Por Canuto Una nueva investigación académica plantea un recorte importante en los recursos cuánticos necesarios para resolver el problema del logaritmo discreto sobre curvas elípticas, la base de buena parte de la seguridad usada en Bitcoin y otros sistemas. El resultado no implica una ruptura inmediata de ECC, pero sí eleva la relevancia del debate sobre cuánto falta para que la amenaza poscuántica deje de ser teórica.
***
- El estudio estima que una curva prima de 256 bits podría atacarse con 1.333 qubits lógicos, frente a 2.124 de una implementación previa de bajo ancho.
- La mejora proviene de un algoritmo reversible y más eficiente para inversión modular, una de las operaciones más costosas dentro de Shor aplicado a curvas elípticas.
- Los autores sostienen que su método alcanza 5n + 4⌊log2 n⌋ + O(1) qubits y un costo total de O(n3) puertas Toffoli para ECDLP.
🚨 Nuevo algoritmo cuántico reduce qubits necesarios para romper la criptografía de curvas elípticas 🚨
Investigadores han hallado un método más eficiente que reduce de 2.124 a 1.333 qubits lógicos para atacar el problema del logaritmo discreto en curvas elípticas.
Este avance… pic.twitter.com/aQCKE3QUrg
— Diario฿itcoin (@DiarioBitcoin) April 5, 2026
La carrera entre la criptografía moderna y la computación cuántica acaba de sumar un nuevo capítulo. Un grupo de investigadores presentó un método más eficiente, en términos de espacio, para ejecutar un ataque cuántico contra criptosistemas basados en curvas elípticas, una familia de herramientas que hoy protege firmas digitales, intercambios de claves y buena parte de la infraestructura de Internet y del ecosistema cripto.
El trabajo, titulado Space-Efficient Quantum Algorithm for Elliptic Curve Discrete Logarithms with Resource Estimation, fue desarrollado por Han Luo, Ziyi Yang, Ziruo Wang, Yuexin Su y Tongyang Li. Su principal aporte es reducir el número de qubits lógicos necesarios para resolver el problema del logaritmo discreto en curvas elípticas, conocido como ECDLP, dentro del modelo estándar de circuitos cuánticos.
Para el mundo de Bitcoin y de muchas redes basadas en firmas elípticas, esto importa porque la seguridad de estos sistemas depende de que ese problema siga siendo impracticable. En términos simples, si una computadora cuántica tolerante a fallos logra resolver ECDLP a gran escala, la seguridad de esquemas como ECDSA quedaría comprometida.
El estudio no dice que eso vaya a ocurrir mañana. Lo que sí muestra es que el costo teórico para hacerlo podría ser menor de lo que indicaban algunas estimaciones anteriores, lo que reduce margen y refuerza la discusión sobre migración poscuántica.
Qué problema intenta resolver el estudio
La criptografía de curvas elípticas, o ECC, se popularizó porque ofrece un nivel de seguridad alto con claves relativamente pequeñas. Según las recomendaciones citadas de NIST, una curva de 256 bits brinda una seguridad equivalente a 128 bits, comparable a RSA con un módulo de 3.072 bits.
Esa eficiencia explica su adopción en protocolos ampliamente desplegados, entre ellos TLS, SSH y sistemas de firma digital. También aparece en criptomonedas como Bitcoin, donde la autenticidad de las transacciones depende de firmas que hoy resultan seguras frente a ataques clásicos.
Sin embargo, el escenario cambia con la computación cuántica. Desde que Peter Shor presentó en 1994 su algoritmo para factorizar enteros y resolver logaritmos discretos en tiempo polinómico, la comunidad sabe que ECC dejaría de ser segura ante máquinas cuánticas suficientemente grandes y estables.
El problema práctico es que esas máquinas todavía no existen en la escala necesaria. Por eso, gran parte de la investigación actual se centra en estimar cuántos qubits lógicos, cuántas puertas cuánticas y cuánta corrección de errores harían falta para ejecutar estos ataques en condiciones realistas.
En ese contexto, el nuevo trabajo se concentra en una pregunta concreta: si ya se sabe que Shor puede atacar ECDLP, ¿es posible reducir más el espacio cuántico requerido en la práctica? La respuesta de los autores es que sí, al menos en el nivel lógico del circuito.
La mejora clave: menos qubits para la inversión modular
Los autores explican que, dentro de las implementaciones de Shor para curvas elípticas, gran parte de la complejidad espacial viene de la inversión modular durante la suma de puntos. Esa operación aparece cuando se trabaja con coordenadas afines y suele dominar el número total de qubits lógicos.
Su propuesta arranca del algoritmo extendido de Euclides, o EEA, y refina una idea previa de uso compartido de registros planteada por Proos y Zalka en 2003. A partir de allí, construyen un algoritmo reversible y exacto para inversión modular que compacta mejor las variables intermedias.
Según el documento, el circuito de inversión modular resultante usa 3n + 4⌊log2 n⌋ + O(1) qubits lógicos y alrededor de 204n2 log2 n + O(n2) puertas Toffoli. Luego, al insertar ese bloque dentro del circuito de suma de puntos afines controlada, obtienen un algoritmo para ECDLP con 5n + 4⌊log2 n⌋ + O(1) qubits y O(n3) puertas Toffoli.
La comparación más llamativa aparece en curvas de campo primo de 256 bits. Allí, la estimación baja el conteo de qubits lógicos a 1.333, frente a 2.124 reportados en una implementación previa de bajo ancho por Hӓner y colaboradores. Para otras curvas, la tabla del estudio muestra 849 qubits para ECC-160, 1.009 para ECC-192, 1.169 para ECC-224, 1.973 para ECC-384 y 2.662 para ECC-521.
