Bitcoin se prepara para la amenaza cuántica mientras hasta BTC 6.500.000 seguirían expuestos

Un nuevo informe técnico plantea que Bitcoin no enfrenta una amenaza existencial por la computación cuántica en su consenso o su política monetaria, pero sí un riesgo real de robo dirigido sobre monedas con claves públicas expuestas. El documento estima que, si hoy existiera una computadora cuántica criptográficamente relevante, cerca de BTC 6.500.000 podrían quedar inmediatamente vulnerables, al tiempo que detalla medidas de custodia, rutas de actualización y mecanismos de emergencia para una transición poscuántica.
***

• El informe estima que cerca de BTC 6.500.000, alrededor de un tercio del suministro, serían vulnerables si hoy existiera una computadora cuántica criptográficamente relevante.
• La principal amenaza para Bitcoin sería el robo de monedas con claves públicas expuestas, no una ruptura del consenso ni del límite de 21 millones.
• Desarrolladores e investigadores ya evalúan firmas poscuánticas, nuevas rutas de gasto y planes de respuesta rápida para migrar fondos y reducir riesgos.

Bitcoin ha convivido desde sus inicios con una pregunta incómoda: qué ocurriría si la computación cuántica llegara a ser lo bastante potente como para romper la criptografía que protege las claves de los usuarios. Un nuevo informe del repositorio Bitcoin’s Quantum Readiness: Exposure, Mitigations, and Upgrade Paths sostiene que ese escenario sigue siendo incierto en tiempo y viabilidad, pero ya merece preparación técnica seria.

El documento parte de una distinción importante para lectores menos familiarizados con el tema. Bitcoin depende de criptografía para autorizar gastos, pero su funcionamiento como red distribuida también descansa sobre reglas de consenso y un calendario monetario inalterable. Según el informe, una computadora cuántica criptográficamente relevante, o CRQC por sus siglas en inglés, no pondría en jaque el límite de 21 millones ni detendría la producción de bloques.

El principal peligro sería otro: el robo dirigido de monedas cuyos dueños hayan expuesto sus claves públicas en la cadena. En ese punto, una máquina cuántica suficientemente avanzada podría derivar la clave privada a partir de la pública y gastar esos fondos. El problema afecta sobre todo a ciertas salidas antiguas, a Taproot en su ruta de clave y a fondos expuestos por reutilización de direcciones.

La magnitud potencial no es menor. El análisis citado en el informe, fechado en junio de 2025, sugiere que alrededor de BTC 6.500.000, cerca de un tercio del suministro, serían vulnerables al robo de largo alcance si hoy existiera una CRQC. De ese total, más de dos tercios, unos BTC 4.500.000, se atribuyen a reutilización de direcciones, un riesgo que podría reducirse sin cambios de protocolo si los grandes tenedores rotan claves y mueven fondos.

Qué tan real es hoy la amenaza cuántica

El texto enfatiza que la computación cuántica actual sigue en una fase experimental. Las máquinas disponibles usan cientos de cúbits físicos muy frágiles, con errores frecuentes y utilidad limitada fuera del laboratorio. Aun así, recientes avances en corrección de errores han vuelto más tangible la discusión sobre plazos y capacidad futura.

Entre los hitos recientes, el informe menciona a Willow de Google, presentado en diciembre de 2024, como una demostración relevante de escalabilidad en corrección de errores. El logro consistió en mostrar que, al añadir más cúbits físicos para proteger un cúbit lógico, este puede volverse más confiable. Sin embargo, el documento aclara que esto no resuelve el cuello de botella central.

Ese cuello de botella es la ejecución de operaciones de bajo error entre múltiples cúbits lógicos. Según el reporte, ese paso sigue sin demostrarse a escala y podría enfrentar límites físicos duros, relacionados con control de la materia, enfriamiento extremo y reducción de ruido. Por eso, el progreso podría ser mucho más lento de lo que sugieren algunos titulares optimistas.

A pesar de esas reservas, el informe considera prudente tratar a las CRQC como técnicamente factibles. Entre las señales citadas aparecen planes gubernamentales para migrar sistemas hacia criptografía poscuántica durante la década de 2030, encuestas donde muchos expertos asignan 50% de probabilidad a la llegada de CRQC entre 2030 y 2035, y estimaciones de recursos que se han comprimido con el tiempo.

El texto identifica además algunos disparadores técnicos que justificarían revisar el cronograma de riesgo. Entre ellos figuran demostraciones de operaciones estables entre varios cúbits lógicos, coherencia a escala de minutos y los primeros sistemas comerciales fuera del laboratorio. No se presenta un umbral único de cúbits como referencia suficiente, porque ese tipo de cifra puede cambiar de manera material con nuevas investigaciones.

Cómo afectaría a Bitcoin y por qué no sería un colapso total

La consecuencia más directa de una CRQC avanzada sería romper la criptografía de curva elíptica usada en Bitcoin. Eso permitiría ataques de largo alcance sobre monedas con claves públicas visibles desde hace tiempo y, potencialmente, ataques de corto alcance durante la ventana de gasto de una transacción normal, cuando la clave pública se revela temporalmente al difundirse una operación.

