves distribuidas que deben ser migradas por separado - no hay autoridad centralizada para tomar decisiones - propiedad de los activos completamente en base a una firma digital (sin respaldo)

17/ Según investigaciones revisadas por pares, la blockchain BTC tendría que apagarse durante 76 días para procesar las transacciones de migración del conjunto UTXO existente. Ese es el mejor escenario.

18/ Error #4: El autor desestima a cualquiera que concienciara sobre las amenazas cuánticas como "estafadores". Si un ordenador cuántico rompiendo la base criptográfica de billones de dólares en activos digitales no es un problema serio, no sé qué lo es. Caricaturizar a investigadores y constructores como estafadores es contraproducente.

19/ Incluso si tomas la afirmación de "10 años de distancia" al pie de la letra (y hay buenas razones para no hacerlo), suena lejano hasta que te das cuenta de que es: - la estimación optimista que ya tiene un par de años, y los requerimientos de recursos están cayendo más rápido de lo previsto, y - el desafío técnico de migrar estos sistemas es significativamente más complejo de lo que la gente espera.

20/ La buena noticia es que podemos resolver este problema. Las blockchains pueden adaptarse. Existe la criptografía postcuántica. Pero descartar las advertencias de expertos cuánticos porque la amenaza parece lejana es exactamente cómo te pillan desprevenidos.

21/ A la gente le gusta la certeza. Desafortunadamente, la única certeza sobre los ordenadores cuánticos criptográficamente relevantes es que romperán Bitcoin y casi todas las demás redes de activos digitales. Predecir exactamente cuándo llega ese momento es una tarea perdida. Pero no hay razón para que no pudiera llegar antes de lo esperado, igual que el progreso de la IA ha desafiado repetidamente las líneas temporales pesimistas mediante un avance exponencial.

22/ Prefiero que la seguridad de las blockchains no se base en la suposición de que el progreso de la computación cuántica será lento. /Fin

En cuanto a las líneas temporales cuánticas, la razón por la que personalmente creo que hay una desconexión es porque la gente no entiende la no linealidad del progreso aquí. En pocas palabras, los ordenadores cuánticos o bien serán incapaces de hacer algo criptográficamente significativo (hoy), o serán capaces de cualquier algoritmo asimétrico clásico desplegado. No hay razón para invertir en construir un sistema que busque un punto intermedio. La diferencia clave entre uno y el otro es la capacidad de corrección de errores. **Por eso** ves toda la inversión y el esfuerzo que se aplican ahí. Porque una vez que eso se resuelve, escalar estos sistemas a relevancia criptográfica no será tan difícil. Nada, y luego todo de golpe.

@reardencode @dallairedemers @Ethan_Heilman Además, hay todas las razones para creer que, a medida que avanzan las cosas, hay mucho menos motivo para dar a conocer el estado del arte. De hecho, eso puede que ya esté ocurriendo.