Threshold Cryptography

Q: ¿Qué diferencia hay entre threshold y multisig?

En multisig hay n claves completas y la lógica está en la blockchain (política visible, gas más caro). En threshold hay una única clave fragmentada ; los fragmentos colaboran para generar una firma única sin reconstruir la clave. La política es privada y el coste de gas es el de una transacción normal.

Q: ¿Qué protocolos threshold se usan hoy?

Los más comunes son GG18, GG20, CMP20, CGGMP21 y DKLS23 . CGGMP21 es el estándar actual por su seguridad (UC) y madurez. Para aplicaciones específicas, existen otros como CCLST (basado en class groups) y hinTS (de Hedera).

Q: ¿Es threshold cryptography seguro contra ordenadores cuánticos?

Los protocolos threshold actuales (basados en ECDSA) son vulnerables a ordenadores cuánticos , igual que la criptografía de curva elíptica estándar. Sin embargo, ya hay investigación en threshold post-cuántico , usando algoritmos basados en retículos o hash. La migración será necesaria cuando llegue el Q-Day .

⚡ Definición Rápida

La criptografía de umbral (threshold cryptography) es un conjunto de técnicas criptográficas que distribuyen una clave privada en múltiples fragmentos (shares) entre diferentes partes, de forma que se requiere un número mínimo (el umbral «t») de ellas para realizar una operación (firmar, descifrar), pero la clave completa nunca se reconstruye en un solo lugar.

Términos relacionados: MPC • secret network • multisig • cross chain • ECDSA

❓ ¿Qué es Threshold Cryptography y por qué ha revolucionado la custodia digital?

Imagina que la clave de tu caja fuerte más importante no existe como una llave física, sino que está dividida en fragmentos que tú, tu socio y tu asesor legal guardáis por separado. Para abrir la caja, al menos dos de vosotros debéis colaborar, pero ninguno puede reconstruir la llave completa por su cuenta. Y lo más importante: la llave completa nunca se junta en un mismo lugar, ni siquiera durante la apertura. Esto es, en esencia, lo que permite la criptografía de umbral .

El concepto no es nuevo: sus raíces se remontan a los años 80 con el trabajo pionero de Desmedt y Frankel . Sin embargo, ha sido en los últimos años, impulsado por el auge de las criptomonedas y la necesidad de custodiar activos digitales de forma segura, cuando la criptografía de umbral ha pasado de ser una curiosidad académica a una tecnología fundamental para la industria. Instituciones como el NIST (Instituto Nacional de Estándares y Tecnología de EE.UU.) lanzaron en 2020 un proyecto específico para estandarizar estas técnicas, reconociendo su potencial para eliminar los puntos únicos de fallo en sistemas criptográficos.

📖 Definición Técnica

La criptografía de umbral (threshold cryptography) es una rama de la criptografía que distribuye la capacidad de realizar una operación criptográfica (como firmar un mensaje o descifrar un dato) entre un conjunto de n participantes. Se define un parámetro t (el umbral) de forma que cualquier subconjunto de al menos t participantes puede llevar a cabo la operación, mientras que ningún subconjunto con menos de t participantes puede hacerlo ni obtener información sobre la clave secreta compartida.

A diferencia del multisig tradicional, donde existen n claves completas y la lógica está en el contrato, en threshold la clave privada nunca existe de forma completa: se genera de forma distribuida mediante un protocolo de Generación Distribuida de Claves (DKG) y solo existen fragmentos (shares).

⚙️ Cómo funciona: Los bloques de construcción

La criptografía de umbral se apoya en varias técnicas fundamentales que trabajan juntas:

