La vulnerabilidad cuántica en Bitcoin: un riesgo controlable

Autor | Christopher Bendiksen, CoinShares

Compilador | GaryMa 吴说区块链

Enlace original：

La posibilidad de que existan computadoras cuánticas realmente utilizables en el futuro no es cero, lo que ha generado un amplio debate sobre su potencial impacto en la seguridad criptográfica de Bitcoin. Esto, por supuesto, es saludable y es una medida preventiva necesaria para un sistema de almacenamiento de valor de billones de dólares. Sin embargo, a pesar de que la tecnología presenta desafíos teóricos, el riesgo real sigue siendo lejano y puede ser abordado mediante medidas directas.

Para los inversores institucionales, comprender este problema requiere distinguir entre especulación (y, desafortunadamente, una gran cantidad de promoción y lucro de naturaleza egoísta) y un análisis basado en evidencia. La vulnerabilidad cuántica de Bitcoin no es una crisis inminente, sino una consideración de ingeniería predecible, y hay tiempo suficiente para adaptarse.

Resumen de puntos clave

Visión general de la vulnerabilidad cuántica: el algoritmo de Shor podría, en teoría, exponer las claves en ECDSA/Schnorr, el algoritmo de Grover debilita SHA-256; la amenaza sigue siendo lejana, limitada a aproximadamente 1.7 millones de BTC en direcciones P2PK (que representan el 8% del suministro total), y la probabilidad de que cause un impacto en el mercado es extremadamente baja (ver el último punto a continuación)

Marco de seguridad: depende de curvas elípticas para la autorización, y de funciones hash para la protección; la computación cuántica no puede cambiar el límite de suministro de 21 millones, ni eludir la prueba de trabajo. El moderno P2PKH/P2SH oculta las claves públicas antes de que se realice el gasto; la afirmación de una vulnerabilidad del 25% exagera el riesgo temporal que puede ser mitigado

Línea de tiempo y viabilidad: romper secp256k1 en un tiempo factible (<1 año) requiere entre 10 y 100,000 veces el número actual de qubits lógicos; la tecnología cuántica relacionada aún necesita al menos 10 años. Los ataques a largo plazo pueden llevarse a cabo en unos pocos años — potencialmente viables en una década; los ataques a corto plazo (ataques al pool de memoria) requieren <10 minutos de tiempo de cálculo — no son viables en ninguna escala temporal excepto en el muy largo plazo (décadas)

Ventajas de la intervención radical (como bifurcaciones suaves/duras o eliminación de monedas contra formatos resistentes a cuánticos): refuerza la red por adelantado, protege contra rupturas tecnológicas inesperadas, proporciona una ruta de migración, envía señales de adaptabilidad, aumenta la confianza de los inversores

Desventajas de la intervención radical: tecnologías criptográficas no verificadas pueden introducir vulnerabilidades; pueden desperdiciar recursos de desarrollo escasos en soluciones aún no probadas o ineficaces, causando más cambios; asumiendo que las monedas en reposo se han perdido, lo que lleva a confiscaciones o robos; amenaza a la neutralidad; erosiona la propiedad, la descentralización, la inmutabilidad y la confianza

Impacto en el mercado: en la realidad, podría limitarse a alrededor de 10,000 BTC, que podrían entrar repentinamente en el mercado debido a la exposición de claves privadas; al final, parecería más como transacciones ordinarias; los tenedores pueden migrar voluntariamente; las monedas restantes están distribuidas en 34,000 direcciones, cada una con aproximadamente 50 BTC, que incluso en el escenario más optimista de un avance tecnológico, tardarían décadas en ser robadas

Analizar correctamente este problema requiere una comprensión profunda y detallada

El marco de seguridad de Bitcoin se basa en dos elementos criptográficos fundamentales: el algoritmo de firma digital de curva elíptica (ECDSA o Schnorr basado en secp256k1) para la autorización de transacciones, y funciones hash como SHA-256 para la minería y protección de direcciones. ECDSA genera pares de claves asimétricas, y en sistemas de computación clásica, derivar la clave privada a partir de la clave pública es computacionalmente inviable. SHA-256 proporciona un hash unidireccional, cuya inversión también es computacionalmente inviable. Los algoritmos cuánticos traen preocupaciones específicas. Un malentendido común es que la computación cuántica romperá el sistema criptográfico en su totalidad, pero esto no es cierto. A continuación, resumimos el impacto de las computadoras cuánticas prácticas en funciones criptográficas comunes.

