En marzo de 2026, el equipo de Quantum AI de Google, en colaboración con la Universidad de Stanford y la Ethereum Foundation, publicó un white paper de 57 páginas en el que analiza de forma sistemática las amenazas de seguridad que la computación cuántica supone para las criptomonedas. La conclusión principal: los recursos de computación cuántica necesarios para romper la criptografía de curva elíptica de 256 bits (ECC-256), que sustenta Bitcoin y Ethereum, son aproximadamente 20 veces menores que las mejores estimaciones previas. En concreto, bajo una arquitectura de computación cuántica superconductora, menos de 500 000 cúbits físicos podrían ejecutar dicho ataque, reduciendo el tiempo de ejecución a unos 9 minutos.
La importancia de este hallazgo no reside en que los ordenadores cuánticos ya puedan romper Bitcoin (el hardware actual está muy lejos de ser capaz), sino en que traslada el "Día Q" (el momento en que los ordenadores cuánticos puedan romper la criptografía actual) de una preocupación teórica lejana a una ventana de ingeniería calculable. Google ha fijado internamente 2029 como fecha límite para migrar sus sistemas a criptografía post-cuántica (PQC). Justin Drake, investigador de la Ethereum Foundation y coautor del estudio, estima que para 2032 la probabilidad de que un ordenador cuántico recupere una clave privada secp256k1 a partir de una clave pública expuesta será de al menos el 10 %.
Cómo el algoritmo de Shor deriva claves privadas a partir de claves públicas
La seguridad de Bitcoin se basa en el algoritmo de firma digital de curva elíptica (ECDSA) utilizando la curva secp256k1. El supuesto fundamental es que, con ordenadores clásicos, es inviable derivar una clave privada a partir de una clave pública en un plazo de tiempo razonable. Este principio es la base de la seguridad de todo el sistema blockchain.
El algoritmo de Shor demuestra que, en un ordenador cuántico, el problema del logaritmo discreto en curva elíptica puede resolverse de forma eficiente. La aportación clave de Google en este trabajo es la compilación de un circuito cuántico para el algoritmo de Shor dirigido específicamente a secp256k1, junto con estimaciones concretas de recursos. El estudio presenta dos enfoques: uno mantiene los cúbits lógicos por debajo de 1 200 y las puertas Toffoli por debajo de 90 millones; el otro aumenta los cúbits lógicos a 1 450 pero reduce las puertas Toffoli a 70 millones. En un ordenador cuántico superconductor, esto equivale a menos de 500 000 cúbits físicos.
Simbólicamente, Google no publicó el circuito completo del ataque. En su lugar, emplearon pruebas de conocimiento cero para verificar la existencia y corrección del circuito. Este enfoque, heredado del principio de "divulgación responsable" en ciberseguridad tradicional, indica que la criptoanálisis cuántica ha entrado en una nueva fase, en la que se requiere defensa proactiva en lugar de soluciones reactivas.
Dos escenarios de ataque: interceptación en tiempo real y recolección offline
El white paper describe dos escenarios de ataque cuántico, cada uno con perfiles de riesgo distintos.
El primero es el "ataque en tiempo real", dirigido a transacciones transmitidas en el mempool. Cuando un usuario inicia una transacción de Bitcoin, su clave pública queda brevemente expuesta en la red (unos 10 minutos, el tiempo medio de bloque de Bitcoin). Un ordenador cuántico lo suficientemente rápido podría derivar la clave privada a partir de la clave pública en aproximadamente 9 minutos, permitiendo a un atacante enviar una transacción competidora y robar los fondos antes de la confirmación. El estudio estima que una sola máquina cuántica en estado precomputado tendría alrededor de un 41 % de probabilidad de interceptar una transacción en esta ventana.
El segundo es el "ataque estático", dirigido a monederos inactivos cuyas claves públicas están expuestas permanentemente en la cadena. Aquí no existe restricción temporal, por lo que un ordenador cuántico puede trabajar a su propio ritmo. El estudio calcula que unos 6,9 millones de bitcoins (alrededor del 33 % del suministro total) tienen claves públicas expuestas, incluyendo aproximadamente 1,7 millones de monedas tempranas de la era Satoshi y una gran cantidad de fondos expuestos por la reutilización de direcciones.
Un hallazgo relevante del white paper es que la actualización Taproot de Bitcoin en 2021, aunque mejoró la seguridad y privacidad tradicionales, en realidad amplió la superficie de ataque cuántico al exponer por defecto la clave pública en la cadena. Taproot eliminó la capa de protección "hash-then-expose" presente en el antiguo formato de dirección P2PKH.
