Volver
Kevin Riedl

12 min de lectura · 5 Jul 2026

Siguiente

Pruebas de Conocimiento Cero en 2026: Qué Está Realmente Listo para Producción

En 2024, probar un bloque de Ethereum llevaba minutos y un datacenter. A finales de 2025, llevaba segundos en hardware que cabe debajo de un escritorio. Ese colapso de aproximadamente 45x en el coste de proving es la razón por la que las pruebas de conocimiento cero pasaron en silencio de las conferencias de criptografía a Google Wallet y a la regulación de identidad de la UE. Este post es el estado del campo para arquitectos: sobre qué zkVMs es seguro construir, qué cuesta de verdad el proving, qué funciona en un teléfono, y dónde están enterrados los muertos de seguridad. Se complementa con nuestra guía pragmática para construir con ZK y FHE, que cubre cuándo usar algo de esto en absoluto.

Perspectiva de ingeniería, no un pitch de proveedor. Los benchmarks de vendor están etiquetados como tales, y las cifras que no pudimos confirmar de forma independiente van con reservas. Los puntos de referencia vienen del trabajo de Wavect en zero-knowledge y web3.

¿Dimensionando una feature o auditoría ZK?

 Reserva Consultoría Gratuita

¿Qué cambió entre 2024 y 2026?

Tres desplazamientos, y cada uno cambia lo que deberías construir:

  • Las zkVMs reemplazaron los circuitos escritos a mano. Ahora escribes Rust normal, lo compilas a un target RISC-V, y la zkVM produce una prueba de que el programa se ejecutó correctamente. La era de los DSL de circuitos, con sus meses de trabajo especialista por feature, se está acabando para los casos de uso de propósito general.
  • El proving se abarató aproximadamente 45x en un año. La Ethereum Foundation fijó objetivos concretos de proving en tiempo real en julio de 2025: menos de 10 segundos para el 99 por ciento de los bloques de mainnet, en un rig de como máximo 100.000 dólares, consumiendo como máximo 10 kilovatios, con pruebas por debajo de 300 KiB y sin trusted setup (Ethereum Foundation, julio 2025). Para finales de 2025, varios equipos cumplían esos objetivos, y el coste medio de probar un bloque en el tracker público ethproofs cayó de 1,69 dólares en enero a menos de 4 céntimos en diciembre (ethproofs.org).
  • Las big tech lanzaron identidad ZK. Google Wallet verifica "mayor de 18" con una prueba de conocimiento cero y liberó como open source la librería subyacente Longfellow en julio de 2025 (google/longfellow-zk). Es la señal más clara hasta ahora de que ZK salió del nicho blockchain.

¿Sobre qué zkVM deberías construir?

La zkVM es el punto de entrada pragmático para la mayoría de los equipos: entra Rust normal, sale una prueba. El campo a mediados de 2026:

zkVMRespaldoResultado destacado 2025/26Estado de producción
SP1 (Hypercube)SuccinctEl 99,7 por ciento de los bloques de Ethereum probados en menos de 12 segundos en 16 GPUs RTX 5090 (Succinct, nov 2025)Producción, en vivo en infraestructura de mainnet
RISC ZeroRISC ZeroProving en GPU maduro, escalado elegante en benchmarks independientesProducción, impulsa coprocesadores en vivo
OpenVMAxiom y comunidadDiseño modular sin CPU; adoptado por la L2 ScrollProducción dentro de su ecosistema
AirbenderMatter Labs (ZKsync)Los resultados más rápidos con una sola GPU en el leaderboard de ethproofs, probando bloques de Ethereum en bastante menos de un minuto en una H100Producción dentro de ZKsync
Jolta16z cryptoMás de 1M de ciclos RISC-V por segundo en una CPU de 32 núcleos y pruebas de unos 50 KB tras la mejora Twist and Shout (a16z crypto, 2025)Prometedor, en fase más temprana
Pico, Nexus, zkWASMVariosDiseños modulares o centrados en WASM; Pico reporta aceleraciones de 10x a 20x en GPU sobre su propia base de CPUFase más temprana o nicho

