La verdadera amenaza cuántica para Bitcoin: se trata de firmas, no de secretos

La narrativa de que las computadoras cuánticas “romperán la encriptación de Bitcoin” ignora por completo la amenaza técnica real. Bitcoin no almacena secretos encriptados en la cadena; la blockchain es un libro público donde cada transacción, cantidad y dirección es visible para todos. Lo que realmente amenazan las computadoras cuánticas no es la capacidad de descifrado, sino las firmas criptográficas que prueban la propiedad y autorizan los gastos.

Entendiendo qué está realmente en riesgo

Bitcoin asegura la red mediante firmas digitales vinculadas a claves públicas expuestas, no mediante encriptación. El verdadero riesgo cuántico surge cuando una computadora cuántica lo suficientemente potente ejecuta el algoritmo de Shor contra la criptografía de curva elíptica de Bitcoin (ECDSA o Schnorr). En lugar de descifrar datos, un atacante cuántico derivaría una clave privada directamente de una clave pública expuesta visible en la cadena, y luego falsificaría una firma válida para robar fondos.

Adam Back, un desarrollador de Bitcoin desde hace mucho tiempo, aclaró esta diferencia terminológica: “Bitcoin no usa encriptación.” La distinción importa porque replantea la amenaza: no estamos defendiendo contra ataques de descifrado, sino contra la falsificación de firmas mediante recuperación de claves.

Exposición de claves públicas: dónde reside realmente la vulnerabilidad

Si una dirección de Bitcoin enfrenta riesgo cuántico depende completamente de cómo aparece su clave pública en la cadena. Los diferentes formatos de direcciones revelan las claves públicas en distintos momentos:

Direcciones comprometidas por hash (como las que usan P2SH o P2WPKH) ocultan la clave pública en bruto hasta que se gasta una transacción, creando una ventana estrecha de ataque. Salidas Taproot (P2TR), como se describe en BIP 341, incluyen una clave pública ajustada de 32 bytes directamente en la salida, ampliando la ventana de exposición. Formas pay-to-pubkey y multisig exponen las claves inmediatamente. La reutilización de direcciones agrava el problema, convirtiendo una revelación de uso único en un objetivo persistente.

El “Bitcoin Risq List” de Project Eleven, de código abierto, rastrea exactamente dónde las claves públicas ya son visibles para un hipotético atacante de Shor. Su análisis identifica aproximadamente 6.7 millones de BTC actualmente en direcciones que cumplen con sus criterios de exposición, un grupo susceptible a la computación cuántica que puede ser monitoreado hoy sin necesidad de predecir cuándo llegarán las máquinas cuánticas tolerantes a fallos.

La hoja de ruta computacional: de qubits lógicos a físicos

La verdadera barrera para un ataque cuántico no es si existirán computadoras cuánticas, sino cuántos qubits físicos y cuánto tiempo tomaría tal ataque.

Investigaciones de Roetteler y colegas establecen que romper la criptografía de curva elíptica de 256 bits requiere aproximadamente 2,330 qubits lógicos en el modelo teórico. Traducir esto en una máquina práctica con corrección de errores requiere una sobrecarga enorme de qubits físicos—el desafío de ingeniería de convertir operaciones lógicas en circuitos tolerantes a fallos.

Las estimaciones varían según las decisiones de diseño y las tasas de error:

• Ventana de ataque de 10 minutos: aproximadamente 6.9 millones de qubits físicos (estimación de Litinski 2023 usando arquitectura modular)
• Ventana de ataque de un día: aproximadamente 13 millones de qubits físicos (síntesis de Schneier on Security)
• Ventana de ataque de una hora: aproximadamente 317 millones de qubits físicos (dependiendo del tiempo y la sobrecarga de corrección de errores)

Estas cifras representan estimaciones de límite superior actuales. Las decisiones de arquitectura y las suposiciones sobre tasas de error crean un rango amplio de tiempos de ejecución—los ataques más rápidos requieren exponencialmente más hardware.

Por qué la línea de tiempo de Bitcoin difiere de otros sistemas

Para Bitcoin, la amenaza cuántica tiene un carácter temporal único. Si la recuperación de claves alguna vez encaja en un solo intervalo de bloque (~10 minutos), un atacante no reescribiría la historia del consenso, sino que simplemente competiría en gastos desde salidas expuestas—una condición de carrera en lugar de una reescritura catastrófica.

El algoritmo de Grover, a menudo incluido en narrativas de amenazas cuánticas, plantea un problema diferente. Solo proporciona una aceleración de raíz cuadrada en la búsqueda de fuerza bruta, lo que significa que los preimágenes de SHA-256 aún requerirían aproximadamente 2^128 de trabajo para romperse—no comparable a una ruptura de logaritmo discreto ECC y mucho menos práctico para atacar.

La migración como desafío de infraestructura

Fuera de Bitcoin, NIST ha estandarizado primitivas post-cuánticas como ML-KEM (FIPS 203). Dentro de Bitcoin, el BIP 360 propone salidas “Pay to Quantum Resistant Hash” como una vía de migración. Mientras tanto, qbip.org aboga por un fin de vida de las firmas legadas para crear incentivos de migración y eliminar la larga cola de claves expuestas.

El progreso reciente de las empresas añade contexto: IBM esbozó un camino hacia sistemas cuánticos tolerantes a fallos alrededor de 2029, aunque los sistemas a corto plazo aún están lejos del umbral de 6.9+ millones de qubits físicos necesarios para ataques prácticos en las curvas elípticas de 256 bits de Bitcoin.

Las firmas post-cuánticas introducen nuevos compromisos: a menudo son kilobytes en lugar de los decenas de bytes que los usuarios esperan, cambiando la economía del peso de las transacciones y el diseño de las billeteras. El desafío de migración no es una respuesta de emergencia, sino una planificación coordinada de infraestructura entre proveedores de billeteras, exchanges y desarrolladores de protocolos.

La conclusión

El riesgo cuántico real de Bitcoin es medible y rastreable hoy, incluso si la capacidad de explotarlo aún está a años de distancia. No se trata de que la encriptación sea rota—la encriptación no es el problema—sino de si la red puede migrar la autorización de transacciones a firmas resistentes a cuánticos antes de que surja una capacidad computacional de raíz cuadrada de 256. El grupo vulnerable es conocido, los requisitos del ataque están cuantificados y las rutas de migración están en diseño. La amenaza es real, pero manejable mediante la evolución sostenida de protocolos y billeteras.