El robo de largo alcance sería, según el informe, el objetivo más inmediato. Allí entran las antiguas salidas Pay-to-Public-Key, conocidas como P2PK, ciertas salidas Pay-to-Taproot o P2TR, y los casos en los que un usuario reutilizó una dirección. Una vez revelada la clave pública en un gasto anterior, cualquier saldo remanente asociado a esa misma dirección pasa a ser un blanco potencial.

Sobre el robo de corto alcance, la situación es menos clara. En los formatos más usados hoy, las claves públicas permanecen ocultas on-chain hasta el momento del gasto, por lo que la CRQC tendría que actuar dentro de una ventana muy breve, usualmente de unos 10 minutos. El informe no afirma que las primeras máquinas cuánticas vayan a lograrlo, pero advierte que no puede descartarse.

También se aborda el efecto sobre la minería. Teóricamente, el algoritmo de Grover permitiría buscar hashes válidos con una ventaja cuadrática frente a sistemas clásicos. Sin embargo, el reporte remarca que la minería cuántica no es fácilmente paralelizable, lo que dificulta competir con grandes operaciones mineras convencionales. Por eso, el riesgo más inmediato para Bitcoin seguiría siendo el robo de fondos, no la captura del proceso de minado.

Ese punto es central para el debate público. El informe insiste en que la amenaza cuántica no es estructural para el consenso ni para los fundamentos monetarios de Bitcoin. Los bloques seguirían produciéndose y validándose bajo las mismas reglas, incluso si un subconjunto de monedas se vuelve robable. La discusión, en consecuencia, gira alrededor de custodia, migración y defensa de la propiedad.

Las mitigaciones que ya se estudian

El reporte presenta un menú amplio de mitigaciones, varias de ellas técnicamente viables hoy. La primera es casi operativa: eliminar la reutilización de direcciones. Como gran parte de la exposición está concentrada en un número pequeño de custodios e instituciones, mover fondos a nuevas direcciones y rotar claves reduciría una fracción importante del problema sin esperar un cambio de consenso.

La solución de fondo, no obstante, pasa por firmas poscuánticas. El texto distingue dos grandes familias. Las firmas basadas en retículas son más compactas y eficientes, con mejor impacto en comisiones y rendimiento, pero dependen de supuestos criptográficos más nuevos. Las basadas en hash son más conservadoras y se apoyan en primitivas ya familiares para Bitcoin, aunque resultan mucho más pesadas on-chain.

Buena parte del trabajo reciente se ha concentrado en SPHINCS+ y en adaptaciones orientadas a Bitcoin. El informe señala que investigaciones recientes muestran cómo reconfigurarlo para reducir materialmente su tamaño. Dentro del debate actual, aparecen como candidatos las variantes SHRINCS y SHRIMPS, probablemente en combinación, dentro de una ruta de gasto opcional y conservadora.

La forma de integrar estas firmas también importa. El documento examina salidas similares a Taproot capaces de admitir dos rutas de gasto: una clásica y otra poscuántica. Entre las opciones se mencionan P2MR de BIP-360 y el esquema Pay-to-Quantum-safe o P2Q. P2MR elimina la exposición de clave pública propia de la ruta de clave en Taproot, pero sacrifica parte de su eficiencia, privacidad y simplicidad.

Otra propuesta reseñada es el precompromiso PQC, que permitiría preparar fondos hoy para un futuro esquema de firmas poscuánticas sin requerir un cambio de consenso inmediato. Si luego un soft fork asigna verificación poscuántica a esa ruta preparada, esas salidas adquirirían automáticamente una vía de gasto segura sin necesidad de mover de nuevo las monedas.

El informe también reseña Quantum Safe Bitcoin, o QSB, un mecanismo que intenta producir transacciones resistentes a la cuántica usando reglas de consenso ya existentes. Su desventaja es considerable: generar una transacción válida implicaría buscar entre miles de millones de candidatos mediante GPU, con costos estimados entre USD $75 y USD $200 por transacción. Por eso, se perfila más como una solución de respaldo que como la opción principal para toda la red.

En paralelo, las pruebas ya comenzaron en entornos menos sensibles que la red principal. El documento indica que Blockstream Research desplegó en marzo de 2026 un verificador SHRINCS en Liquid, mientras sidechains como Anduro y ciertos rollups resistentes a la cuántica también podrían servir como laboratorios. La idea es obtener datos reales y experiencia operativa antes de activar cambios en la capa base.

Migración, monedas heredadas y posible fractura política

Un punto especialmente delicado es qué hacer con las monedas heredadas que no migren a tiempo. El informe identifica tres rutas. La primera consiste en mantener válidos los gastos heredados y aceptar que un actor cuántico pueda eventualmente robar monedas expuestas. La segunda propone ralentizar esos gastos. La tercera plantea congelarlos con una vía segura de recuperación.