Nuestra recomendación por defecto es aburrida: SP1 o RISC Zero, porque ambas han sobrevivido a benchmarking independiente, a trabajo de verificación formal sobre sus sistemas de constraints y a uso adversarial real. Un benchmark independiente de ocho zkVMs de Fenbushi Capital en agosto de 2025 encontró que estas dos, junto con OpenVM, ofrecían el rendimiento global más robusto, con sus provers de GPU mostrando un uso de memoria casi constante mientras que en varias zkVMs más jóvenes el tiempo de proving y la memoria se disparaban con el tamaño del input (Fenbushi Capital). Elige los sistemas más nuevos solo si su ventaja específica (coste en una sola GPU, tamaño de prueba, soporte WASM) es tu cuello de botella.

¿Cómo de rápido y barato es el proving, en realidad?

Las cifras que importan para una decisión de construcción:

  • Latencia: el proving en tiempo real de bloques de Ethereum (10 a 12 segundos para bloques con cientos de transacciones) está demostrado en rigs de 16 GPUs de consumo. Los programas más pequeños se prueban en segundos en una sola GPU.
  • Coste: alrededor de 4 céntimos de dólar por prueba de bloque de Ethereum de media en el leaderboard de ethproofs a finales de 2025, una caída de 45x en un año. Para una prueba de tamaño aplicación, piensa en fracciones de céntimo a escala. La verificación es de tiempo constante y prácticamente gratis, que es todo el argumento económico: probar una vez, verificar en todas partes.
  • Tamaño de prueba: los sistemas modernos basados en STARK envuelven sus pruebas en una prueba final Groth16 o PLONK para verificación barata on-chain o en dispositivo, quedando en el rango de decenas de KB a menos de un KB. Una advertencia: ese envoltorio final reintroduce criptografía basada en pairings, así que si la resistencia post-cuántica es un requisito, quédate con el STARK crudo basado en hashes y acepta la prueba más grande.

Lo que esto significa fuera de crypto: cualquier computación batch cuya corrección deba confiar un tercero (una liquidación, un cálculo de compliance, una inferencia de ML) puede llevar ahora una prueba por céntimos. La objeción de coste a ZK está en gran medida muerta para el proving del lado del servidor.

Kevin Riedl

"El colapso de coste de 45x en un año significa que la pregunta cambió de 'podemos permitirnos probar esto' a 'qué merece la pena probar'."

¿Puedes probar cosas en un teléfono o en un navegador?

Sí, con límites, y aquí es donde viven los productos no-crypto más interesantes:

  • Proving móvil. El toolkit Mopro envuelve provers de Circom, Halo2 y Noir para iOS y Android, y el proving móvil nativo corre hasta 10x más rápido que el mismo prover en un navegador vía WASM (zkmopro.org). Las pruebas sobre documentos de identidad, contenidos de email y credenciales pequeñas son prácticas en un teléfono de gama media en segundos.
  • zkEmail. Probar hechos sobre un email firmado con DKIM ("esta dirección recibió una carta de despido del empleador X") sin revelar el email. Potente, pero atención a la sección de seguridad de abajo: su componente de regex tuvo once bugs de constraints confirmados encontrados por fuzzing en 2025.
  • zkTLS. Probar hechos sobre cualquier sesión HTTPS, convirtiendo cada sitio web en una fuente de datos verificable sin la cooperación del sitio. Compiten dos arquitecturas: la basada en MPC (el linaje de TLSNotary, llevado a producción por Pluto, y Opacity con seguridad respaldada por slashing) frente a la basada en proxy (Reclaim Protocol, más rápida pero con un modelo de confianza más débil) (tlsnotary.org). Elige la basada en MPC cuando el hecho probado tenga valor adversarial; la basada en proxy cuando pesen más la velocidad y la cobertura.
  • Pasaportes ZK y prueba de persona. Self, Rarimo y Anon Aadhaar prueban edad, nacionalidad o unicidad a partir de documentos gubernamentales vía chips NFC o códigos QR firmados. World ID tiene millones de usuarios verificados sobre pruebas basadas en Semaphore. Esta categoría pasó de demo a apps desplegadas en unos 18 meses.

¿Dónde está ganando ZK fuera de crypto?