Tipos de criptografía existentes — antes y después de cuántica:

El principal problema que enfrentamos actualmente es el algoritmo de firma ECDSA de 256 bits (ahora Schnorr, pero enfrenta el mismo problema) utilizado para autorizar transacciones de Bitcoin. El algoritmo de Shor podría, en teoría, resolver el problema del logaritmo discreto que sustenta las curvas elípticas, y una vez que la clave pública se expone, la clave privada podría ser derivada.

El algoritmo de Grover reduce la seguridad efectiva de hash simétrico como SHA-256 de 256 bits a 128 bits, pero debido a las enormes demandas computacionales, el ataque de fuerza bruta sigue siendo poco práctico, por lo que las direcciones protegidas por hash siguen siendo seguras. En cuanto a la minería, las computadoras cuánticas podrían, en teoría, convertirse en dispositivos de minería bastante rápidos, pero no está claro si son económicamente viables en comparación con ASIC (y dado el mecanismo de ajuste automático de dificultad incorporado en Bitcoin, esto no es relevante). Lo importante es que la computación cuántica no puede cambiar el límite fijo de suministro de 21 millones de Bitcoin, ni eludir la prueba de trabajo necesaria para la validación de bloques.

La exposición al riesgo se limita a las direcciones donde la clave pública es visible, principalmente salidas tradicionales de Pay-to-Public-Key (P2PK), que poseen aproximadamente 1.6 millones de BTC, representando alrededor del 8% del suministro total. Sin embargo, solo 10,200 BTC están en UTXO, y solo una vez que sean robados por una computadora cuántica podrían causar alguna perturbación significativa en el mercado. Los restantes aproximadamente 1.6 millones de BTC están distribuidos en 32,607 UTXO independientes, cada uno con aproximadamente 50 BTC, y incluso en el escenario más extremista de avances tecnológicos en computación cuántica, se necesitarían miles de años para desbloquearlos.

Distribución y cantidad de monedas vulnerables a cuántica

Formatos de dirección más modernos, como Pay-to-Public-Key-Hash (P2PKH) o Pay-to-Script-Hash (P2SH), ocultan las claves públicas mediante hash, manteniéndolas seguras antes de que se gasten los fondos. La afirmación de una vulnerabilidad del 25% generalmente incluye riesgos temporales, como el uso repetido de direcciones por parte de intercambios, problemas que pueden ser fácilmente mitigados mediante las mejores prácticas; además, habrá un período de advertencia de varios años antes de que el desarrollo tecnológico se vuelva realmente peligroso, lo que deja tiempo suficiente para ajustes de comportamiento simples.

Estamos bastante lejos de la zona de peligro

Hasta principios de 2026, la amenaza cuántica no es inminente. Para romper secp256k1, se requiere un sistema cuántico con millones de qubits lógicos — esto está muy por fuera de nuestra capacidad actual. Según los investigadores, para deducir una clave pública en un día, un atacante necesitaría una computadora cuántica con tolerancia a fallos y capacidad de control de errores, un rendimiento que aún no se ha logrado y que requiere 13 millones de qubits físicos — aproximadamente 100,000 veces el tamaño de la computadora cuántica más grande actualmente. Para completar el ataque en una hora, su rendimiento necesitaría ser 3 millones de veces más alto que el de las computadoras cuánticas actuales. Charles Guillemet, CTO de la empresa de seguridad cibernética Ledger, dijo a CoinShares: “Para romper la criptografía asimétrica actual, se necesitan cantidades en el orden de millones de qubits. La computadora Willow de Google tiene solo 105 qubits. Y cada qubit adicional incrementa exponencialmente la dificultad de mantener un sistema coherente”. Aquí hemos realizado un análisis más profundo de lo anterior.

