Saltar al contenido principal

Navegando el panorama de la tecnología de privacidad: FHE, ZK y TEE en blockchain

· 12 min de lectura
Dora Noda
Dora Noda
Software Engineer

Cuando Zama se convirtió en el primer unicornio de cifrado totalmente homomórfico en junio de 2025—valorado en más de $ 1.000 millones—señaló algo más grande que el éxito de una sola empresa. La industria del blockchain finalmente había aceptado una verdad fundamental: la privacidad no es opcional, es infraestructura.

Pero esta es la incómoda realidad a la que se enfrentan los desarrolladores: no existe una única "mejor" tecnología de privacidad. El Cifrado Totalmente Homomórfico (FHE), las Pruebas de Conocimiento Cero (ZK) y los Entornos de Ejecución Confiables (TEE) resuelven problemas diferentes con distintas compensaciones. Elegir incorrectamente no solo afecta el rendimiento; puede comprometer fundamentalmente lo que estás intentando construir.

Esta guía desglosa cuándo usar cada tecnología, a qué estás renunciando realmente y por qué el futuro probablemente involucre a las tres trabajando en conjunto.

El panorama de las tecnologías de privacidad en 2026

El mercado de la privacidad en blockchain ha evolucionado desde la experimentación de nicho hasta convertirse en una infraestructura seria. Los rollups basados en ZK ahora aseguran más de $ 28.000 millones en Valor Total Bloqueado (TVL). Se proyecta que el mercado de KYC basado en Conocimiento Cero crecerá de $ 83,6 millones en 2025 a $ 903,5 millones para 2032—una tasa de crecimiento anual compuesta del 40,5%.

Pero el tamaño del mercado no te ayuda a elegir una tecnología. Comprender qué hace realmente cada enfoque es el punto de partida.

Pruebas de Conocimiento Cero: demostrar sin revelar

Las pruebas ZK permiten que una parte demuestre que una afirmación es verdadera sin revelar ninguna información sobre el contenido en sí. Puedes demostrar que eres mayor de 18 años sin revelar tu fecha de nacimiento, o demostrar que una transacción es válida sin exponer el monto.

Cómo funciona: El probador genera una prueba criptográfica de que un cálculo se realizó correctamente. El verificador puede comprobar esta prueba rápidamente sin volver a ejecutar el cálculo ni ver los datos subyacentes.

El inconveniente: ZK destaca al demostrar cosas sobre datos que ya posees. Tiene dificultades con el estado compartido. Puedes demostrar que tu saldo es suficiente para una transacción, pero no puedes hacer preguntas fácilmente como "¿cuántos casos de fraude ocurrieron en toda la cadena?" o "¿quién ganó esta subasta de oferta cerrada?" sin infraestructura adicional.

Proyectos destacados: Aztec permite contratos inteligentes híbridos públicos/privados donde los usuarios eligen si las transacciones son visibles. zkSync se centra principalmente en la escalabilidad con "Prividiums" orientados a empresas para la privacidad permisionada. Railgun y Nocturne proporcionan pools de transacciones blindadas (shielded).

Cifrado Totalmente Homomórfico: computación sobre datos cifrados

FHE a menudo se denomina el "santo grial" del cifrado porque permite realizar cálculos sobre datos cifrados sin tener que descifrarlos nunca. Los datos permanecen cifrados durante el procesamiento y los resultados permanecen cifrados; solo la parte autorizada puede descifrar el resultado.

Cómo funciona: Las operaciones matemáticas se realizan directamente sobre los criptogramas. La suma y la multiplicación de valores cifrados producen resultados cifrados que, al descifrarse, coinciden con lo que obtendrías al operar sobre texto plano.

El inconveniente: La sobrecarga computacional es masiva. Incluso con optimizaciones recientes, los contratos inteligentes basados en FHE en Inco Network alcanzan solo de 10 a 30 TPS dependiendo del hardware—órdenes de magnitud más lentos que la ejecución en texto plano.

