Actualmente, las computadoras cuánticas no pueden romper el cifrado de Bitcoin, pero los nuevos avances de Google e IBM sugieren que la brecha se está cerrando más rápido de lo esperado. Su progreso hacia sistemas cuánticos tolerantes a fallos aumenta las apuestas para el "Q-Day", el momento en que una máquina suficientemente potente podría descifrar direcciones antiguas de Bitcoin y exponer más de $711.000 millones en billeteras vulnerables.

Actualizar Bitcoin a un estado post-cuántico tomará años, lo que significa que el trabajo debe comenzar mucho antes de que llegue la amenaza. El desafío, señalan los expertos, es que nadie sabe cuándo será eso, y la comunidad ha tenido dificultades para acordar la mejor manera de avanzar con un plan.

Esta incertidumbre ha generado un temor persistente de que una computadora cuántica que pueda atacar Bitcoin entre en funcionamiento antes de que la red esté lista.

En este artículo, veremos la amenaza cuántica para Bitcoin y qué necesita cambiar para que la blockchain número uno esté preparada.

Cómo funcionaría un ataque cuántico

Un ataque exitoso no se vería dramático. Un ladrón habilitado cuánticamente comenzaría escaneando la blockchain en busca de cualquier dirección que haya revelado alguna vez una clave pública. Las billeteras antiguas, direcciones reutilizadas, salidas tempranas de mineros y muchas cuentas inactivas caen en esa categoría.

El atacante copia una clave pública y la ejecuta a través de una computadora cuántica usando el algoritmo de Shor. Desarrollado en 1994 por el matemático Peter Shor, el algoritmo le da a una máquina cuántica la capacidad de factorizar números grandes y resolver el problema del logaritmo discreto mucho más eficientemente que cualquier computadora clásica. Las firmas de curva elíptica de Bitcoin dependen de la dificultad de esos problemas. Con suficientes qubits corregidos de errores, una computadora cuántica podría usar el método de Shor para calcular la clave privada vinculada a la clave pública expuesta.

Según dijo a Decrypt Justin Thaler, socio de investigación en Andreessen Horowitz y profesor asociado en Georgetown University, una vez que se recupera la clave privada, el atacante puede mover las monedas.

"Lo que una computadora cuántica podría hacer, y esto es lo que es relevante para Bitcoin, es falsificar las firmas digitales que Bitcoin usa hoy", afirmó Thaler. "Alguien con una computadora cuántica podría autorizar una transacción sacando todo el Bitcoin de tus cuentas, o como quieras pensarlo, cuando tú no lo autorizaste. Esa es la preocupación".

La firma falsificada se vería real para la red de Bitcoin. Los nodos la aceptarían, los mineros la incluirían en un bloque, y nada on-chain marcaría la transacción como sospechosa. Si un atacante golpea un gran grupo de direcciones expuestas a la vez, entonces miles de millones de dólares podrían moverse en cuestión de minutos. Los mercados comenzarían a reaccionar antes de que alguien confirmara que está ocurriendo un ataque cuántico.

Computación cuántica en 2025

En 2025, la computación cuántica finalmente comenzó a sentirse menos teórica y más práctica.

• Enero de 2025: El chip Willow de 105 qubits de Google mostró una reducción pronunciada de errores y un punto de referencia más allá de las supercomputadoras clásicas.
• Febrero de 2025: Microsoft lanzó su plataforma Majorana 1 e informó un entrelazamiento récord de qubits lógicos con Atom Computing.
• Abril de 2025: NIST extendió la coherencia de qubits superconductores a 0,6 milisegundos.
• Junio de 2025: IBM estableció objetivos de 200 qubits lógicos para 2029 y más de 1.000 a principios de la década de 2030.
• Octubre de 2025: IBM entrelazó 120 qubits; Google confirmó una aceleración cuántica verificada.
• Noviembre de 2025: IBM anunció nuevos chips y software dirigidos a la ventaja cuántica en 2026 y sistemas tolerantes a fallos para 2029.

Por qué Bitcoin se ha vuelto vulnerable

Las firmas de Bitcoin usan criptografía de curva elíptica. Gastar desde una dirección revela la clave pública detrás de ella, y esa exposición es permanente. En el formato temprano de pago a clave pública de Bitcoin, muchas direcciones publicaron sus claves públicas on-chain incluso antes del primer gasto. Los formatos posteriores de pago a hash de clave pública mantuvieron la clave oculta hasta el primer uso.

Debido a que sus claves públicas nunca estuvieron ocultas, estas monedas más antiguas, incluidos aproximadamente 1 millón de Bitcoin de la era Satoshi, están expuestas a futuros ataques cuánticos. Cambiar a firmas digitales post-cuánticas, señaló Thaler, requiere una participación activa.

"Para que Satoshi proteja sus monedas, tendría que moverlas a nuevas billeteras post-cuánticas seguras", agregó. "La mayor preocupación son las monedas abandonadas, alrededor de $180.000 millones, incluidos aproximadamente $100.000 millones que se cree que son de Satoshi. Son sumas enormes, pero están abandonadas, y ese es el riesgo real".

