No existen hoy en día computadores cuánticos capaces de romper la blockchain de Bitcoin. Sin embargo, los desarrolladores ya están considerando una oleada de mejoras para construir defensas contra la amenaza potencial, y con razón, ya que la amenaza ya no es hipotética.
Esta semana, Google publicó una investigación que sugiere que un computador cuántico suficientemente potente podría descifrar la criptografía central de Bitcoin en menos de nueve minutos — un minuto más rápido que el tiempo medio de liquidación de un bloque de Bitcoin. Algunos analistas creen que dicha amenaza podría convertirse en una realidad para 2029.
Las apuestas son altas: alrededor de 6.5 millones de tokens de bitcoin, con un valor de cientos de miles de millones de dólares, están en direcciones que un computador cuántico podría atacar de forma directa. Algunas de estas monedas pertenecen al creador seudónimo de Bitcoin, Satoshi Nakamoto. Además, el posible compromiso dañaría los principios fundamentales de Bitcoin: «confiar en el código » y «dinero sano».
Así es como se ve la amenaza, junto con propuestas que están siendo consideradas para mitigarla.
Dos formas en que una máquina cuántica podría atacar Bitcoin
Primero entendamos la vulnerabilidad antes de hablar de las propuestas.
La seguridad de Bitcoin se basa en una relación matemática unidireccional. Cuando creas una billetera, se genera una clave privada y un número secreto, a partir de los cuales se deriva una clave pública.
Gastar tokens de bitcoin requiere demostrar la posesión de una clave privada, no revelándola, sino usándola para generar una firma criptográfica que la red puede verificar.
Este sistema es infalible porque los computadores modernos tardarían miles de millones de años en romper la criptografía de curvas elípticas — específicamente el Elliptic Curve Digital Signature Algorithm (ECDSA) — para revertir y reconstruir la clave privada a partir de la clave pública. Por eso, se dice que la blockchain es computacionalmente imposible de comprometer.
Pero un futuro computador cuántico puede convertir esa vía unidireccional en una vía bidireccional, derivando tu clave privada desde la clave pública y drenando tus monedas.
La clave pública se expone de dos maneras: desde monedas que permanecen inactivas en la blockchain (el ataque de larga exposición) o desde monedas en movimiento o transacciones en espera en el memory pool (ataque de corta exposición).
Las direcciones Pay-to-public key (P2PK) (usadas por Satoshi y los mineros iniciales) y Taproot (P2TR), el formato de dirección actual activado en 2021, son vulnerables al ataque de larga exposición. Las monedas en estas direcciones no necesitan moverse para revelar sus claves públicas; la exposición ya ocurrió y es legible por cualquiera en la Tierra, incluido un posible atacante cuántico futuro. Aproximadamente 1.7 millones de BTC están en direcciones antiguas P2PK — incluyendo las monedas de Satoshi.
La corta exposición está ligada al mempool — la sala de espera de las transacciones no confirmadas. Mientras las transacciones permanecen allí, a la espera de ser incluidas en un bloque, tu clave pública y tu firma son visibles para toda la red.
Un computador cuántico podría acceder a esos datos, pero solo tendría una ventana breve — antes de que la transacción se confirme y quede enterrada bajo bloques adicionales — para derivar la clave privada correspondiente y actuar sobre ella.
Iniciativas
BIP 360: Eliminando la clave pública
Como se señaló antes, cada nueva dirección de Bitcoin creada hoy usando Taproot expone permanentemente una clave pública en la blockchain, dándole a un futuro computador cuántico un objetivo que nunca desaparece.
La Propuesta de Mejora de Bitcoin (BIP) 360 elimina la clave pública incrustada permanentemente en la cadena y visible para todos introduciendo un nuevo tipo de salida llamado Pay-to-Merkle-Root (P2MR).
Recuerda que un computador cuántico estudia la clave pública, reconstruye la forma exacta de la clave privada y falsifica una copia funcional. Si eliminamos la clave pública, el ataque no tiene nada con lo que trabajar. Mientras tanto, todo lo demás, incluidas las pagos de Lightning, los esquemas de multi-firma y otras funciones de Bitcoin, permanece igual.