El coste técnico y el dilema de gobernanza frente a la amenaza cuántica
La hoja de ruta para contrarrestar las amenazas cuánticas está clara, pero también lo están los costes. El Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) completó en agosto de 2024 la estandarización del primer lote de algoritmos de criptografía post-cuántica, incluyendo FIPS 203, 204 y 205. En el plano técnico, las alternativas viables incluyen firmas post-cuánticas basadas en retículas (como ML-DSA, antes CRYSTALS-Dilithium) y firmas basadas en hashes (como SLH-DSA, antes SPHINCS+).
Sin embargo, el modelo de gobernanza descentralizada de Bitcoin complica enormemente la migración criptográfica. Introducir esquemas de firma post-cuántica requeriría un soft fork o hard fork, lo que implica consenso comunitario, coordinación de desarrolladores y actualizaciones sincronizadas de proveedores de monederos y exchanges. La comunidad de Bitcoin ha propuesto la BIP-360 para añadir opciones de firma resistente a cuántica, pero sigue en discusión. El desarrollador principal Adam Back y otros sostienen que la amenaza cuántica aún está "a décadas de distancia", y que una actualización prematura y masiva podría introducir vulnerabilidades criptográficas no auditadas.
El verdadero problema de fondo es que la incertidumbre sobre la amenaza cuántica convierte el "cuándo migrar" en un dilema de teoría de juegos. Actualizar demasiado pronto podría desperdiciar recursos de desarrollo, mientras que esperar demasiado podría ocasionar pérdidas de activos irreversibles.
Cómo la amenaza cuántica está cambiando la valoración de la seguridad de los criptoactivos
Las amenazas de la computación cuántica están redefiniendo el "margen de seguridad" de los criptoactivos. El supuesto tradicional (que no se puede revertir una clave pública a privada en un tiempo factible) está siendo recalibrado. Los 6,9 millones de bitcoins (valorados en más de 450 000 millones de dólares al precio actual) con claves públicas completamente expuestas dependen únicamente del hecho temporal de que los ordenadores cuánticos aún no están maduros.
El mercado ya está reaccionando ante este riesgo de diversas formas. El uso de direcciones Taproot cayó del 42 % en 2024 a alrededor del 20 %, lo que indica que algunos usuarios están evitando deliberadamente formatos de dirección que exponen la clave pública. Matthew Kimmell, estratega de inversión de CoinShares, señaló que esta investigación "acorta la ventana para que la industria avance en investigación y desarrolle un plan de acción".
En una perspectiva más amplia, la industria cripto es más vulnerable a las amenazas cuánticas que las finanzas tradicionales, principalmente porque los registros blockchain son públicos e inmutables. Las instituciones financieras tradicionales pueden actualizar masivamente certificados y claves para defenderse de ataques cuánticos, pero una vez que una clave pública está expuesta en la cadena, es permanente y no puede ser "revocada". Esta diferencia estructural implica que la industria cripto necesita no solo la capacidad de "adoptar algoritmos post-cuánticos", sino también un marco institucional para "adaptarse a la evolución criptográfica continua".
¿Cuánto falta desde las estimaciones de recursos hasta los ataques reales?
Aunque las estimaciones de recursos del white paper han disminuido significativamente, la capacidad de ataque real aún está lejos. Los sistemas cuánticos más avanzados de hoy, incluido el chip Willow de Google, cuentan con apenas unos 100 cúbits físicos y no han logrado corrección de errores. Salvar la distancia desde el hardware actual hasta los 500 000 cúbits físicos estables y corregidos implica superar enormes retos de ingeniería.
Algunos expertos consideran que las preocupaciones actuales son prematuras. Adam Back, de Blockstream, señala que la capa de red de Bitcoin no depende de la criptografía tradicional; la amenaza cuántica no consiste en interceptar tráfico de red, sino en romper las claves privadas de usuarios individuales. Además, la función hash SHA-256 utilizada en proof-of-work es relativamente robusta frente a ataques cuánticos (el algoritmo de Grover solo mejora la eficiencia de cracking de hashes a la raíz cuadrada, mucho menos peligroso que el impacto "exponencial" del algoritmo de Shor sobre la criptografía de clave pública).
