Los ordenadores cuánticos capaces de romper la blockchain de Bitcoin no existen hoy en día. Sin embargo, los desarrolladores ya están considerando una ola de actualizaciones para construir defensas contra la amenaza potencial, y con razón, ya que la amenaza ya no es hipotética.
Esta semana, Google publicó una investigación que sugiere que un ordenador cuántico suficientemente potente podría descifrar la criptografía central de Bitcoin en menos de nueve minutos — un minuto más rápido que el tiempo medio de confirmación de un bloque de Bitcoin. Algunos analistas creen que dicha amenaza podría convertirse en una realidad para 2029.
Los riesgos son altos: alrededor de 6,5 millones de tokens de bitcoin, valorados en cientos de miles de millones de dólares, están en direcciones que un ordenador cuántico podría atacar directamente. Algunos de estos coins pertenecen al creador seudónimo de Bitcoin, Satoshi Nakamoto. Además, la posible vulneración dañaría los principios fundamentales de Bitcoin — “confía en el código ”y “dinero sólido.”
Así es como se ve la amenaza, junto con propuestas que se están considerando para mitigarla.
Dos formas en que una máquina cuántica podría atacar Bitcoin
Primero, entendamos la vulnerabilidad antes de hablar de las propuestas.
La seguridad de Bitcoin se construye sobre una relación matemática de una sola vía. Cuando creas una wallet, se genera una clave privada y un número secreto, a partir de los cuales se deriva una clave pública.
Gastar tokens de bitcoin requiere probar la propiedad de una clave privada, no revelándola, sino usándola para generar una firma criptográfica que la red puede verificar.
Este sistema es infalible porque los ordenadores modernos tardarían miles de millones de años en romper la criptografía de curvas elípticas — específicamente el Elliptic Curve Digital Signature Algorithm (ECDSA) — para reconstruir la clave privada a partir de la clave pública. Por eso se dice que la blockchain es computacionalmente imposible de comprometer.
Pero un futuro ordenador cuántico puede convertir esta calle de una sola vía en una calle de doble sentido, al derivar tu clave privada desde la clave pública y drenar tus monedas.
La clave pública se expone de dos maneras: A partir de monedas que permanecen inactivas en onchain (el ataque de larga exposición) o monedas en movimiento o transacciones esperando en el pool de memoria (ataque de corta exposición).
Las direcciones Pay-to-public key (P2PK) (usadas por Satoshi y los mineros iniciales) y Taproot (P2TR), el formato de direcciones actual activado en 2021, son vulnerables al ataque de larga exposición. Las coins en estas direcciones no necesitan moverse para revelar sus claves públicas; la exposición ya ocurrió y es legible por cualquiera en la Tierra, incluido un futuro atacante cuántico. Aproximadamente 1,7 millones de BTC están en antiguas direcciones P2PK — incluidas las monedas de Satoshi.
La corta exposición está ligada al mempool — la sala de espera de transacciones no confirmadas. Mientras las transacciones permanecen allí a la espera de ser incluidas en un bloque, tu clave pública y tu firma son visibles para toda la red.
Un ordenador cuántico podría acceder a esos datos, pero solo tendría una ventana breve — antes de que la transacción se confirme y quede enterrada bajo bloques adicionales — para derivar la clave privada correspondiente y actuar sobre ella.
Iniciativas
BIP 360: Eliminar clave pública
Como se señaló antes, cada nueva dirección de Bitcoin creada hoy usando Taproot expone de forma permanente una clave pública en onchain, dándole a un futuro ordenador cuántico un objetivo que nunca desaparece.
La Propuesta de Mejora de Bitcoin (BIP) 360 elimina la clave pública incrustada permanentemente en la cadena y visible para todos al introducir un nuevo tipo de salida llamado Pay-to-Merkle-Root (P2MR).
Recuerda que un ordenador cuántico estudia la clave pública, reconstruye la forma exacta de la clave privada y falsifica una copia funcional. Si eliminamos la clave pública, el ataque no tiene nada sobre lo que trabajar. Mientras tanto, todo lo demás, incluidas las pagos de Lightning, configuraciones de multi-firma y otras funciones de Bitcoin, permanece igual.