En identidad, y el timing es regulatorio. Cada estado miembro de la UE debe ofrecer una European Digital Identity Wallet para finales de 2026 bajo eIDAS 2.0, y el marco favorece explícitamente la revelación selectiva. Google apuntó su librería ZK Longfellow, liberada como open source, directamente a esto, con la verificación de edad como primer caso de uso (Google, julio 2025).

Un gotcha pragmático que la mayoría de la cobertura pasa por alto: el marco de referencia de arquitectura actual de la wallet de la UE exige formatos de credencial de hash con sal (ISO mdoc y SD-JWT VC), que ofrecen revelación selectiva pero como mucho una desvinculabilidad limitada, y los esquemas criptográficos que lo arreglarían (firmas de la familia BBS, credenciales basadas en ZK-SNARK) aún no están aprobados por SOG-IS, el organismo de evaluación criptográfica de la UE. Eso los excluye por ahora de los despliegues del sector público y los confina a pilotos del sector privado (documentado en ETSI TR 119 476). Si construyes productos adyacentes a EUDI, diseña para que el formato de credencial pueda cambiarse cuando llegue la aprobación. Para el panorama más amplio de aplicaciones no-crypto, mira nuestro post anterior sobre casos de uso de ZK fuera de crypto.

¿Es real ya el zkML?

La mitad sí. Divide el término:

  • Prueba de inferencia ("este modelo exacto produjo este output") se acerca a lo práctico para modelos pequeños y medianos. DeepProve de Lagrange reporta probar una inferencia completa de clase GPT-2 (124M de parámetros) y afirma aceleraciones de un orden de magnitud sobre la base previa de EZKL, con el framework ahora open source (Lagrange, benchmark de vendor). Trata las cifras de vendor con cuidado, pero la trayectoria es inequívoca.
  • Inferencia privada vía ZK (ocultar el input mientras se prueba la computación) sigue siendo nicho y cara. Si la privacidad del input es el objetivo, FHE o una GPU confidencial suele ser la mejor herramienta; cubrimos ese trade-off en el post de FHE y en el framework de decisión.

El zkML de modelos frontier (probar una inferencia de clase Llama) sigue siendo investigación. Quien te lo venda hoy como producción te está vendiendo un roadmap.

¿Qué lenguaje y toolchain deberías elegir?

HerramientaQué esElígela cuando
zkVM de Rust (SP1, RISC Zero)Rust normal, sin DSL de circuitosComputación general, el camino más rápido a producción, equipo sin especialistas ZK
NoirLenguaje de circuitos estilo Rust, agnóstico de backendCircuitos a medida con la mejor experiencia de desarrollo actual; pruebas más pequeñas que una zkVM para lógica moldeada a mano
CircomLenguaje de constraints de bajo nivelSolo con presupuesto de auditoría fuerte; el más curtido en batalla, también la fuente histórica de la mayoría de los bugs de soundness
CairoEl lenguaje nativo de StarknetEstás construyendo en Starknet; el pipeline de prover compartido más endurecido en producción
o1jsCircuitos en TypeScript (Mina)Equipos JS-nativos dentro del ecosistema Mina

El default honesto para un equipo de producto en 2026: una zkVM de Rust para todo lo general, Noir cuando el tamaño de la prueba o el proving en el cliente obliguen a un circuito a medida. El sobrecoste de proving de una zkVM frente a un circuito afinado a mano es real, pero los costes de proving cayeron lo suficiente como para que el tiempo de ingeniería domine ahora la ecuación en la mayoría de las aplicaciones.

¿Qué se rompe? Los modos de fallo de seguridad.