Proyectos destacados: Zama proporciona la infraestructura fundamental con FHEVM (su EVM totalmente homomórfico). Fhenix construye soluciones de capa de aplicación utilizando la tecnología de Zama, habiendo desplegado el coprocesador CoFHE en Arbitrum con velocidades de descifrado hasta 50 veces más rápidas que los enfoques de la competencia.

Entornos de Ejecución Confiables: aislamiento basado en hardware

Los TEE crean enclaves seguros dentro de los procesadores donde los cálculos ocurren de forma aislada. Los datos dentro del enclave permanecen protegidos incluso si el sistema en general se ve comprometido. A diferencia de los enfoques criptográficos, los TEE dependen del hardware en lugar de la complejidad matemática.

Cómo funciona: El hardware especializado (Intel SGX, AMD SEV) crea regiones de memoria aisladas. El código y los datos dentro del enclave están cifrados y son inaccesibles para el sistema operativo, el hipervisor u otros procesos—incluso con acceso de superusuario (root).

El inconveniente: Estás confiando en los fabricantes de hardware. Cualquier enclave comprometido puede filtrar texto plano, independientemente de cuántos nodos participen. En 2022, una vulnerabilidad crítica de SGX obligó a actualizaciones de claves coordinadas en toda la Secret Network, demostrando la complejidad operativa de la seguridad dependiente del hardware.

Proyectos destacados: Secret Network fue pionera en contratos inteligentes privados utilizando Intel SGX. Sapphire de Oasis Network es la primera EVM confidencial en producción, procesando hasta 10.000 TPS. Phala Network opera más de 1.000 nodos TEE para cargas de trabajo de IA confidenciales.

La matriz de compensaciones: rendimiento, seguridad y confianza

Comprender las compensaciones fundamentales ayuda a emparejar la tecnología con el caso de uso.

Rendimiento

TecnologíaCapacidad de procesamientoLatenciaCosto
TEECasi nativo (10.000+ TPS)BajaBajo costo operativo
ZKModerado (varía según la implementación)Mayor (generación de pruebas)Medio
FHEBaja (10-30 TPS actualmente)AltaCosto operativo muy alto

Los TEE ganan en rendimiento bruto porque esencialmente ejecutan código nativo en memoria protegida. ZK introduce una sobrecarga en la generación de pruebas, pero la verificación es rápida. El FHE requiere actualmente un cálculo intensivo que limita la capacidad de procesamiento práctica.

Modelo de Seguridad

TecnologíaSuposición de ConfianzaPost-cuánticoModo de Fallo
TEEFabricante de hardwareNo resistenteEl compromiso de un solo enclave expone todos los datos
ZKCriptográfico (a menudo trusted setup)Varía según el esquemaLos errores en el sistema de pruebas pueden ser invisibles
FHECriptográfico (basado en redes)ResistenteComputacionalmente intensivo de explotar

Los TEE requieren confiar en Intel, AMD o quienquiera que fabrique el hardware — además de confiar en que no existan vulnerabilidades de firmware. Los sistemas ZK a menudo requieren ceremonias de "configuración de confianza" (trusted setup), aunque los esquemas más nuevos eliminan esto. Se cree que la criptografía basada en redes de FHE es resistente a la computación cuántica, lo que la convierte en la apuesta de seguridad a largo plazo más sólida.

Programabilidad

TecnologíaComponibilidadPrivacidad del EstadoFlexibilidad
TEEAltaTotalLimitada por la disponibilidad de hardware
ZKLimitadaLocal (lado del cliente)Alta para verificación
FHETotalGlobalLimitada por el rendimiento

ZK destaca en la privacidad local — protegiendo sus entradas — pero tiene dificultades con el estado compartido entre usuarios. FHE mantiene una componibilidad total porque cualquier persona puede realizar computaciones sobre el estado cifrado sin revelar el contenido. Los TEE ofrecen una alta programabilidad, pero están limitados a entornos con hardware compatible.

Elección de la Tecnología Adecuada: Análisis de Casos de Uso

Diferentes aplicaciones exigen diferentes compensaciones. Así es como los proyectos líderes están tomando estas decisiones.

