Nuevo artículo de nuestro equipo. Monederos HD post-cuánticos con derivación de clave pública no endurecida completa. Monederos de solo visualización, xpubs, gestión jerárquica de claves, etc., todo con seguridad demostrable bajo supuestos de reticulado estándar. La derivación no endurecida BIP32 depende del álgebra lineal de las curvas elípticas. Se añade un desplazamiento a una clave pública padre y se obtiene una clave pública hija válida. Los esquemas de reticulado post-cuánticos rompen esto de dos maneras. Algunos esquemas redondean sus claves públicas durante la generación de claves, lo que destruye la linealidad. E incluso sin redondeo, cada derivación añade ruido que cambia el perfil estadístico de las claves derivadas, rompiendo la desvinculación. En este trabajo, construimos dos construcciones. La primera utiliza ML-DSA para la derivación solo endurecida con pruebas de seguridad completas. La segunda, el resultado principal, utiliza Raccoon-G, una variante de Raccoon con secretos distribuidos de manera gaussiana. Saltamos el paso de redondeo y publicamos la clave pública completa para preservar la linealidad. Además, los gaussianos son estables bajo adición, por lo que las claves derivadas permanecen en la misma familia de distribución que las nuevas. Eso te da una derivación no endurecida con desvinculación y no falsificabilidad demostrables bajo supuestos de reticulado estándar. El compromiso es claves y firmas más grandes, y una profundidad de derivación limitada. En la práctica, el límite de profundidad no es restrictivo ya que las estructuras de monederos reales como BIP44 solo utilizan derivación no endurecida para los últimos dos niveles de todos modos. Implementamos ambas construcciones en Rust. Artículo y Github a continuación.

Respetuosamente, Saylor está equivocado aquí sobre la cuántica. Específicamente, está equivocado en cuatro afirmaciones (solo me enfocaré en las técnicas). Permítanme repasar cada una. Afirmación 1: El consenso de la comunidad de ciberseguridad es que la cuántica no es una amenaza durante los próximos 10 años y, por lo tanto, no se necesita acción inmediata. No hay tal consenso. La verdad es lo contrario: cada organismo de seguridad nacional y de estándares importante en el mundo está exigiendo activamente la migración post-cuántica en este momento, porque las migraciones en sí mismas tardan una década o más. La NSA CNSA 2.0 requiere que todos los nuevos Sistemas de Seguridad Nacional sean seguros ante cuántica antes de 2035, siendo la mayor parte de ese trabajo realizado en los próximos 5 años. NIST publicó estándares finales de PQC (ML-KEM, ML-DSA, SLH-DSA) en agosto de 2024 y lanzó el IR 8547 estableciendo un objetivo para deprecar todos los algoritmos de clave pública vulnerables a cuántica después de 2030 y prohibirlos completamente para 2035. El NCSC del Reino Unido estableció hitos de migración para 2028, 2031 y 2035. Estas no son respuestas a un hipotético distante. Estos son programas con plazos de cumplimiento porque las organizaciones que los establecieron han concluido que comenzar ahora es apenas lo suficientemente temprano. Históricamente, ha tomado mucho tiempo desde el momento en que se estandariza un nuevo algoritmo hasta que se integra completamente en los sistemas de información. Las migraciones criptográficas pasadas lo confirman. La deprecación de SHA-1 tomó alrededor de 7 años. La migración a AES tomó alrededor de 5 años. El despliegue de TLS 1.3 tomó de 3 a 5 años a pesar de ofrecer claros beneficios de rendimiento. NIST ya ha concluido que la migración a PQC es fundamentalmente más compleja que cualquiera de estos precedentes. El argumento de la línea de tiempo ignora por completo la cosecha ahora, descifrado después. Los adversarios están recolectando datos cifrados hoy para su descifrado futuro. La Reserva Federal de EE. UU. publicó un análisis de esto en septiembre de 2025, utilizando Bitcoin como estudio de caso. La amenaza ya está activa. Afirmación 2: Cuando la cuántica llegue, todo se actualizará; bancos, internet, defensa, Bitcoin. El internet ya se está actualizando. El 52% del tráfico web humano en Cloudflare utilizó intercambio de claves post-cuánticas para diciembre de 2025, casi duplicándose desde el 29% al inicio del año. Chrome envía ML-KEM para TLS. Apple habilitó PQ TLS en iOS 26. OpenSSH ha predeterminado el acuerdo de claves post-cuánticas desde la versión 9.0. Signal tiene cifrado post-cuántico. AWS y Google Cloud soportan PQC en sus productos KMS. Apple agregó ML-DSA y ML-KEM a CryptoKit como APIs de producción. Los bancos y las redes de pago son centralizados. Visa impulsa una actualización de firmware o SWIFT cambia una especificación de protocolo. Las actualizaciones de TLS son invisibles para los usuarios finales (si usas Chrome, usas una versión de TLS que soporta post-cuántica y ni siquiera lo sabías). Estos sistemas pueden y migrarán sin que sus clientes hagan nada. Bitcoin no puede hacer esto. Bitcoin requiere un fork con consenso descentralizado global. Una migración de firma PQC es categóricamente más difícil que los forks anteriores: las firmas ML-DSA-44 son de 2,420 bytes frente a 64 bytes para Schnorr, un aumento de 38x que rompe la economía de peso existente de SegWit de Bitcoin, los límites de pila de Script (máximo de 520 bytes) y las suposiciones de propagación de transacciones. Una sola firma ML-DSA-44 más la clave pública es varias veces más grande que un típico gasto P2WPKH de entrada única hoy. BIP-360 y QBIP existen como propuestas (geniales). Lamentablemente, ninguna tiene un cronograma de activación. La migración empresarial a PQC es mucho más fácil. Estas son organizaciones con autoridad ejecutiva para exigir cambios, equipos de seguridad dedicados y procesos de adquisición establecidos. Bitcoin no tiene ninguno de estos. La gobernanza de blockchain es estructuralmente más lenta que la gobernanza centralizada. El marco de "todo se actualiza junto" también ignora el problema de la clave expuesta de forma permanente. Cuando los bancos actualizan TLS, las sesiones antiguas no importan, fueron efímeras. Cuando Bitcoin se actualiza, los ~6.9 millones de BTC con claves públicas ya expuestas en el libro mayor inmutable siguen ahí. No puedes despublicar una clave pública de una blockchain. Esos coins necesitan ser movidos activamente por sus propietarios a nuevas direcciones seguras ante cuántica. Aproximadamente 1.72 millones de BTC en direcciones P2PK, incluyendo los estimados 1.1 millones de BTC de Satoshi, están probablemente expuestos de forma permanente porque las claves privadas se han perdido. No hay un equivalente bancario a esto. Los bancos no mantienen un registro público, permanente e inmutable de cada clave de autenticación de cliente durante 17 años. Afirmación 3: Los activos digitales tienen la seguridad criptográfica más avanzada; más que la banca, las tarjetas de crédito, las acciones, etc. Esto confunde la falta de confianza con la fuerza criptográfica. No son la misma propiedad. Bitcoin utiliza ECDSA sobre secp256k1. La conexión TLS de tu banco utiliza ECDHE sobre P-256 o X25519. Estas son la misma clase de primitiva criptográfica, esquemas de curva elíptica cuya seguridad se basa en la dificultad del problema del logaritmo discreto. El algoritmo de Shor rompe ambos de manera idéntica. Ninguno es "más avanzado" que el otro. Lo que difiere es lo que llamamos la arquitectura de defensa en profundidad alrededor de esa primitiva. Una transacción de tarjeta de crédito de pago por contacto implica: TLS con intercambio de claves efímeras, un chip EMV con claves vinculadas al hardware en un elemento seguro certificado, tokenización para que el comerciante nunca vea el número real de la tarjeta, rotación de claves basada en sesiones, detección de fraude, capacidad de reversión de transacciones y seguro regulatorio. Una transacción de Bitcoin implica: una firma ECDSA. Esa es toda la capa de autorización. No hay departamento de fraude, no hay reembolso, no hay capa de verificación de identidad que pueda distinguir a un propietario legítimo de un atacante cuántico que tenga la misma clave privada derivada. Una vez que una firma falsificada es aceptada por consenso, la transferencia es irreversible. Los sistemas que Saylor describe como menos seguros están, de hecho, ya implementando protecciones post-cuánticas que Bitcoin aún no ha comenzado. Pueden hacer esto porque son centralizados. La descentralización de Bitcoin, su propuesta de valor central, es precisamente lo que hace que su migración cuántica sea más difícil, más lenta y más tardía que cada sistema con el que lo comparó. Afirmación 4: La comunidad cripto será la primera en detectar la amenaza y actuar. Esto asume que un CRQC será anunciado públicamente. Los adversarios de los estados-nación no tienen ningún incentivo para divulgar una capacidad cuántica. Todo el valor de inteligencia de un CRQC es que nadie sabe que lo tienes. Cosechas en silencio, descifras en silencio, explotas en silencio. ¿Qué aspecto tendría "detectarlo" en Bitcoin? Un atacante cuántico no explota un error, elude un firewall o compromete un servidor. Producen firmas válidas indistinguibles de las del propietario legítimo, porque matemáticamente, tienen la misma clave. Si un atacante comienza a drenar direcciones P2PK, cada robo es una transacción correctamente firmada. No hay un sistema de detección de intrusiones para la blockchain de Bitcoin. Las transacciones son válidas o no lo son. Para cuando alguien nota un patrón a través de miles de UTXOs, el daño está hecho y es irreversible. Y el registro empírico contradice directamente la afirmación de "ser el primero en moverse". El estado actual de preparación: un BIP sin cronograma de activación, un debate en curso sobre si congelar los coins de Satoshi, y una superficie de exposición vulnerable a cuántica que solo está aumentando. La exposición está aumentando, no disminuyendo, porque la reutilización de direcciones continúa añadiendo más y más BTC al conjunto vulnerable. Mientras tanto, el resto de internet ya ha desplegado PQC a miles de millones de usuarios sin que nadie lo note. Dónde están las cosas en realidad Mantenemos la Lista de Riesgo de Bitcoin, un rastreador de código abierto y continuamente actualizado de Bitcoin vulnerable a cuántica a nivel de dirección. A partir de la altura de bloque 936,882 (febrero de 2026): aproximadamente 6.9 millones de BTC en 13.9 millones de direcciones tienen claves públicas expuestas. Solana es 100% vulnerable a cuántica ya que su estructura de dirección expone la clave pública completa. El análisis de Deloitte encontró que el 65% de Ethereum está en cuentas vulnerables a cuántica. El internet comenzó su transición post-cuántica en 2022. Los sistemas de seguridad nacional tienen un mandato de cumplimiento para 2027. NIST tiene como objetivo deprecar y prohibir todos los algoritmos de clave pública vulnerables a cuántica mucho antes de 2035. La industria de blockchain, que protege directamente el valor portador con las primitivas criptográficas exactas que una computadora cuántica rompe, tiene un BIP y un debate. La pregunta no es si la cuántica es una amenaza para los activos digitales. Es si la industria comenzará su migración antes de que se cierre la ventana. La brecha entre el ritmo de adopción de PQC de internet y el ritmo de la industria de blockchain no es una brecha en la conciencia. Es una brecha en la urgencia y, lo que es más importante, la brecha no se cierra afirmando que la amenaza no existe.