Sin embargo, si se implementa, esta propuesta solo protege monedas nuevas hacia adelante. Los 1.7 millones de BTC que ya están en direcciones antiguas expuestas es un problema separado, abordado por otras propuestas más abajo.
SPHINCS+ / SLH-DSA: Firmas post-cuánticas basadas en hashes
SPHINCS+ es un esquema de firma post-cuántica construido sobre funciones hash, evitando los riesgos cuánticos que enfrentan las criptografías de curvas elípticas usadas por Bitcoin. Mientras que el algoritmo de Shor amenaza a ECDSA, los diseños basados en hashes como SPHINCS+ no se consideran igual de vulnerables.
El esquema fue estandarizado por el National Institute of Standards and Technology (NIST) en agosto de 2024 como FIPS 205 (SLH-DSA) después de años de revisión pública.
El intercambio para la seguridad es el tamaño. Mientras que las firmas actuales de bitcoin son de 64 bytes, SLH-DSA son de 8 kilobytes (KB) o más. Como tal, adoptar SLH-DSA aumentaría de forma drástica la demanda de espacio de bloque y subiría las comisiones de transacción.
Como resultado, propuestas como SHRIMPS (otro esquema de firma post-cuántica basado en hashes) y SHRINCS ya se han introducido para reducir tamaños de firma sin sacrificar la seguridad post-cuántica. Ambas se basan en SHPINCS+ mientras apuntan a conservar sus garantías de seguridad en una forma más práctica y eficiente en espacio adecuada para su uso en blockchain.
El esquema Commit/Reveal de Tadge Dryja: Un freno de emergencia para el mempool
Esta propuesta, un soft fork sugerido por el co-creador de Lightning Network Tadge Dryja, tiene como objetivo proteger las transacciones en el mempool de un posible atacante cuántico futuro. Lo hace separando la ejecución de la transacción en dos fases: Commit y Reveal.
Imagina informar a un tercero de que le enviarás un correo electrónico, y luego realmente enviar el correo. Lo primero es la fase de commit, y lo segundo es la fase de reveal.
En la blockchain, esto significa que primero publicas una huella digital sellada de tu intención — solo un hash, que no revela nada sobre la transacción. La blockchain marca esa huella con un timestamp de forma permanente. Luego, cuando transmites la transacción real, tu clave pública se vuelve visible — y sí, un computador cuántico que observe la red podría derivar tu clave privada a partir de ella y falsificar una transacción en competencia para robar tu dinero.
Pero esa transacción falsificada es rechazada de inmediato. La red verifica: ¿este gasto tiene un compromiso previo registrado en la blockchain? El tuyo sí. El del atacante no — la creó hace momentos. Tu huella digital pre-registrada es tu coartada.
El problema, sin embargo, es el costo aumentado debido a que la transacción se divide en dos fases. Por eso, se describe como un puente interino, práctico para desplegar mientras la comunidad trabaja en la construcción de defensas cuánticas.
Hourglass V2: Lento al gastar monedas antiguas
Propuesto por el desarrollador Hunter Beast, Hourglass V2 apunta a la vulnerabilidad cuántica ligada a aproximadamente 1.7 millones de BTC mantenidos en direcciones antiguas ya expuestas.
La propuesta acepta que esas monedas podrían ser robadas en un ataque cuántico futuro y busca frenar la hemorragia limitando las ventas a un bitcoin por bloque, para evitar una liquidación masiva catastrófica durante la noche que pudiera hundir el mercado.
La analogía es una corrida bancaria: no puedes impedir que la gente retire, pero puedes limitar la velocidad de las retiradas para evitar que el sistema colapse durante la noche. La propuesta es controvertida porque incluso esta restricción limitada es vista por algunos en la comunidad de Bitcoin como una violación del principio de que ningún tercero externo puede interferir jamás con tu derecho de gastar tus monedas.
Conclusión
Estas propuestas aún no están activadas, y la gobernanza descentralizada de Bitcoin, que abarca a desarrolladores, mineros y operadores de nodos, significa que cualquier actualización probablemente tardará en materializarse.
Aun así, el flujo constante de propuestas anteriores al informe de Google de esta semana sugiere que el problema ha estado en el radar de los desarrolladores desde hace mucho tiempo, lo que podría ayudar a moderar la preocupación del mercado.
