El criptógrafo D. J. Bernstein, autor del blog cr.yp.to, desmonta punto por punto un párrafo aparecido el 29 de junio de 2026 que justificaba el uso exclusivo de ML-KEM (estándar post-cuántico del NIST) en lugar de una solución híbrida con ECC. Bernstein identifica tres reducciones del alcance del riesgo en el texto original. Primera, el término "conocido" limita la preocupación a ataques públicos, ignorando fallos aún no descubiertos, un error grave de gestión de riesgos. Segunda, "criptoanálisis" excluye los problemas de implementación: la implementación de referencia de Kyber ha requerido tres rondas de parches de emergencia (KyberSlash 1, KyberSlash 2 y Clangover), y la mayoría de bibliotecas de ML-KEM han publicado correcciones; el artículo sobre KyberSlash ganó el premio al mejor paper en CHES 2025. Bernstein recuerda sus advertencias previas sobre la calidad del software post-cuántico y defiende mantener ECC como capa adicional. Tercera, la mención a "estructura de módulo de rango >=2" ignora otras superficies de ataque, como las brechas de ajuste (tightness gaps) en las reducciones de seguridad, que su propio trabajo demostró explotables en FrodoKEM. Además, las estructuras de retículo ideales usadas en ML-KEM comparten vulnerabilidad con el sistema FHE de Gentry de 2009, atacable en tiempo polinómico cuántico según un paper de Biasse y Song de 2025. El artículo concluye que los argumentos esgrimidos a favor de ML-KEM en solitario son falaces yerran al estrechar artificialmente el riesgo.