DeFi: Protección MEV y Trading Privado

Desafío: El front-running y los ataques de sándwich extraen miles de millones de los usuarios de DeFi al explotar mempools visibles.

Solución FHE: La blockchain confidencial de Zama permite transacciones donde los parámetros permanecen cifrados hasta su inclusión en el bloque. El front-running se vuelve matemáticamente imposible — no hay datos visibles para explotar. El lanzamiento de la red principal en diciembre de 2025 incluyó la primera transferencia de stablecoin confidencial utilizando cUSDT.

Solución TEE: Sapphire de Oasis Network permite contratos inteligentes confidenciales para dark pools y coincidencia de órdenes privada. La menor latencia lo hace adecuado para escenarios de trading de alta frecuencia donde la sobrecarga computacional de FHE es prohibitiva.

Cuándo elegir: FHE para aplicaciones que requieren las garantías criptográficas más sólidas y privacidad de estado global. TEE cuando los requisitos de rendimiento superan lo que FHE puede ofrecer y la confianza en el hardware es aceptable.

Identidad y Credenciales: KYC que Preserva la Privacidad

Desafío: Demostrar atributos de identidad (edad, ciudadanía, acreditación) sin exponer documentos.

Solución ZK: Las credenciales de conocimiento cero permiten a los usuarios demostrar que han "pasado el KYC" sin revelar los documentos subyacentes. Esto satisface los requisitos de cumplimiento mientras protege la privacidad del usuario — un equilibrio crítico a medida que se intensifica la presión regulatoria.

Por qué gana ZK aquí: La verificación de identidad se trata fundamentalmente de demostrar afirmaciones sobre datos personales. ZK está diseñado específicamente para esto: pruebas compactas que verifican sin revelar. La verificación es lo suficientemente rápida para su uso en tiempo real.

IA Confidencial y Computación Sensible

Desafío: Procesar datos sensibles (atención médica, modelos financieros) sin exposición a los operadores.

Solución TEE: La nube basada en TEE de Phala Network procesa consultas de LLM sin acceso de la plataforma a las entradas. Con el soporte de GPU TEE (NVIDIA H100/H200), las cargas de trabajo de IA confidencial se ejecutan a velocidades prácticas.

Potencial de FHE: A medida que mejora el rendimiento, FHE permite la computación donde incluso el operador del hardware no puede acceder a los datos — eliminando por completo la suposición de confianza. Las limitaciones actuales restringen esto a computaciones más simples.

Enfoque híbrido: Ejecutar el procesamiento de datos inicial en TEE para obtener velocidad, usar FHE para las operaciones más sensibles y generar pruebas ZK para verificar los resultados.

La Realidad de las Vulnerabilidades

Cada tecnología ha fallado en producción — comprender los modos de fallo es esencial.

Fallos de TEE

En 2022, vulnerabilidades críticas de SGX afectaron a múltiples proyectos de blockchain. Secret Network, Phala, Crust e IntegriTEE requirieron parches coordinados. Oasis sobrevivió porque sus sistemas principales se ejecutan en la versión anterior SGX v1 (no afectada) y no dependen del secreto del enclave para la seguridad de los fondos.

Lección: La seguridad de TEE depende del hardware que usted no controla. La defensa en profundidad (rotación de claves, criptografía de umbral, suposiciones mínimas de confianza) es obligatoria.

Fallos de ZK

El 16 de abril de 2025, Solana parcheó una vulnerabilidad de día cero en su función de Transferencias Confidenciales. El error podría haber permitido la emisión ilimitada de tokens. El aspecto peligroso de los fallos de ZK: cuando las pruebas fallan, fallan de forma invisible. No se puede ver lo que no debería estar allí.

Lección: Los sistemas ZK requieren una verificación formal y auditorías exhaustivas. La complejidad de los sistemas de pruebas crea una superficie de ataque difícil de razonar.