Técnica	Función	Analogía
Compartición de Secretos (Secret Sharing)	Divide un secreto (la clave) en n fragmentos, de forma que t fragmentos pueden reconstruirlo. El esquema de Shamir es el más conocido.	Una receta secreta dividida en n partes; necesitas t de ellas para reconstruir la receta completa.
Generación Distribuida de Claves (DKG)	Permite que n partes generen conjuntamente un par de claves pública/privada, donde cada parte obtiene un fragmento de la privada, sin que ninguna conozca la clave completa.	Varias personas construyen juntas una caja fuerte, cada una con su propia combinación, sin que ninguna sepa la combinación maestra.
MtA (Multiplicative-to-Additive)	Protocolo central para threshold ECDSA. Convierte multiplicaciones secretas en sumas compartidas sin revelar los factores.	Dos personas quieren calcular el producto de sus números secretos, pero solo conocer la suma de los resultados parciales.
Cifrado Homomórfico (Paillier, Class Group)	Permite operar con datos cifrados. En threshold, se usa para que las partes puedan calcular sobre los fragmentos sin descifrarlos.	Una caja transparente donde puedes mezclar ingredientes sin abrirla, y al final obtienes el plato cocinado.
Pruebas de Conocimiento Cero (ZK-Proofs)	Permiten a las partes demostrar que están siguiendo el protocolo correctamente, sin revelar sus secretos.	Demostrar que has puesto tu parte de la receta sin enseñar el ingrediente.

🔬 Los protocolos de threshold: GG18, CGGMP21, DKLS23 y más

La investigación en threshold cryptography ha producido múltiples protocolos, cada uno con sus fortalezas y compensaciones. Esta tabla compara los más importantes, especialmente en el contexto de firmas ECDSA (las que usa Bitcoin y Ethereum):

Protocolo	Año	Tecnología Base	Seguridad	Rondas	Características
GG18	2018	Paillier + MtA	Modelo estándar	4	Pionero, ampliamente implementado, pero requiere múltiples ZK-proofs.
GG20	2020	Paillier + MtA mejorado	Modelo estándar	3	Mejora eficiencia y seguridad sobre GG18.
CMP20 / CGGMP21	2020/2021	Paillier + ZK-proofs avanzados	UC-seguro (Canetti)	4 (con presigning)	Estándar actual. UC-seguridad, aborts identificables, soporta presigning para fase online rápida.
CCLST (Class Group)	2021	Class Group (grupos de orden desconocido)	Modelo estándar	Más eficiente	Elimina necesidad de Paillier y muchos ZK-proofs. Menor consumo de ancho de banda.
DKLS23	2023	Oblivious Transfer (OT)	Modelo estándar	2 (presigning no interactivo)	Muy eficiente. Usa OT en lugar de homomórfico. Presigning no interactivo.
hinTS (Hedera)	2025	BLS + SNARKs recursivos	Modelo estándar	Constante	Diseñado para blockchains PoW/PoS. Firmas de tamaño constante y verificación eficiente.

La elección del protocolo depende del caso de uso. Para la mayoría de aplicaciones comerciales hoy, CGGMP21 se considera el estándar de referencia por su robusta seguridad (UC) y madurez.

🔐 Threshold vs. Multisig vs. Shamir: La batalla de los modelos de seguridad

Es fácil confundir threshold cryptography con otros conceptos similares. Aquí tienes la diferencia clave:

Característica	Custodia Simple	Multisig	Shamir Secret Sharing (SSS)	Threshold Cryptography (TSS)
¿Existe la clave completa?	Sí, en un solo lugar.	Sí, n claves completas.	Sí, pero fragmentada. Debe reconstruirse para usar.	Nunca existe. Solo fragmentos.
¿Dónde se genera la clave?	En un dispositivo.	Cada firmante genera su propia clave.	Un dealer genera y fragmenta.	Distribuida (DKG). Nadie la conoce completa.
¿Cómo se firma?	Con la clave única.	Cada firmante firma con su clave; se combinan on-chain.	Se reconstruye la clave en un lugar (punto vulnerable) y se firma.	Los fragmentos colaboran para generar una única firma sin reconstruir.
Privacidad de la política	N/A	Baja. La política y firmantes son visibles on-chain.	Alta. La política es privada.	Alta. La política es privada. La transacción final es única.
Costes (Gas)	Bajos	Altos (verificación múltiple on-chain).	Bajos (transacción normal).	Bajos (transacción normal).
Riesgo principal	Punto único de fallo.	Claves múltiples que gestionar. Política visible.	La reconstrucción es un punto vulnerable.	Complejidad de implementación.

🚀 Aplicaciones principales en 2026

1. Custodia institucional de criptoactivos

Es el caso de uso más maduro. Empresas como Fireblocks, Coinbase Custody, BitGo y Qredo utilizan protocolos threshold (principalmente CGGMP21 y variantes) para que sus clientes institucionales puedan gestionar miles de millones de dólares sin el riesgo de que una sola clave sea robada. La patente de Coinbase describe precisamente un sistema de firmas jerárquicas mediante threshold para operaciones seguras. Si quieres saber más sobre cómo se comparan las plataformas que ofrecen estos servicios, puedes leer nuestro análisis sobre Binance vs Coinbase y nuestra Comparativa de Wallets.

2. Wallets MPC para usuarios avanzados

Cada vez más wallets para usuarios finales están adoptando threshold cryptography. Por ejemplo, ZenGo (ahora parte de la familia Curve) usa umbral 2-de-2 sin frases semilla: un fragmento en tu dispositivo, otro en sus servidores. Tú puedes recuperar el acceso con autenticación biométrica. Es una experiencia de usuario mucho más amigable que las frases de 24 palabras, manteniendo alta seguridad. Aprende a proteger tu wallet con nuestra Guía de Seguridad Crypto.

3. Firmas de bloques en redes PoS (Hedera hinTS)

En abril de 2025, Hedera aprobó HIP-1200 (hinTS), un esquema de firma umbral diseñado específicamente para firmar bloques en su red. En lugar de que cada nodo firme individualmente (como en RSA), se genera una firma agregada de tamaño constante que representa el consenso de más de la mitad del peso de la red. Esto reduce drásticamente los costes de verificación y almacenamiento, y permite verificar bloques de forma eficiente incluso desde smart contracts en EVM. Es un ejemplo perfecto de cómo threshold cryptography mejora la escalabilidad de las blockchains.

4. Threshold FHE para privacidad en DeFi

La combinación de threshold con cifrado totalmente homomórfico (FHE) está abriendo nuevas posibilidades para la privacidad en blockchain. En lugar de que un solo validador tenga la clave para descifrar el estado, los fragmentos de clave se distribuyen entre múltiples validadores. Para descifrar un dato (por ejemplo, el saldo de una cuenta), se requiere un umbral de validadores. Esto permite tener blockchains privadas y transparentes a la vez: los datos están cifrados, pero se puede computar sobre ellos y descifrarlos solo cuando sea necesario y con el consenso adecuado. Proyectos como Fhenix, Zama y PSE están trabajando en estas implementaciones. Para entender mejor el ecosistema DeFi, consulta nuestra guía de ¿Qué es DeFi?

5. Umbral secuencial para usuarios individuales

Investigaciones recientes (IEEE, marzo 2025) proponen el concepto de threshold secuencial, diseñado para usuarios individuales que quieren proteger su clave sin necesidad de infraestructura de red compleja. En lugar de requerir comunicación simultánea entre partes, las operaciones se realizan de forma secuencial con dispositivos de almacenamiento offline. Esto podría permitir, por ejemplo, tener una clave fragmentada entre tu móvil, tu ordenador y una tarjeta SD en una caja fuerte, y poder firmar transacciones conectándolos uno tras otro, sin necesidad de que estén todos online a la vez.

✅ Ventajas clave de Threshold Cryptography

Eliminación del punto único de fallo: Un atacante necesita comprometer t de n dispositivos/servidores, en lugar de uno solo. La seguridad se vuelve distribuida.
La clave nunca se reconstruye: A diferencia de Shamir, donde la reconstrucción crea un punto vulnerable, en threshold la operación se realiza de forma distribuida. La clave completa nunca existe en ningún lugar .
Privacidad de la política: En multisig, cualquier observador puede ver quiénes son los firmantes y qué umbral se requiere. En threshold, la transacción final es indistinguible de una firma normal, ocultando la política de seguridad .
Eficiencia y compatibilidad: Las firmas threshold son compatibles con cualquier blockchain que soporte el algoritmo de firma estándar (ECDSA, EdDSA, BLS). No requieren soporte nativo de multisig y tienen el mismo coste de gas que una transacción normal.
Tolerancia a fallos y disponibilidad: Si un participante está offline o es comprometido, mientras haya al menos t disponibles, el sistema sigue funcionando.