No obstante, esto no significa que la industria pueda permitirse esperar. En ciberseguridad, la estrategia de "recopilar ahora, descifrar después" implica que los atacantes pueden estar ya recolectando datos de la blockchain, esperando a que los ordenadores cuánticos maduren para romperlos. Esta asimetría temporal exige a la industria desplegar defensas antes de que los ordenadores cuánticos sean una realidad.
Del roadmap de Google para 2029 a los plazos regulatorios internacionales
El objetivo de Google de migrar sus sistemas internos a PQC para 2029 no es un caso aislado. El marco CNSA 2.0 de la Agencia de Seguridad Nacional de EE. UU. exige que todos los nuevos sistemas de seguridad nacional utilicen algoritmos resistentes a cuántica para enero de 2027, la migración total para 2030 y la migración completa de la infraestructura para 2035. La doble presión de los estándares del NIST y los plazos regulatorios de la NSA está empujando a empresas e instituciones a tratar la migración a PQC como un mandato de cumplimiento, no solo como un tema de investigación.
Este contexto plantea un reto más directo para la industria cripto. Actualizar redes descentralizadas como Bitcoin y Ethereum suele requerir años. La Ethereum Foundation lleva años investigando hojas de ruta post-cuánticas y ya está probando esquemas de firma post-cuántica en testnets. En cambio, Bitcoin aún carece de una hoja de ruta clara post-cuántica y de un mecanismo de financiación coordinado. Si bien la gobernanza descentralizada otorga legitimidad, también hace que la migración criptográfica a nivel de protocolo sea especialmente lenta.
Conclusión
El white paper del equipo de Quantum AI de Google no supone el fin de Bitcoin. Más bien, transforma la amenaza cuántica de una hipótesis vaga y lejana a un conjunto de parámetros de ingeniería cuantificables. Los 500 000 cúbits físicos necesarios para un ataque, la ventana de ataque de unos 9 minutos y los 6,9 millones de bitcoins con claves públicas expuestas definen una ventana de seguridad real y cada vez más estrecha.
El reto para la industria no es solo técnico (el NIST ya ha resuelto el problema algorítmico). La verdadera dificultad es la coordinación de la gobernanza. En redes descentralizadas, alcanzar consenso lleva tiempo, pero el avance de la computación cuántica no se detendrá. En los próximos cinco a siete años, la industria cripto debe equilibrar dos riesgos: actualizar demasiado pronto e introducir criptografía no probada, o actualizar demasiado tarde y afrontar pérdidas de activos irreversibles. Sea cual sea el camino elegido, la computación cuántica ha pasado de ser un concepto teórico a una variable práctica que debe integrarse en los marcos de seguridad de los criptoactivos.
Preguntas frecuentes
P: ¿Pueden los ordenadores cuánticos romper Bitcoin hoy en día?
R: No. Los sistemas cuánticos más avanzados actualmente cuentan con unos 100 cúbits físicos. Romper la ECC-256 de Bitcoin requiere en torno a 500 000 cúbits físicos corregidos de errores, una diferencia de varios cientos de veces.
P: ¿Qué significa un crackeo en 9 minutos?
R: Se refiere al escenario de "ataque en tiempo real" descrito en el white paper. Si un ordenador cuántico está en estado precomputado, tardaría unos 9 minutos desde la exposición de la clave pública hasta romperla con éxito, algo menos que el tiempo medio de bloque de Bitcoin (10 minutos). Teóricamente, esto supone alrededor de un 41 % de probabilidad de interceptar una transacción.
P: ¿Qué bitcoins están en mayor riesgo?
R: Las direcciones con claves públicas expuestas permanentemente son las más vulnerables, incluidas las direcciones P2PK tempranas (aproximadamente 1,7 millones de monedas), direcciones expuestas por reutilización y direcciones Taproot. El estudio estima que unos 6,9 millones de bitcoins se encuentran en este estado expuesto.
P: ¿Se puede actualizar Bitcoin para defenderse de ataques cuánticos?
R: Sí. El NIST ya ha finalizado los estándares de criptografía post-cuántica (como ML-DSA y SLH-DSA). Bitcoin podría introducir opciones de firma resistente a cuántica a través de propuestas como la BIP-360. El reto es que las actualizaciones requieren consenso comunitario, lo que puede llevar años.
P: ¿Qué deberían hacer los usuarios ahora?
R: Evitar reutilizar direcciones: usar una dirección nueva para cada transacción. Almacenar grandes cantidades en monederos fríos. Mantenerse informado sobre los avances de la comunidad en actualizaciones resistentes a cuántica y migrar proactivamente los activos a formatos de dirección más seguros.