Consideraciones de FHE

FHE no ha experimentado fallos de producción importantes — en gran medida porque se encuentra en una fase temprana de despliegue. El perfil de riesgo difiere: FHE es computacionalmente intensivo de atacar, pero los errores de implementación en bibliotecas criptográficas complejas podrían permitir vulnerabilidades sutiles.

Lección: Una tecnología más nueva significa menos pruebas de batalla. Las garantías criptográficas son sólidas, pero la capa de implementación necesita un escrutinio continuo.

Arquitecturas híbridas: el futuro no es excluyente

Los sistemas de privacidad más sofisticados combinan múltiples tecnologías, utilizando cada una donde mejor se desempeña.

Integración de ZK + FHE

Los estados de los usuarios (saldos, preferencias) se almacenan con cifrado FHE. Las pruebas ZK verifican transiciones de estado válidas sin exponer los valores cifrados. Esto permite la ejecución privada dentro de entornos L2 escalables, combinando la privacidad del estado global de FHE con la verificación eficiente de ZK.

Combinación de TEE + ZK

Los TEE procesan computaciones sensibles a una velocidad cercana a la nativa. Las pruebas ZK verifican que las salidas de los TEE sean correctas, eliminando la suposición de confianza en un solo operador. Si el TEE se ve comprometido, las salidas no válidas fallarían la verificación ZK.

Cuándo usar cada una

Un marco de decisión práctico:

Elija TEE cuando:

  • El rendimiento sea crítico (trading de alta frecuencia, aplicaciones en tiempo real)
  • La confianza en el hardware sea aceptable para su modelo de amenazas
  • Necesite procesar grandes volúmenes de datos rápidamente

Elija ZK cuando:

  • Esté probando declaraciones sobre datos en posesión del cliente
  • La verificación deba ser rápida y de bajo costo
  • No necesite privacidad del estado global

Elija FHE cuando:

  • El estado global deba permanecer cifrado
  • Se requiera seguridad post-cuántica
  • La complejidad de la computación sea aceptable para su caso de uso

Elija un modelo híbrido cuando:

  • Diferentes componentes tengan diferentes requisitos de seguridad
  • Necesite equilibrar el rendimiento con las garantías de seguridad
  • El cumplimiento normativo requiera una privacidad demostrable

Qué viene después

Vitalik Buterin impulsó recientemente el uso de "ratios de eficiencia" estandarizados, comparando el tiempo de computación criptográfica con la ejecución en texto plano. Esto refleja la maduración de la industria: estamos pasando del "¿funciona?" al "¿qué tan eficientemente funciona?".

El rendimiento de FHE sigue mejorando. La mainnet de Zama en diciembre de 2025 demuestra la preparación para producción de contratos inteligentes simples. A medida que se desarrolla la aceleración de hardware (optimización de GPU, ASICs personalizados), la brecha de rendimiento con los TEE se reducirá.

Los sistemas ZK se están volviendo más expresivos. El lenguaje Noir de Aztec permite una lógica privada compleja que habría sido poco práctica hace años. Los estándares están convergiendo lentamente, permitiendo la verificación de credenciales ZK entre distintas cadenas.

La diversidad de TEE se está expandiendo más allá de Intel SGX. Las implementaciones de AMD SEV, ARM TrustZone y RISC-V reducen la dependencia de un solo fabricante. La criptografía de umbral a través de múltiples proveedores de TEE podría abordar la preocupación del punto único de falla.

La construcción de la infraestructura de privacidad está ocurriendo ahora. Para los desarrolladores que crean aplicaciones sensibles a la privacidad, la elección no se trata de encontrar la tecnología perfecta, sino de comprender los compromisos lo suficientemente bien como para combinarlos de manera inteligente.

¿Está creando aplicaciones que preservan la privacidad en blockchain? BlockEden.xyz ofrece endpoints RPC de alto rendimiento en más de 30 redes, incluidas las cadenas centradas en la privacidad. Explore nuestro mercado de APIs para acceder a la infraestructura que sus aplicaciones confidenciales necesitan.

Share on Twitter