¡Cuidado! Ledger revela peligros secretos que la criptografía postcuántica no quiere que sepas

¿Sabías que la criptografía postcuántica, esa que supuestamente es súper segura contra las computadoras cuánticas, en realidad puede andar medio chueca si no se cuida bien el hardware? Ledger lo puso en evidencia el 29 de abril de 2026, mostrando que aunque no rompan el algoritmo, sí pueden sacar las claves privadas.

El truco está en algo que se llama ataques de canal lateral. Esto no es meterse a romper los códigos difíciles, sino es vigilar cómo el chip trabaja: cuánta energía usa o qué ondas emite mientras procesa info. Así, los malos pueden sacar data secreta sin tanto rollo.

El equipo Donjon de Ledger anduvo haciendo pruebas con un algoritmo postcuántico llamado ML-KEM (antes conocido como Kyber), que es de código abierto. Con unas 40 mediciones electromagnéticas, ¡pum!, lograron sacar partes de la clave secreta en menos de un minuto.

Para que te des una idea, ML-KEM es un estándar nuevo que se diseñó para proteger las claves aunque existan computadoras cuánticas bravas. Pero el experimento mostró que aunque el algoritmo sea chido, la forma en la que se usa en el hardware puede dar información sin querer.

Esto significa que cosas como las hardware wallets, tarjetas inteligentes, dispositivos IoT o hasta tu teléfono pueden estar en riesgo si alguien con equipo especial tiene acceso físico al dispositivo. La seguridad no solo depende del código, sino de cómo se implementa en el aparato.

¿Y qué hacer? Ledger dice que hay que ponerse las pilas con contramedidas como el “masking” (que divide la clave en partes locas), el “shuffling” (que cambia el orden de las cosas) y la desincronización (que mete tiempos aleatorios para confundir). Todo para que no sea tan fácil conectar las señales del chip con los datos secretos.

En resumen: no basta con usar algoritmos que digan “soy a prueba de cuánticas”. Hay que cuidar todo el paquete, incluyendo el hardware, para que la info no salga volando por ahí. Así que, si eres usuario o empresa, ojo con en qué dispositivo y bajo qué condiciones pones tu criptografía, porque ahí está la clave.