⚠️ Desafíos y consideraciones

Complejidad de implementación: Los protocolos threshold son extremadamente complejos. Un error en la implementación (como los encontrados en versiones tempranas de GG18) puede ser catastrófico. Es crucial usar bibliotecas auditadas y protocolos estandarizados.
Rendimiento y latencia: Los protocolos threshold requieren múltiples rondas de comunicación entre las partes (típicamente 3-4 rondas). Esto introduce latencia, especialmente si las partes están en diferentes ubicaciones geográficas. No es ideal para trading de alta frecuencia.
Gestión de fragmentos (shares): Perder un fragmento no es como perder una frase semilla. La recuperación es más compleja y a menudo requiere la interacción con otros participantes o un proceso de re-sharing. La gestión de estos backups es crítica.
Dependencia del proveedor: En muchas soluciones comerciales (como wallets MPC gestionadas), el proveedor guarda uno de los fragmentos. Aunque no pueda robar fondos por sí mismo, puede convertirse en un punto de censura o un cuello de botella para la disponibilidad.
Estandarización en curso: Aunque NIST e IETF están trabajando en estándares, todavía no hay un estándar único y universalmente aceptado para todos los casos de uso.

🧠 Guía práctica: Cómo elegir y usar threshold cryptography

Para instituciones y custodios: Implementa protocolos probados como CGGMP21 con bibliotecas auditadas (existen implementaciones en Rust, C++, Go). Considera el uso de HSM (Hardware Security Modules) para proteger los fragmentos. La diversificación geográfica de los fragmentos es clave: distribúyelos en diferentes regiones y proveedores. Infórmate sobre los mejores exchanges que ya ofrecen estos servicios.
Para desarrolladores de wallets: Elige el protocolo según tu caso de uso. Si priorizas seguridad y madurez, CGGMP21. Si necesitas máxima eficiencia y menor latencia, explora DKLS23 (basado en OT). Aprovecha frameworks como Charm que ya tienen implementaciones reference. Diseña tu sistema con crypto-agility para poder actualizar el protocolo en el futuro.
Para usuarios avanzados: Valora el uso de wallets MPC como capa adicional de seguridad. Puedes configurar, por ejemplo, una wallet 2-de-3 con fragmentos en tu móvil, ordenador y un backup en una caja de seguridad. Es más seguro que una frase semilla única, pero requiere más planificación. Lee nuestro Tutorial de MetaMask y complementa con soluciones MPC.
Para el usuario medio: Las wallets MPC gestionadas por exchanges o custodios (como Coinbase) te dan una buena capa de seguridad sin complejidad. Recuerda la máxima: «not your keys, not your coins», pero entiende que en MPC la clave es compartida. Dependes del proveedor para la disponibilidad, pero no para la seguridad (si el protocolo está bien implementado).

🔮 El futuro: Threshold como estándar de seguridad

Estandarización NIST/IETF: Se espera que en los próximos años tengamos estándares finales para threshold schemes, lo que facilitará la adopción masiva y la interoperabilidad.
Threshold FHE para privacidad programable: La combinación de threshold con FHE permitirá contratos inteligentes privados y componibles, donde los datos están siempre cifrados y solo se descifran bajo consenso umbral.
Adaptive security: Las nuevas investigaciones se centran en protocolos seguros contra corrupción adaptativa (donde el atacante puede corromper participantes durante la ejecución, no solo al inicio). Esto ofrece un nivel de seguridad mucho más realista.
Threshold post-cuántico: Con la llegada de los ordenadores cuánticos, será necesario migrar los protocolos threshold a algoritmos resistentes a cuánticos (como los basados en retículos). Ya hay investigaciones en esta dirección.
Adopción en blockchain a nivel de protocolo: Redes como Hedera ya están integrando threshold para firmar bloques. Es probable que veamos propuestas similares en otras blockchains en el futuro, mejorando la escalabilidad y eficiencia.

