Aún no existe una computadora cuántica lo suficientemente potente como para romper la cadena de bloques de Bitcoin. Sin embargo, los desarrolladores ya han empezado a debatir una ola de actualizaciones para construir una capa de defensa antes de esta amenaza potencial — y esto tiene todo el sentido, porque este riesgo ya no es una mera hipótesis.
Esta semana, los investigadores de Google publicaron un estudio que muestra que una computadora cuántica lo bastante potente podría descifrar el cifrado central de Bitcoin en menos de 9 minutos — más rápido en 1 minuto que el tiempo promedio de confirmación de un bloque de Bitcoin. Algunos analistas creen que una amenaza así podría hacerse realidad en 2029.
El riesgo es enorme: aproximadamente 6,5 millones de bitcoins, con un valor de cientos de miles de millones de dólares, están en direcciones a las que una computadora cuántica puede apuntar directamente. Una parte de ellos pertenece a Satoshi Nakamoto, el creador anónimo de Bitcoin. Además, si se viera comprometido, esto dañaría los principios centrales de Bitcoin — “confiar en el código fuente” y “la moneda sana”.
A continuación se explica cómo funciona esta amenaza y las propuestas que se están considerando para mitigarla.
Dos formas en que una máquina cuántica puede atacar Bitcoin
Primero, comprendamos la vulnerabilidad antes de hablar de las propuestas.
La seguridad de Bitcoin se construye sobre una relación matemática unidireccional. Cuando creas una cartera, se generan una clave privada y algunos secretos, a partir de los cuales se deriva la clave pública.
Para gastar bitcoins, debes demostrar la propiedad de la clave privada — no revelándola, sino usándola para crear una firma criptográfica que la red pueda verificar.
Este sistema es seguro porque las computadoras modernas necesitarían miles de millones de años para romper el cifrado de curvas elípticas — concretamente, el algoritmo de firma digital de curvas elípticas (ECDSA) — con el fin de derivar la clave privada a partir de la clave pública. Por lo tanto, se considera que la blockchain es casi imposible de comprometer desde el punto de vista computacional.
Pero una computadora cuántica en el futuro podría convertir ese camino unidireccional en uno bidireccional, al derivar la clave privada desde la clave pública y vaciar tus fondos.
Las claves públicas quedan expuestas de dos maneras: a partir de las monedas que permanecen inmóviles en la cadena (ataque de exposición a largo plazo) o de las monedas que están en movimiento, o de las transacciones en espera dentro del mempool de transacciones (ataque de exposición a corto plazo).
Las direcciones Pay-to-Public-Key (P2PK) — utilizadas por Satoshi y los primeros mineros — junto con Taproot (P2TR), el formato de direcciones actual activado en 2021, son vulnerables a este tipo de ataque de exposición a largo plazo. Las monedas en estas direcciones no necesitan moverse para exponer la clave pública; la exposición ya ocurrió y cualquiera en el mundo puede leerla, incluido un atacante cuántico en el futuro. Aproximadamente 1,7 millones de BTC están en antiguas direcciones P2PK — incluidas las monedas de Satoshi.
El ataque de exposición a corto plazo implica el mempool — “la sala de espera” de las transacciones no confirmadas. Mientras la transacción esté allí para ser incluida en un bloque, tu clave pública y tu firma se muestran a toda la red.
Una computadora cuántica podría acceder a esos datos, pero solo dispone de un intervalo de tiempo muy corto — antes de que la transacción se confirme y quede enterrada bajo los bloques siguientes — para derivar la clave privada correspondiente y actuar.
Las iniciativas
BIP 360: Eliminar la clave pública
Como se mencionó arriba, todas las direcciones Bitcoin nuevas creadas hoy con Taproot quedan permanentemente expuestas con una clave pública en la cadena, lo que ofrece a la computadora cuántica futura un objetivo que nunca desaparece.
La Propuesta de Mejora de Bitcoin (BIP) 360 elimina la clave pública incrustada de forma permanente en la cadena y la muestra a todos mediante la introducción de un nuevo tipo de salida llamado Pay-to-Merkle-Root (P2MR).
Recuerda que la computadora cuántica estudiará la clave pública, invertirá la forma exacta de la clave privada y generará una copia que pueda funcionar. Si eliminamos la clave pública, el atacante ya no tendrá nada en lo que apoyarse. Mientras tanto, todo lo demás, incluyendo los pagos de Lightning, la configuración de firmas múltiples y otras funciones de Bitcoin, permanece igual.