Sumándose al riesgo están las monedas vinculadas a claves privadas perdidas. Muchas han permanecido intactas durante más de una década, y sin esas claves, nunca pueden ser movidas a billeteras resistentes a lo cuántico, convirtiéndolas en objetivos viables para una futura computadora cuántica.

Nadie puede congelar Bitcoin directamente on-chain. Las defensas prácticas contra futuras amenazas cuánticas se centran en migrar fondos vulnerables, adoptar direcciones post-cuánticas o gestionar riesgos existentes.

Sin embargo, Thaler señaló que los esquemas de cifrado y firma digital post-cuánticos vienen con altos costos de rendimiento, ya que son mucho más grandes y requieren más recursos que las ligeras firmas de 64 bytes de hoy.

"Las firmas digitales de hoy son de aproximadamente 64 bytes. Las versiones post-cuánticas pueden ser de 10 a 100 veces más grandes", explicó. "En una blockchain, ese aumento de tamaño es un problema mucho mayor porque cada nodo debe almacenar esas firmas para siempre. Gestionar ese costo, el tamaño literal de los datos, es mucho más difícil aquí que en otros sistemas".

Caminos hacia la protección

Los desarrolladores han propuesto varias Propuestas de Mejora de Bitcoin para prepararse para futuros ataques cuánticos. Toman diferentes caminos, desde protecciones opcionales ligeras hasta migraciones completas de la red.

• BIP-360 (P2QRH): Crea nuevas direcciones "bc1r…" que combinan las firmas de curva elíptica de hoy con esquemas post-cuánticos como ML-DSA o SLH-DSA. Ofrece seguridad híbrida sin un hard fork, pero las firmas más grandes significan tarifas más altas.
• Taproot Seguro Cuánticamente: Agrega una rama post-cuántica oculta a Taproot. Si los ataques cuánticos se vuelven realistas, los mineros podrían hacer un soft fork para requerir la rama post-cuántica, mientras los usuarios operan normalmente hasta entonces.
• Protocolo de Migración de Direcciones Resistentes a lo Cuántico (QRAMP): Un plan de migración obligatorio que mueve UTXOs vulnerables a direcciones seguras cuánticamente, probablemente a través de un hard fork.
• Pago a Hash de Taproot (P2TRH): Reemplaza las claves visibles de Taproot con versiones con doble hash, limitando la ventana de exposición sin nueva criptografía o romper la compatibilidad.
• Compresión de Transacciones No Interactiva (NTC) vía STARKs: Usa pruebas de conocimiento cero para comprimir grandes firmas post-cuánticas en una sola prueba por bloque, reduciendo el almacenamiento y los costos de tarifas.
• Esquemas de Compromiso-Revelación: Se basan en compromisos hash publicados antes de cualquier amenaza cuántica.
  • Los UTXOs auxiliares adjuntan pequeñas salidas post-cuánticas para proteger los gastos.
  • Las transacciones "píldora venenosa" permiten a los usuarios pre-publicar rutas de recuperación.
  • Las variantes tipo Fawkescoin permanecen inactivas hasta que se demuestre una computadora cuántica real.

En conjunto, estas propuestas esbozan un camino paso a paso hacia la seguridad cuántica: soluciones rápidas y de bajo impacto como P2TRH ahora, y actualizaciones más pesadas como BIP-360 o compresión basada en STARK a medida que crece el riesgo. Todas ellas necesitarían una coordinación amplia, y muchos de los formatos de direcciones post-cuánticas y esquemas de firma todavía están en las primeras etapas de discusión.

Thaler señaló que la descentralización de Bitcoin, su mayor fortaleza, también hace que las actualizaciones importantes sean lentas y difíciles, ya que cualquier nuevo esquema de firma necesitaría un amplio acuerdo entre mineros, desarrolladores y usuarios.

"Dos problemas importantes destacan para Bitcoin. Primero, las actualizaciones toman mucho tiempo, si es que ocurren. Segundo, están las monedas abandonadas. Cualquier migración a firmas post-cuánticas tiene que ser activa, y los propietarios de esas billeteras antiguas se han ido", afirmó Thaler. "La comunidad debe decidir qué sucede con ellas: o acordar eliminarlas de circulación o no hacer nada y dejar que los atacantes equipados cuánticamente las tomen. Ese segundo camino sería legalmente gris, y a los que se apoderen de las monedas probablemente no les importaría".

La mayoría de los poseedores de Bitcoin no necesitan hacer nada de inmediato. Unos pocos hábitos contribuyen en gran medida a reducir el riesgo a largo plazo, incluido evitar reutilizar direcciones para que tu clave pública permanezca oculta hasta que gastes, y apegarse a formatos de billetera modernos.

Las computadoras cuánticas de hoy no están cerca de romper Bitcoin, y las predicciones de cuándo lo harán varían enormemente. Algunos investigadores ven una amenaza dentro de los próximos cinco años, otros la empujan hacia la década de 2030, pero las continuas inversiones podrían acelerar la línea de tiempo.