Sin embargo, si se implementa, esta propuesta protege solo las monedas nuevas hacia adelante. Los 1,7 millones de BTC que ya están en direcciones antiguas expuestas es un problema separado, abordado por otras propuestas más abajo.
SPHINCS+ / SLH-DSA: Firmas post-cuánticas basadas en hash
SPHINCS+ es un esquema de firmas post-cuánticas construido sobre funciones hash, evitando los riesgos cuánticos a los que se enfrenta la criptografía de curvas elípticas usada por Bitcoin. Mientras que el algoritmo de Shor amenaza a ECDSA, los diseños basados en hash como SPHINCS+ no se consideran igualmente vulnerables.
El esquema fue estandarizado por el National Institute of Standards and Technology (NIST) en agosto de 2024 como FIPS 205 (SLH-DSA) después de años de revisión pública.
El intercambio para la seguridad es el tamaño. Mientras que las firmas actuales de bitcoin son de 64 bytes, SLH-DSA son de 8 kilobytes (KB) o más. Como tal, adoptar SLH-DSA aumentaría de forma marcada la demanda de espacio de bloque y elevaría las comisiones de transacción.
Como resultado, se han introducido propuestas como SHRIMPS (otro esquema de firmas post-cuánticas basado en hash) y SHRINCS para reducir el tamaño de las firmas sin sacrificar la seguridad post-cuántica. Ambas se basan en SHPINCS+ y buscan conservar sus garantías de seguridad en una forma más práctica y eficiente en cuanto a espacio, adecuada para su uso en blockchain.
El esquema de commit/reveal de Tadge Dryja: Un freno de emergencia para el mempool
Esta propuesta, un soft fork sugerido por el co-creador de Lightning Network Tadge Dryja, busca proteger las transacciones en el mempool de un futuro atacante cuántico. Lo hace separando la ejecución de la transacción en dos fases: Commit y Reveal.
Imagina informar a un tercero de que le enviarás un email y luego, en realidad, enviar el email. La primera es la fase de commit y la segunda es la fase de reveal.
En la blockchain, esto significa que primero publicas una huella digital sellada de tu intención — solo un hash, que no revela nada sobre la transacción. La blockchain marca esa huella digital con timestamp de forma permanente. Luego, cuando transmites la transacción real, tu clave pública se vuelve visible — y sí, un ordenador cuántico que observe la red podría derivar tu clave privada a partir de ella y falsificar una transacción en competencia para robar tus fondos.
Pero esa transacción falsificada es rechazada de inmediato. La red comprueba: ¿este gasto tiene un compromiso previo registrado en la blockchain? El tuyo sí. El del atacante no — la creó hace momentos. Tu huella digital pre-registrada es tu coartada.
El problema, sin embargo, es el costo adicional debido a que la transacción se divide en dos fases. Por eso se describe como un puente interino, práctico para desplegar mientras la comunidad trabaja en construir defensas cuánticas.
Hourglass V2: Entorpecer el gasto de monedas antiguas
Propuesto por el desarrollador Hunter Beast, Hourglass V2 apunta a la vulnerabilidad cuántica vinculada a aproximadamente 1,7 millones de BTC mantenidos en direcciones antiguas, ya expuestas.
La propuesta acepta que estas monedas podrían ser robadas en un ataque cuántico futuro y busca frenar la hemorragia limitando las ventas a un bitcoin por bloque, para evitar una liquidación masiva catastrófica durante la noche que pudiera desplomar el mercado.
La analogía es una corrida bancaria: no puedes evitar que la gente retire, pero puedes limitar la velocidad de las retiradas para evitar que el sistema colapse de noche. La propuesta es controvertida porque incluso esta restricción limitada es vista por algunos en la comunidad de Bitcoin como una violación del principio de que ninguna parte externa puede interferir jamás con tu derecho a gastar tus monedas.
Conclusión
Estas propuestas aún no están activadas, y la gobernanza descentralizada de Bitcoin, que abarca desarrolladores, mineros y operadores de nodos, significa que cualquier actualización probablemente tardará en materializarse.
Aun así, el flujo constante de propuestas anteriores al informe de Google de esta semana sugiere que el problema ha estado desde hace tiempo en el radar de los desarrolladores, lo que podría ayudar a moderar la preocupación del mercado.