El avance es relevante porque las mejoras en computación cuántica aplicada a criptografía suelen implicar compensaciones. Reducir ancho puede aumentar profundidad o cantidad de puertas. En este caso, los autores sostienen que mantienen un costo total de Toffoli en O(n3) para el algoritmo completo de ECDLP.
Cómo funciona la propuesta y por qué importa
Aunque el paper es muy técnico, la idea central puede resumirse en que el equipo encontró una forma más compacta de almacenar y actualizar los datos intermedios del algoritmo extendido de Euclides durante la inversión modular. Para ello usa registros de longitud y aritmética controlada por ubicación, con el fin de acomodar variables dentro de un espacio menor.
El trabajo también busca resolver una limitación práctica de la propuesta antigua de Proos y Zalka. Aquella ofrecía un buen límite asintótico, pero no detallaba circuitos cuánticos explícitos ni resolvía con claridad temas como reversibilidad, manejo de ancillas y estimaciones concretas de recursos.
Además, según los autores, ese diseño previo incurría en pérdida de fidelidad por el tratamiento aproximado de la inversión modular. El nuevo enfoque pretende evitar ese problema con una asignación exacta de registros, reduciendo el sobrecosto adicional desde O(√n) hasta O(log n) y manteniendo corrección exacta.
El estudio presenta pseudocódigo completo, ejemplos clásicos de ejecución y diagramas de circuitos para los componentes que describe como no estándar. También reporta evaluaciones numéricas del conteo de puertas Toffoli y CNOT para tamaños de problema de 64, 128, 160, 192, 224, 256, 384 y 512 bits.
Para inversión modular, la tabla numérica muestra, por ejemplo, unas 1,97 × 10^8 puertas Toffoli y 1,36 × 10^8 puertas CNOT para n = 256. En n = 512, la cifra asciende a 6,24 × 10^8 Toffoli y 5,82 × 10^8 CNOT.
Qué significa para Bitcoin y la seguridad poscuántica
En la práctica, este tipo de trabajo no implica que Bitcoin esté a punto de ser roto. La amenaza real depende de muchos factores que van más allá del conteo lógico, entre ellos la disponibilidad de computadoras cuánticas tolerantes a fallos, tasas de error suficientemente bajas y arquitecturas físicas capaces de sostener circuitos de gran escala.
De hecho, el propio estudio reconoce que la implementación práctica de Shor a escalas criptográficas sigue muy limitada por el hardware cuántico actual. Los autores enmarcan su aporte como una optimización de recursos, no como una demostración de viabilidad inmediata.
Aun así, la tendencia es importante. Si los requisitos lógicos siguen bajando con nuevas técnicas, el horizonte de riesgo para ECC puede acortarse respecto de estimaciones antiguas. Para ecosistemas que dependen de firmas elípticas, eso refuerza la necesidad de planificar transiciones hacia esquemas resistentes a ataques cuánticos.
Bitcoin entra de lleno en esa conversación porque utiliza criptografía de curva elíptica en sus firmas. Aunque no todas las monedas están expuestas de la misma forma y existen matices sobre claves públicas reveladas o no reveladas, una mejora sostenida en algoritmos cuánticos es una señal que el sector no puede ignorar.
El estudio también recuerda que, pese a avances recientes en factorización cuántica de RSA, las estimaciones previas para ECDLP seguían siendo relativamente altas. Por eso, bajar el costo espacial del ataque a curvas elípticas tiene un peso especial en el debate comparativo sobre qué infraestructuras son más urgentes de migrar.
Comparaciones con otros trabajos y preguntas abiertas
Los investigadores también mencionan trabajo concurrente de Clémence Chevignard, Pierre-Alain Fouque y André Schrottenloher, quienes propusieron otro algoritmo cuántico para ECDLP con reducción de qubits. En ese caso, la mejora proviene del uso de un sistema de residuos para calcular coordenadas proyectivas en la multiplicación de puntos.
Según este nuevo estudio, la diferencia es que su avance se apoya en una mejor implementación de la inversión modular mediante EEA. En términos de conteo total de Toffoli, sostienen que su algoritmo logra O(n3), mientras que el del otro enfoque queda en O(n4(log n)2).
También citan una afirmación de Babbush y otros sobre una implementación de Shor para ECDLP con un conteo de Toffoli significativamente mejorado. Sin embargo, los autores señalan que no pueden comparar de forma explícita porque los detalles técnicos no fueron divulgados.
Más allá de la competencia académica, el paper deja abiertas varias líneas futuras. Entre ellas menciona la posibilidad de seguir optimizando profundidad y conteo de puertas, estudiar implementaciones sobre arquitecturas cuánticas actuales y reutilizar el bloque de inversión modular en otros algoritmos cuánticos.
Eso último es importante. Aunque el foco mediático suele estar en Bitcoin o en firmas digitales, una pieza como la inversión modular reversible puede terminar siendo útil en más de un problema dentro de la computación cuántica aplicada a criptografía y aritmética modular.
En síntesis, el aporte de Han Luo, Ziyi Yang, Ziruo Wang, Yuexin Su y Tongyang Li no cambia de inmediato el estado de seguridad de las redes cripto. Pero sí mueve una variable clave del tablero: el costo lógico estimado para atacar ECC con computación cuántica. Y cada reducción en ese frente vuelve más urgente la conversación sobre preparación poscuántica.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Blockchain
Ant Group lanza Anvita para que agentes de IA paguen y operen con stablecoins
Empresas
Anthropic entra en política con un PAC en plena disputa por la IA en Washington
Hardware
Nuevo método reduce el gasto energético de robots cuadrúpedos hasta 86% con articulaciones elásticas
Artículos