  • Los circuitos con restricciones insuficientes son la clase de bug dominante. Una constraint que falta significa que el verificador acepta pruebas de afirmaciones falsas, en silencio. La herramienta de investigación zkFuzz encontró 85 bugs, incluidos 59 zero-days con 39 confirmados por los desarrolladores, en 452 circuitos públicos (arXiv 2504.11961). Presupuesta tanto una auditoría como fuzzing; atrapan bugs distintos.
  • Las auditorías son necesarias, no suficientes. RISC Zero pagó un bounty de 50.000 dólares por un bug de soundness encontrado después de auditorías previas. ChainLight encontró un bug de soundness en el ZK-EVM de producción de zkSync Era en 2023. La lección no es "estos equipos son descuidados", están entre los mejores del campo. Es que los bugs de soundness de ZK son singularmente difíciles de ver y singularmente catastróficos, así que la garantía por capas (auditoría, fuzzing, verificación formal, bounty) es ahora la norma.
  • Evita los trusted setups por aplicación. Los primeros exploits ZK documentados en circulación atacaron circuitos con trusted setups de Groth16 mal gestionados, no la matemática de las pruebas (zkSecurity, 2025). Los sistemas transparentes de la familia STARK hacen innecesaria toda la ceremonia, que es una de las razones por las que la spec de proving en tiempo real de la Ethereum Foundation directamente prohíbe los trusted setups.

Preguntas frecuentes

¿Qué es una zkVM y por qué importa?
Una zkVM ejecuta programas normales, habitualmente compilados de Rust a RISC-V, y genera una prueba criptográfica de que la ejecución fue correcta. Importa porque elimina la necesidad de escribir circuitos a mano en un lenguaje especialista, lo que reduce el desarrollo ZK de meses de trabajo experto a algo que un equipo fuerte de Rust puede lanzar.
¿Cuánto cuesta generar una prueba ZK en 2026?
Probar un bloque completo de Ethereum promediaba menos de 4 céntimos de dólar a finales de 2025 en el tracker ethproofs, desde 1,69 dólares en enero de 2025. Las pruebas a escala de aplicación cuestan fracciones de céntimo a volumen. El proving en tiempo real de computaciones grandes necesita hardware de GPU de decenas de miles de dólares, mientras que la verificación es prácticamente gratis en todas partes.
SP1 vs RISC Zero: ¿cuál deberíamos elegir?
Ambas son de grado de producción y las elecciones más seguras del campo. SP1 está entre los líderes en velocidad bruta de proving para workloads grandes, mientras que RISC Zero tiene el historial de producción más largo y un tooling sólido. Para la mayoría de los equipos, los factores decisivos son el encaje de ecosistema y el precio de la infraestructura de proving, no la criptografía.
¿Son las pruebas de conocimiento cero seguras frente a la computación cuántica?
Las pruebas STARK basadas en hashes se apoyan en primitivas simétricas y se consideran resilientes post-cuánticas. Sin embargo, la mayoría de los sistemas de producción envuelven la prueba final en Groth16 o PLONK para verificación barata, y ese envoltorio usa criptografía basada en pairings que no es post-cuántica. Si lo post-cuántico importa para tu modelo de amenazas, verifica el STARK crudo y acepta pruebas más grandes.
¿Seguimos necesitando un trusted setup?
Normalmente no. Los sistemas de la familia STARK y las zkVMs modernas son transparentes, es decir, no requieren ceremonia. Los trusted setups sobreviven principalmente en el paso final de envoltura con Groth16, que usa una única ceremonia bien escrutada para un circuito envolvente fijo, reutilizada en todos los programas, en lugar de una arriesgada por aplicación.

Reflexiones finales

ZK en 2026 se divide limpiamente en dos mundos. El proving del lado del servidor es un problema de coste resuelto: las zkVMs permiten a equipos normales de Rust probar computación arbitraria por céntimos, con el proving de Ethereum en tiempo real como el benchmark público que arrastró todo el stack hacia delante. El ZK del lado del cliente es más joven pero ya se lanza, con el proving móvil, zkTLS y la identidad ZK aterrizando en productos reales, y la regulación de identidad digital de la UE a punto de convertir la revelación selectiva en un requisito mainstream.

La disciplina que separa los productos ZK lanzados de los postmortems no ha cambiado: elige tooling endurecido en producción (SP1, RISC Zero, Noir), rechaza los trusted setups por aplicación, y trata las auditorías de circuito más el fuzzing como un coste fijo del negocio. La matemática está lista. La cultura de ingeniería a su alrededor es lo que en realidad estás eligiendo.

¿Necesitas otro par de ojos sobre una arquitectura o un circuito ZK?

 Reserva Consultoría Gratuita
Volver
Kevin Riedl

12 min de lectura · 5 Jul 2026

Siguiente