Sin embargo, si se implementa, esta propuesta solo protegería las monedas nuevas en el futuro. Los 1,7 millones de BTC que actualmente están en direcciones que ya han expuesto claves es un asunto aparte, que se abordará con otras propuestas más abajo.
SPHINCS+ / SLH-DSA: Firmas poscuánticas basadas en hash
SPHINCS+ es un mecanismo de firma poscuántica construido sobre funciones hash, diseñado para evitar los riesgos cuánticos a los que debe enfrentarse la criptografía de curvas elípticas que usa Bitcoin. Mientras que el algoritmo de Shor amenaza a ECDSA, los diseños basados en hash como SPHINCS+ no se consideran vulnerables de forma similar.
Este esquema fue estandarizado por el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) en agosto de 2024 bajo el nombre FIPS 205 (SLH-DSA), después de varios años de revisión pública.
A cambio de una capa de seguridad más alta, viene un tamaño grande. Mientras que la firma actual de Bitcoin solo mide 64 bytes, la firma de SLH-DSA tiene un tamaño de 8 kilobytes (KB) o más. Por lo tanto, si se aplica SLH-DSA, la demanda de espacio en bloques aumentaría de manera drástica y las comisiones de transacción también serían más altas.
Por eso, se han introducido propuestas como SHRIMPS (otro esquema de firma poscuántica basado en hash) y SHRINCS para reducir el tamaño de la firma sin sacrificar la seguridad poscuántica. Ambas se construyen sobre SPHINCS+, pero buscan conservar sus garantías de seguridad de una manera más práctica, ahorrando más espacio para la blockchain.
Sistema Commit/Reveal de Tadge Dryja: Freno de emergencia para el mempool
Esta propuesta, un soft fork planteado por el cofundador de Lightning Network Tadge Dryja, busca proteger las transacciones en el mempool frente a un atacante cuántico futuro. Lo logra separando la ejecución de la transacción en dos etapas: Commit y Reveal.
Imagina que le dices a tu socio que le enviarás un correo electrónico y luego efectivamente envías el correo. La primera frase es la fase commit, y la acción de enviar el correo es la fase reveal.
En una blockchain, eso significa que primero publicas una huella digital sellada de tu intención — solo un hash, sin revelar nada sobre la transacción. La blockchain estampará una marca de tiempo de forma permanente en esa huella. Luego, cuando transmitas la transacción real, se revelará la clave pública — y sí, una computadora cuántica que esté siguiendo la red puede derivar la clave privada a partir de eso y crear una transacción en competencia para robar tu dinero.
Pero esa transacción fraudulenta será rechazada de inmediato. La red comprueba: ¿esta transacción de gasto tiene una confirmación previa que ya se registró en la cadena? La tuya sí. La del atacante no — acaban de crearla hace unos minutos. La huella registrada previamente es la prueba de tu coartada.
El problema es que los costos aumentarán porque la transacción se divide en dos etapas. Por eso se considera un puente intermedio, lo bastante práctico como para implementarlo mientras la comunidad sigue construyendo medidas de defensa cuántica.
Hourglass V2: Reducir la velocidad de venta de las monedas antiguas
Propuesto por el desarrollador Hunter Beast, Hourglass V2 apunta a una vulnerabilidad cuántica relacionada con aproximadamente 1,7 millones de BTC que están en direcciones antiguas que se han hecho públicas.
La propuesta reconoce que esas monedas podrían ser robadas en un ataque cuántico futuro y busca ralentizar el ritmo de la pérdida limitando las ventas a 1 bitcoin por bloque, para evitar que una ola de liquidaciones durante la noche pueda hacer que el mercado colapse.
Un ejemplo similar es un retiro masivo: no puedes impedir que la gente retire fondos, pero sí puedes limitar la velocidad de los retiros para que el sistema no se derrumbe en una sola noche. La propuesta es controvertida porque incluso esa limitación mínima es vista por algunas personas en la comunidad de Bitcoin como una violación del principio de que nadie puede interferir con tu derecho a gastar tus monedas.
Conclusión
Estas propuestas aún no se han activado, y el mecanismo de gobernanza descentralizada de Bitcoin — incluidos desarrolladores, mineros y operadores de nodos — implica que cualquier actualización necesita tiempo para hacerse realidad.
Aun así, la ola de propuestas que aparece de manera constante antes del informe de Google de esta semana muestra que el problema ha estado en el radar de los desarrolladores desde hace mucho tiempo, lo que podría ayudar a aliviar las preocupaciones del mercado.