🎯 Conclusión: La revolución silenciosa de la seguridad distribuida

La criptografía de umbral ha pasado de ser un concepto teórico a la columna vertebral de la seguridad en el mundo cripto. Es la tecnología que permite que instituciones custodien miles de millones sin un punto único de fallo, que usuarios disfruten de wallets sin frases semilla, y que blockchains firmen bloques de forma eficiente y escalable. Su capacidad para eliminar el «single point of failure» manteniendo la compatibilidad con los sistemas existentes la convierte en una herramienta indispensable.

Para el usuario final, entender threshold cryptography es entender por qué las soluciones de custodia actuales son más seguras que nunca. Para el desarrollador, es la oportunidad de construir sistemas más robustos y preparados para el futuro. Y para la industria, es el camino hacia un ecosistema donde la seguridad no depende de un eslabón débil, sino de la fortaleza colectiva de múltiples partes trabajando juntas. En un mundo digital donde los activos valen miles de millones, la criptografía de umbral no es solo una opción; es la nueva frontera de la confianza.

❓ Preguntas Frecuentes sobre Threshold Cryptography

¿Qué diferencia hay entre threshold y multisig?

En multisig hay n claves completas y la lógica está en la blockchain (política visible, gas más caro). En threshold hay una única clave fragmentada; los fragmentos colaboran para generar una firma única sin reconstruir la clave. La política es privada y el coste de gas es el de una transacción normal.

¿Qué protocolos threshold se usan hoy?

Los más comunes son GG18, GG20, CMP20, CGGMP21 y DKLS23. CGGMP21 es el estándar actual por su seguridad (UC) y madurez. Para aplicaciones específicas, existen otros como CCLST (basado en class groups) y hinTS (de Hedera).

¿Es threshold cryptography seguro contra ordenadores cuánticos?

Los protocolos threshold actuales (basados en ECDSA) son vulnerables a ordenadores cuánticos, igual que la criptografía de curva elíptica estándar. Sin embargo, ya hay investigación en threshold post-cuántico, usando algoritmos basados en retículos o hash. La migración será necesaria cuando llegue el Q-Day .

¿Puedo perder mis fondos si pierdo un fragmento en una wallet threshold?

Depende del umbral. Si tienes una configuración 2-de-3 y pierdes un fragmento, aún puedes firmar con los otros dos. Si pierdes demasiados (por debajo del umbral), no podrás firmar. Por eso es crucial tener backups seguros de los fragmentos y un plan de recuperación. Es más complejo que una frase semilla, pero también más seguro si se gestiona bien.

📚 ¿Quieres profundizar en seguridad y criptografía?

Amplía tus conocimientos con estas guías esenciales:

🔐 Guía de Seguridad Crypto – El punto de partida para proteger todos tus activos.

💰 Cómo proteger tu wallet de criptomonedas – Medidas prácticas, incluyendo el uso de soluciones threshold.

🤝 ¿Qué es MPC? – La tecnología hermana de threshold cryptography.

⚖️ ¿Qué es MiCA? – Entiende el marco regulatorio europeo que también afecta a la custodia.

📱 Tutorial de Ledger – Aprende a usar una wallet de hardware, que puede complementar soluciones threshold.

🚀 Herramientas para tu inversión

Simula y planifica tus inversiones con nuestras calculadoras:

📊 Simulador DCA – Ideal para estrategias de acumulación a largo plazo una vez que tus fondos están seguros.

🧮 Calculadora de Staking – Proyecta rendimientos de forma segura.

⚙️ Calculadora de Comisiones de Exchanges – Compara costes en las plataformas donde operas.

📋 ¿Por qué confiar en esta definición? Cada término de la Cryptopedia sigue una metodología de verificación con fuentes primarias, whitepapers y legislación oficial. Conoce nuestro proceso →

⚠️ Disclaimer: Este artículo es informativo y educativo. La criptografía de umbral es una tecnología compleja. Su implementación incorrecta puede introducir vulnerabilidades. Este contenido no constituye asesoramiento financiero ni de seguridad. Realiza siempre tu propia investigación (DYOR), utiliza bibliotecas auditadas y consulta con profesionales antes de implementar soluciones threshold para la custodia de activos.

📅 Actualizado: Marzo 2026
📖 Categoría: Infraestructura Blockchain / Criptografía y Privacidad

« Volver al Glosario