Las presentaciones recientes, incluida la de Google, han demostrado avances, pero aún están muy lejos de alcanzar la escala necesaria para realizar ataques en el mundo real contra Bitcoin.

Algunas estimaciones sugieren que las computadoras cuánticas relacionadas con la criptografía (pero que no necesariamente representen un peligro en la práctica) podrían no aparecer hasta la década de 2030 o más tarde, y algunos análisis predicen que se necesitarán de 10 a 20 años.

La exposición al riesgo a largo plazo (como las direcciones P2PK) podría enfrentar ataques que requieren años de tiempo de cálculo; mientras que la exposición al riesgo a corto plazo (como las claves públicas visibles en el pool de memoria durante el proceso de transacción) requiere que se complete el cálculo en menos de 10 minutos.

Las intervenciones radicales tienen ventajas y desventajas

Las propuestas para abordar este problema mediante intervenciones radicales, como bifurcaciones suaves para formatos de dirección resistentes a cuánticos sin una verificación adecuada o, peor aún, la eliminación de monedas vulnerables mediante bifurcaciones duras, requieren extrema precaución. Tales acciones no solo podrían provocar desastres técnicos al introducir accidentalmente vulnerabilidades críticas, sino que también podrían debilitar los principios fundamentales de propiedad y descentralización de Bitcoin, erosionando la confianza sin necesidad.

Introducir nuevos formatos de dirección es extremadamente peligroso y no es aconsejable antes de que la criptografía que sustenta su seguridad haya sido completamente comprendida y verificada. Debemos reconocer que antes de que existan computadoras cuánticas realmente utilizables, no podemos asegurar que la criptografía resistente a cuánticos sea efectivamente válida en un sentido demostrable. Además, si elegimos prematuramente una solución de dirección resistente a cuánticos, podríamos desperdiciar recursos de desarrollo escasos en soluciones que finalmente demuestren ser ineficaces, se vuelvan obsoletas rápidamente o incluso sean completamente defectuosas.

No podemos determinar fundamentalmente si estas monedas vulnerables están en estado de reposo o ya se han perdido, como lo demuestran las transferencias ocasionales de direcciones inactivas a largo plazo. Los tenedores tienen la oportunidad de migrar fondos de manera autónoma y voluntaria, y si la capacidad cuántica sigue aumentando, los activos no reclamados también podrían completar la transición de manera natural.

En el futuro previsible, el impacto a nivel de mercado parece limitado. Solo una pequeña porción de BTC vulnerables, alrededor de 10,200, se encuentra en ciertas categorías P2PK, y solo si se ven comprometidas rápida y repentinamente podrían afectar la liquidez. Este tipo de evento probablemente se asemejaría a transacciones grandes habituales, en lugar de provocar una agitación sistémica. Es más importante mantener la inmutabilidad y neutralidad de Bitcoin, características que podrían verse amenazadas por cambios prematuros en el protocolo.

Mitigar el riesgo cuántico para Bitcoin es técnica y prácticamente factible sin causar destrucción. “Bitcoin puede adoptar firmas post-cuánticas. Las firmas Schnorr (una implementación técnica en una mejora anterior) allanan el camino para más actualizaciones, y Bitcoin puede continuar evolucionando defensivamente”, afirmó el Dr. Adam Back, criptógrafo, a CoinShares. A través de bifurcaciones suaves, se pueden introducir firmas resistentes a cuánticos, permitiendo la integración fluida de nuevos estándares criptográficos. Algunas propuestas existentes, como las propuestas de mejora de Bitcoin (BIP), ya han esbozado este camino de evolución. Los usuarios pueden migrar sus fondos a direcciones seguras según su propio juicio, mientras permanecen atentos al desarrollo de la tecnología cuántica — incluso pueden usar direcciones tradicionales expuestas como “indicadores” del progreso tecnológico.

Para los inversores institucionales, la clave es: el riesgo cuántico es controlable y hay un amplio margen de tiempo para solucionarlo. La arquitectura de Bitcoin tiene una resiliencia inherente, capaz de soportar adaptaciones proactivas. Como una moneda sólida en la era digital, Bitcoin es más digno de evaluación basada en sus fundamentos que en amenazas tecnológicas exageradas.