La amenaza cuántica para Bitcoin no se trata de romper el cifrado, sino de exponer tus claves

La narrativa generalizada sobre las computadoras cuánticas que rompen la encriptación de Bitcoin no capta realmente el problema fundamental. Bitcoin no almacena secretos cifrados en la cadena que las máquinas cuánticas puedan descifrar. En cambio, la vulnerabilidad real se centra en algo mucho más específico: si surge una computadora cuántica criptográficamente relevante, podría explotar claves públicas expuestas para forjar transacciones no autorizadas mediante el algoritmo de Shor. Esta distinción es enormemente importante para entender tanto la línea de tiempo como las estrategias de mitigación que necesita Bitcoin.

Por qué el Modelo de Seguridad de Bitcoin No Depende en Absoluto de la Encriptación

La cadena de bloques de Bitcoin funciona como un libro mayor público. Cada transacción, cantidad y dirección es visible para todos. La propiedad se demuestra mediante firmas digitales—específicamente firmas ECDSA y Schnorr—no mediante datos cifrados que deban mantenerse ocultos. Estas firmas demuestran control sobre un par de claves; no ocultan nada. Cuando alguien gasta monedas, produce una firma válida que la red acepta. La propia cadena de bloques no contiene ningún texto cifrado que deba descifrarse.

Esta verdad arquitectónica fundamental revela un problema de terminología en cómo se discute a menudo la amenaza cuántica. El experto en seguridad Adam Back lo expresó claramente: Bitcoin no usa encriptación en el sentido tradicional. Llamar a las computadoras cuánticas una amenaza para la “encriptación de Bitcoin” refleja una mala comprensión de qué es lo que Bitcoin realmente protege. El protocolo protege la propiedad mediante firmas y compromisos basados en hash, no mediante textos cifrados.

El Riesgo Cuántico Real: Derivación de Claves Privadas a partir de Claves Públicas Expuestas

El escenario que requiere atención es mucho más estrecho: si un atacante cuántico puede ejecutar eficientemente el algoritmo de Shor contra la criptografía de curva elíptica de Bitcoin, podría derivar una clave privada a partir de una clave pública en la cadena. Con esa clave privada en mano, podría crear una firma de transacción válida y potencialmente redirigir fondos.

Si esta amenaza se materializa, depende de los patrones de exposición de claves públicas. Muchas formas de direcciones de Bitcoin comprometen un hash de la clave pública—lo que significa que la clave en bruto permanece oculta hasta que se gasta la transacción. Esta ventana de vulnerabilidad es relativamente pequeña. Pero otros tipos de scripts exponen las claves públicas antes, y la reutilización de direcciones transforma una revelación única en un objetivo persistente para la recuperación de claves.

El “Bitcoin Risq List” de Project Eleven rastrea exactamente dónde las claves públicas ya son visibles en la cadena, mapeando el conjunto de direcciones potencialmente vulnerables a Shor’s algorithm. Su análisis más reciente identifica aproximadamente 6.7 millones de BTC en direcciones que cumplen con los criterios de exposición, según los datos actuales de la cadena de bloques.

Medir el Riesgo Cuántico Sin Saber Cuándo Llegará

Los requisitos computacionales para romper la criptografía de curva elíptica ahora están bastante bien entendidos, aunque el plazo para lograrlos sigue siendo incierto.

Investigaciones de Roetteler y colegas establecieron que calcular un logaritmo discreto de 256 bits en curva elíptica requiere aproximadamente 2,330 qubits lógicos en el mínimo teórico. Convertir los qubits lógicos en una computadora cuántica con corrección de errores funcional implica una sobrecarga física masiva. El análisis de Litinski en 2023 sugiere que una computación de clave privada de 256 bits podría realizarse en unos 10 minutos usando aproximadamente 6.9 millones de qubits físicos. Otras estimaciones apuntan a unos 13 millones de qubits físicos para romper en un día, dependiendo de las suposiciones sobre tiempos y tasas de error.

Estas cifras proporcionan un marco medible. Debido a que la exposición de claves públicas es cuantificable hoy—Project Eleven realiza escaneos automáticos semanales—el conjunto de UTXO vulnerables puede ser rastreado ahora sin esperar a que lleguen capacidades cuánticas.

Cambios a nivel de protocolo, como Taproot (BIP 341), alteraron los patrones de exposición de maneras relevantes. Las salidas Taproot incluyen una clave pública modificada de 32 bytes directamente en el programa de salida en lugar de solo un hash de clave pública. Esto no crea vulnerabilidad hoy, pero sí cambia qué direcciones se vuelven expuestas si alguna vez la recuperación de claves se vuelve factible. Mientras tanto, propuestas como BIP 360 (“Pay to Quantum Resistant Hash”) delinean posibles caminos de migración hacia salidas resistentes a la cuántica.

Defensas Conductuales y la Cuestión del Hash

Para las operaciones de Bitcoin, las decisiones conductuales y el diseño de las billeteras ofrecen palancas a corto plazo. La reutilización de direcciones aumenta dramáticamente la exposición; las billeteras que generan direcciones nuevas para cada transacción reducen la superficie de ataque. Si la recuperación de claves privadas alguna vez se vuelve lo suficientemente rápida para ocurrir en un intervalo de bloque, los atacantes estarían compitiendo por gastar en salidas expuestas en lugar de reescribir la historia del consenso—un modelo de amenaza fundamentalmente diferente.

El hashing a veces se incluye en las preocupaciones cuánticas, pero el algoritmo relevante aquí es Grover, no Shor. Grover solo proporciona una aceleración de raíz cuadrada para la búsqueda exhaustiva—manteniendo la resistencia a la preimagen de SHA-256 en aproximadamente 2^128 trabajos incluso bajo ataque cuántico. Eso es incomparable con un rompimiento del logaritmo discreto en curva elíptica.

Migración, No Emergencia: El Camino Realista a Seguir

NIST ya ha estandarizado primitivas post-cuánticas como ML-KEM (FIPS 203) como parte de una planificación de transición criptográfica más amplia. Dentro de Bitcoin, desarrolladores e investigadores están proponiendo mecanismos de migración: nuevos tipos de salida que usan compromisos hash resistentes a la cuántica, mecanismos de desaparición de firmas legadas para crear incentivos a migrar, y mejoras continuas en las billeteras para reducir la reutilización de direcciones.

Las líneas de tiempo recientes de empresas añaden contexto. IBM describió recientemente avances hacia un sistema cuántico tolerante a fallos alrededor de 2029, aunque el camino desde demostraciones en laboratorio hasta sistemas capaces de atacar criptografía desplegada sigue siendo largo e incierto.

El desafío cuántico para Bitcoin es, en última instancia, un problema de coordinación y migración, no un colapso criptográfico inmediato. Las métricas accionables son sencillas: rastrear las claves públicas expuestas en el conjunto UTXO, optimizar el comportamiento de las billeteras para minimizar la exposición, y adoptar patrones de gasto resistentes a la cuántica en la red, mientras se mantiene la eficiencia de validación y la estabilidad del mercado de tarifas.