En esta última categoría aparece la idea del “soft-freeze”. Investigaciones recientes de BitMEX describen un mecanismo para desactivar todos los gastos heredados mientras los propietarios legítimos recuperan fondos demostrando que controlan la seed phrase original, sin revelarla, mediante pruebas de conocimiento cero. El informe afirma que una prueba de concepto reciente logró tiempos de ejecución inferiores a un minuto en hardware de consumo.

La lógica es que la seed phrase, de 12 a 24 palabras en orden, no puede derivarse desde una clave pública expuesta con una CRQC. Eso abriría un camino para restaurar propiedad aun si las firmas heredadas se congelan. Para monedas P2PK sin respaldo en seed phrase, el panorama es más duro, ya que muchas se presumirían perdidas, salvo que el dueño hubiera publicado un compromiso hash antes del “QDay”.

En términos de gobernanza, el documento es claro: esa decisión sobre las monedas heredadas podría convertirse en la línea de fractura más probable para un fork contencioso. Bitcoin carece de una junta o comité central. Los cambios pasan por investigación, BIP, revisión, código, activación y adopción por actores económicamente relevantes. Si hubiera división, sería el mercado quien decidiría qué cadena conserva el nombre y la liquidez principal.

En un escenario ordenado, el camino tendría varias fases. Primero, elegir una firma poscuántica y un tipo de salida. Luego, incluirlos en un soft fork, posiblemente con un nuevo opcode de verificación. Más tarde, habilitarlo como ruta opcional de gasto. Después, migrar fondos y seguir refinando la criptografía. Finalmente, resolver el destino de las salidas heredadas todavía expuestas.

Sobre la capacidad de migración, el informe ofrece una conclusión llamativa. Si cerca de 25% del espacio de bloque se dedicara a la migración, alrededor de 90% del valor en Bitcoin podría moverse en aproximadamente 4,4 días, equivalente a unos 956.000 UTXOs, y cerca de 98% en unas 3,5 semanas, equivalente a unos 5.300.000 UTXOs. La limitación principal sería conductual y de coordinación, no técnica.

El manual de respuesta rápida ante una sorpresa cuántica

El reporte también contempla un escenario abrupto, donde la amenaza cuántica aparezca sin margen suficiente para una transición tranquila. Como antecedente, recuerda que Bitcoin ya coordinó correcciones de emergencia en 2010, 2013 y 2018. Esos episodios fueron de menor escala, pero muestran que la red puede moverse bajo presión cuando existe una amenaza inmediata.

El primer reto sería incluso epistemológico. No necesariamente sería fácil demostrar que un robo ocurrió por capacidad cuántica y no por custodia defectuosa o recuperación legítima. Para evitar demoras, el ecosistema podría fijar de antemano puntos de referencia y disparadores de activación vinculados a evidencia de escalado real en cúbits lógicos, coherencia y velocidad de puertas cuánticas.

Mientras se define o despliega una firma poscuántica robusta, podrían usarse defensas puente. El manual de respuesta rápida elaborado junto con desarrolladores de Bitcoin propone, durante el primer mes, prohibir nuevos tipos de salida vulnerables a la cuántica. En paralelo, habría que decidir cómo tratar las monedas heredadas. Según el informe, una CRQC inesperada volvería más probable la opción de congelamiento suave.

Si además ya existiera robo de corto alcance, el documento contempla un mecanismo de commit/reveal para permitir migraciones seguras. Bajo este esquema, el usuario publica primero un compromiso protegido poscuánticamente con el hash de un gasto posterior. Luego de esperar confirmaciones, difunde la operación final. Como el gasto queda amarrado al compromiso previo, el atacante no podría sustituirlo por otra transacción.

Cuando ni siquiera exista aún un esquema poscuántico activado, el informe menciona como solución interina las mempools privadas, como MARA Slipstream, donde la transacción va directo a un minero sin difusión pública. El texto aclara que esto sería funcional pero indeseable, porque introduce confianza en mineros y añade un componente centralizador, aunque podría servir para ganar tiempo en una emergencia severa.

La cronología de ese manual ubica la activación de firmas poscuánticas alrededor del mes 6 o 7 si el ecosistema no hubiera avanzado antes. Después vendría la migración acelerada. Con 100% del espacio de bloque dedicado a ese fin, el informe calcula que aproximadamente 90% del valor podría migrarse en unos 1,1 días y cerca de 98% en unos 6,2 días. Son estimaciones de capacidad extrema, no pronósticos de comportamiento real.

La conclusión general del documento es sobria. La amenaza cuántica para Bitcoin sigue teniendo un cronograma incierto, pero la superficie de riesgo ya está bastante bien definida y las herramientas de mitigación también. El desafío dominante no sería la imposibilidad técnica, sino la coordinación entre desarrolladores, wallets, custodios, exchanges y usuarios para actuar a tiempo y con reglas claras.

De fondo, el informe describe un sistema que intenta preservar opcionalidad. Si la computación cuántica avanza lentamente, Bitcoin tendría margen para una transición ordenada. Si irrumpe de forma abrupta, podrían activarse defensas puente y planes predefinidos. En ambos casos, el objetivo es el mismo: proteger la propiedad de los usuarios sin sacrificar los fundamentos monetarios y operativos de la red.

ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín