Ethereum elevó la criptografía poscuántica a una máxima prioridad estratégica este mes, formando un equipo de PQ dedicado liderado por Thomas Coratger y anunciando $1 millón en premios para fortalecer las primitivas basadas en hash.
El anuncio se produjo un día antes de que a16z crypto publicara una hoja de ruta argumentando que las amenazas cuánticas con frecuencia se exageran y que las migraciones prematuras corren el riesgo de intercambiar valores conocidos por protección especulativa.
Ambas posiciones son defendibles y la aparente tensión revela dónde está la verdadera batalla.
El anuncio de la Fundación Ethereum enmarca la seguridad de PQ como un punto de inflexión. Las redes de desarrollo de consenso multicliente están activas cada dos semanas. Las llamadas a All Core Devs comienzan el próximo mes para coordinar las precompilaciones y las rutas de abstracción de cuentas, y una hoja de ruta integral promete “cero pérdida de fondos y cero tiempo de inactividad” durante una transición de varios años.
Coinbase lanzó un consejo asesor cuántico independiente el 21 de enero, que incluye al investigador de Ethereum Justin Drake, lo que indica una alineación entre industrias en torno a la planificación a largo plazo.
Solana realizó experimentos de firma PQ en testnet en diciembre bajo el Proyecto Once, calificando explícitamente el trabajo como “proactivo” en lugar de impulsado por emergencias.
La propuesta JAM de Polkadot describe la implementación de ML-DSA y Falcon junto con pruebas de migración basadas en SNARK.
La propuesta conservadora BIP-360 de Bitcoin para el hash resistente al pago cuántico representa un primer paso incremental limitado por las realidades de la gobernanza.
El patrón se asemeja a una carrera armamentista, pero no impulsada por una amenaza inminente.
Esta es una competencia de preparación institucional, donde el ganador preserva la economía de tarifas, la eficiencia del consenso y la experiencia de usuario de la billetera mientras actualiza las bases criptográficas antes de que la presión externa fuerce la coordinación.
La paradoja de la cosecha
El argumento central de a16z gira en torno a distinguir el riesgo de cosechar ahora descifrar más tarde de la vulnerabilidad de la firma. Los ataques HNDL son importantes cuando los adversarios pueden interceptar datos cifrados hoy y descifrarlos una vez que las computadoras cuánticas alcancen una escala suficiente.
Esa amenaza se asigna claramente a TLS, VPN y cifrado de datos en reposo. Menos aún con las firmas de blockchain, que autentican las transacciones en tiempo real y no dejan carga útil cifrada para almacenar para futuras descifraciones.
La respuesta de Ethereum acepta implícitamente este marco, pero argumenta que la urgencia operativa sigue siendo alta porque el cambio de esquemas de firma afecta a todo: billeteras, formatos de cuentas, firmantes de hardware, infraestructura de custodia, mempools, mercados de tarifas, mensajes de consenso y pruebas de liquidación L2.
La migración requiere años de anticipación, no porque las computadoras cuánticas sean inminentes, sino porque la superficie de ingeniería es vasta y los modos de falla son catastróficos.
NIST finalizó sus primeros estándares poscuánticos en 2024, FIPS 203, 204 y 205, y seleccionó HQC como mecanismo de encapsulación de claves de respaldo mientras avanzaba Falcon y FN-DSA hacia las etapas de borrador.
La UE emitió una hoja de ruta coordinada para la transición de PQC en junio de 2025. Estos desarrollos reducen “¿qué algoritmos?” incertidumbre y concretar la planificación de la migración, incluso si la computación cuántica criptográficamente relevante sigue estando distante.
El informe de Citi de enero de 2026 cita rangos de probabilidad de una ruptura generalizada del cifrado de clave pública para 2034 y 2044, aunque muchos expertos consideran que el CRQC en la década de 2020 es muy improbable.
La ambigüedad del cronograma no elimina el imperativo de planificación: lo amplifica, porque las cadenas que esperan hasta que las señales de amenaza sean inequívocas enfrentarán cronogramas comprimidos y caos de coordinación.
La hinchazón característica como cuello de botella de la capa base
El desafío técnico inmediato es el tamaño de la firma.
Las firmas ECDSA consumen aproximadamente 65 bytes, lo que se traduce en aproximadamente 1.040 gas según el modelo de precios de datos de llamadas de Ethereum a 16 gas por byte distinto de cero.
Los candidatos ML-DSA producen firmas en el rango de 2 a 3 KB, y es probable que las variantes de Dilithium experimenten una amplia adopción. Una firma de 2.420 bytes consume aproximadamente 38.720 gases solo para los bytes de firma, un delta de 37.680 gases en comparación con ECDSA.
Esa sobrecarga es lo suficientemente importante como para afectar el rendimiento y las tarifas, a menos que las cadenas compriman o agreguen firmas a nivel de protocolo.
Aquí es donde la apuesta de Ethereum por la criptografía basada en hash y el Premio Poseidón de 1 millón de dólares se vuelve estratégica. Las firmas basadas en hash evitan la estructura algebraica que explotan los algoritmos cuánticos, y las funciones hash se integran naturalmente con los sistemas de prueba de conocimiento cero.
Si Ethereum puede hacer práctica la agregación de firmas basada en STARK, preserva la economía de tarifas al tiempo que mejora los supuestos de seguridad. El desafío es que todavía no existe ningún análogo práctico poscuántico a la agregación BLS, y la agregación basada en zk introduce restricciones de rendimiento reales.
La eficiencia del consenso depende de este problema.
La capa de consenso de Ethereum depende en gran medida de la agregación de firmas BLS en la actualidad. Los validadores firman certificaciones y sincronizan mensajes del comité, y el protocolo agrega miles de firmas en pruebas compactas.
Perder esa capacidad sin un reemplazo forzaría cambios dramáticos en la economía de participación por consenso o en los supuestos de vida.
El énfasis público de EF en las bases criptográficas “lean” y las llamadas de interoperabilidad que coordinan devnets PQ multicliente sugiere que la organización entiende que la agregación es el precipicio oculto.
| Esquema de firma | Tamaño de firma (bytes) | Calldata gas @ 16 gas / byte distinto de cero | Delta frente a ECDSA (gas) | Implicación |
|---|---|---|---|---|
| ECDSA (secp256k1, r||s||v) | 65 | 1.040 | 0 | Línea de base hoy |
| ML-DSA-44 | 2,420 | 38.720 | +37,680 | Tarifa + shock de rendimiento |
| ML-DSA-65 | 3,309 | 52,944 | +51,904 | La agregación se vuelve obligatoria |
| ML-DSA-87 | 4.627 | 74.032 | +72,992 | Picos de presión de escala L1 |
Wallet UX como capa social de la criptografía
La compatibilidad con el protocolo por sí sola no completa la migración.
Las cuentas de propiedad externa no pueden rotar claves limpiamente bajo el diseño actual de Ethereum. Los usuarios necesitan flujos de migración con un solo clic que no requieran conocimientos técnicos profundos. Las carteras de hardware deben enviar actualizaciones de firmware. Los custodios necesitan una herramienta de migración masiva segura.
Los investigadores de Ethereum han explorado sistemas de prueba fáciles de recuperar y enfoques de migración basados en semillas precisamente para reducir el riesgo de coordinación y la fricción de UX.
a16z advierte que la migración prematura introduce fragilidad, incluidas implementaciones inmaduras, estándares cambiantes después de la implementación y errores en nuevas bibliotecas criptográficas.
La organización sostiene que los problemas de seguridad actuales, como fallas de gobernanza y errores de software, plantean un riesgo inmediato mayor que las computadoras cuánticas.
Este es el quid de la estrategia de “que no cunda el pánico”: migrar demasiado pronto cambia valores conocidos por valores especulativos, y el costo de hacerlo mal es potencialmente mayor que el costo de esperar a que los estándares maduren y mejores herramientas.
Ambas posiciones son defendibles porque optimizan diferentes modos de falla. EF prioriza evitar una coordinación apresurada bajo presión.
a16z prioriza evitar heridas autoinfligidas por un despliegue apresurado. La divergencia revela el verdadero campo de batalla: las cadenas que enhebren la aguja, construyendo infraestructura de migración tempranamente sin obligar prematuramente a los usuarios a adoptar estándares inmaduros, obtendrán una ventaja competitiva.
Tres escenarios, diferentes ganadores
El cronograma de la migración depende de avances externos que nadie controla.
En un escenario de evolución lenta en el que CRQC no llega hasta la década de 2040, la migración se produce con una cadencia regulatoria y de estándares, priorizando la seguridad sobre la velocidad. Las cadenas que invirtieron en agilidad criptográfica, con períodos de doble firma, esquemas híbridos y guías innovadoras, pueden adaptarse sin interrupciones.
En el caso base en el que surgen amenazas cuánticas materiales a mediados de la década de 2030, el trabajo actual determina los resultados. Si el ecosistema quiere transiciones fluidas para 2035, las herramientas de billetera y la investigación de agregación deben estar listas para producción años antes.
Este es el escenario que optimiza la hoja de ruta de EF, y aquel en el que los plazos de entrega de varios años justifican la inversión actual.
En un escenario de shock rápido donde los avances indican un riesgo creíble antes de 2030, el diferenciador es la rapidez con la que una cadena puede congelar la exposición, migrar cuentas y mantener su actividad. a16z sostiene que este resultado es poco probable, pero el énfasis de la organización en la planificación sugiere que incluso los riesgos finales de baja probabilidad justifican la preparación.
Los factores desencadenantes a tener en cuenta incluyen demostraciones creíbles de escalamiento con corrección de errores, estabilidad de qubits lógicos y fidelidades sostenidas de puerta. El NIST o los principales gobiernos adelantan los plazos de migración y los principales custodios envían firmas con capacidad PQ en producción.
Ninguno es inminente, pero todos comprimirían los plazos de decisión.
| Capa de campo de batalla | Por qué es importante | Lo que las señales push de EF | a16z contrapunto de “no entres en pánico” | KPI a tener en cuenta |
|---|---|---|---|---|
| Planificación y agilidad criptográfica | La migración es un programa de varios años; el modo de falla es la coordinación apresurada bajo presión | Equipo de PQ dedicado + cadencia de gobernanza (PQ ACD) = tratar la migración como un programa de protocolo, no como un hilo de investigación | Los cambios prematuros pueden aumentar riesgo (libras inmaduras, estándares cambiantes, nuevos errores) | Existencia de un publicado hoja de ruta de la cadena + plan claro de “romper cristales” + hitos de implementación por etapas |
| Wallet UX y migración de cuentas | Los usuarios no migrarán a menos que sea casi sin fricciones; Los EOA son la cola larga | Énfasis en las rutas de abstracción de la cuenta + mensajes de “tiempo de inactividad cero / pérdida cero” = UX es central | Evite obligar a los usuarios a adoptar nuevos esquemas demasiado pronto; Las fallas de UX se convierten en pérdidas autoinfligidas | % de billeteras/custodios que apoyan doble signo/rotación de clave fluye; tiempo de migración para usuarios no técnicos |
| Economía de agregación y tarifas | Las señales PQ pueden ser grandes; sin agregación, se pierde rendimiento y aumentan las tarifas | LeanVM + hash/zk Foundations + devnets implican que la apuesta es compresión a nivel de protocolo | Incluso la PQ “correcta” puede resultar inutilizable si perjudica la economía; No cambies la usabilidad por la seguridad teórica. | demostrado agregación de firmas rendimiento (tamaño de la prueba/tiempo de verificación) y costo resultante por transmisión/certificación |
| Eficiencia de consenso y sobrecarga del validador | El consenso de Ethereum hoy se basa en la agregación; perderlo amenaza la vida/la economía | Devnets de consenso PQ multicliente + llamadas de interoperabilidad = tratar el consenso como la parte difícil, no solo las billeteras | La nueva criptografía de consenso es una ingeniería de alto riesgo; El lanzamiento conservador supera al rediseño apresurado | Mesurado ancho de banda/sobrecarga de CPU por validador frente a hoy; tasas de inclusión de atestación bajo carga |
| Madurez de interoperabilidad y estándares | Los estándares reducen “¿qué algoritmo?” incertidumbre; Los ecosistemas convergen en opciones más seguras. | Premios + talleres + alineación externa (consejos asesores) = coordinación del ecosistema | Espere a que maduren los estándares/implementaciones antes de forzar una migración masiva | alineación de hitos NIST/UE; envío de soporte PQ en las principales bibliotecas/billeteras de hardware sin CVE críticos |
El nuevo juego de estatus
La preparación poscuántica se está convirtiendo en una métrica de credibilidad institucional, siguiendo el mismo camino que tomó la madurez L2 en ciclos anteriores.
Las cadenas sin hojas de ruta creíbles de PQ corren el riesgo de ser percibidas como no preparadas para garantizar un acuerdo a largo plazo, incluso si la amenaza inmediata es distante.
Esta dinámica explica por qué Solana, Polkadot y Bitcoin tienen flujos de trabajo de PQ activos a pesar de la ausencia de un consenso inminente del día Q.
La carrera armamentista no se trata de quién controla primero la PQ. Más bien, se trata de quién preserva la UX, la economía de tarifas y la eficiencia del consenso mientras lo hace.
El enfoque de Ethereum apuesta por bases basadas en hash, agregación zk y coordinación de gobernanza.
La arquitectura de alto rendimiento de Solana hace que la sobrecarga de firmas sea particularmente aguda, lo que obliga a innovar en el diseño.
El modelo de fragmentación heterogéneo de Polkadot permite la experimentación por cadena.
El conservadurismo de Bitcoin refleja limitaciones de gobernanza y una larga cola de productos heredados que no pueden migrarse sin la cooperación de los propietarios.
Si PQ se convierte en la próxima carrera armamentista L1, el ganador no será la cadena que anuncie la mayor cantidad de premios o devnets. Será la cadena que envíe una ruta de migración que los usuarios normales realmente completen, preserve el rendimiento a pesar de los candidatos de firma de múltiples KB y reemplace las suposiciones de agregación actuales sin sacrificar la vida.
La capa de planificación, la capa de UX de la billetera y la capa de agregación son ahora el verdadero campo de batalla, y el reloj comenzó años antes de que la mayoría de los participantes se dieran cuenta de que la carrera había comenzado.
