Google publicó Willow, un chip cuántico que provocó pánico en la comunidad cripto, y algunos influencers proclamaron que «en 2026 Bitcoin llegará a cero». Pero la realidad es: para romper Bitcoin se necesitan entre 2,300 y 2,600 qubits lógicos, mientras que en arquitecturas tradicionales se requieren de 2 millones a 20 millones de qubits físicos. Willow tiene solo 105 qubits, una diferencia de 4 órdenes de magnitud, por lo que Bitcoin será relativamente seguro antes de 2030.
La verdadera línea de tiempo de la amenaza cuántica: 2030 será el año clave
Al hablar de la amenaza de la computación cuántica, primero hay que entender la enorme brecha entre «puede romper» y «realmente rompe». La criptografía de curva elíptica secp256k1 de Bitcoin depende de la complejidad computacional; en teoría, un ordenador cuántico que ejecute el algoritmo de Shor puede romperla, pero la clave está en «cuántos qubits se necesitan».
Para romper Bitcoin, se requieren aproximadamente entre 2,300 y 2,600 qubits lógicos, además de cientos de miles de millones de puertas cuánticas. Sin embargo, los qubits son muy sensibles al ruido y necesitan mecanismos de corrección de errores. En arquitecturas tradicionales de códigos superficiales, crear un qubit lógico puede requerir 1,000 qubits físicos. En términos prácticos, romper Bitcoin podría necesitar entre 2 millones y 20 millones de qubits físicos.
Willow solo tiene 105 qubits físicos, a 4 órdenes de magnitud del umbral de amenaza. Esto equivale a la diferencia entre un radio de cristal y un teléfono inteligente moderno. Aunque empresas como IBM, IonQ y QuEra tienen hojas de ruta ambiciosas, incluso en las predicciones más optimistas, alcanzar los miles de qubits lógicos no ocurrirá antes de 2029 a 2033. IonQ planea llegar a unos 1,600 qubits lógicos en 2028, y IBM aspira a una computadora cuántica tolerante a fallos con 200 qubits lógicos en 2029.
La ventana de peligro real será entre 2030 y 2035. Con la posible aparición de ordenadores cuánticos con capacidad criptográfica (CRQC) en ese período, Bitcoin deberá actualizar sus protocolos antes de esa fecha. La versión mejorada del algoritmo de Shor propuesta en 2023 por Oded Regev de la Universidad de Nueva York reduce los pasos cuánticos en aproximadamente un 20%, pero aún requiere miles de qubits lógicos. Un factor aún más importante son los códigos de corrección de errores de baja densidad de paridad cuántica (qLDPC), que teóricamente pueden reducir el costo de corrección de 1,000:1 a 10:1, pero necesitan hardware completamente nuevo.
¿Es segura tu Bitcoin? La diferencia entre dos tipos de direcciones y su riesgo de vida o muerte
La amenaza de la computación cuántica no afecta por igual a todos los Bitcoin. Para entender los riesgos, hay que distinguir entre dos tipos de direcciones, cuya seguridad varía enormemente.
Las direcciones modernas de Bitcoin (P2PKH, que empiezan por 1, 3 o bc1) usan doble hash de la clave pública (SHA-256 + RIPEMD-160). La clave pública no se revela hasta que el usuario inicia una transacción, momento en el cual se difunde en la red. Un atacante, en un plazo de unos 10 minutos desde que la transacción entra en la mempool hasta que se confirma en un bloque, podría interceptar la clave pública, ejecutar el algoritmo cuántico para calcular la clave privada y crear una transacción de reemplazo de tarifa más alta para robar fondos. Este «ataque en tránsito» sería muy desafiante incluso para CRQC.
Pero en 2009-2010, Satoshi y los primeros mineros usaron scripts P2PK, exponiendo la clave pública en los datos del bloque. Los atacantes no tenían que esperar a que ocurriera una transacción; podían escanear toda la cadena de bloques, extraer millones de BTC en clave pública en estado bruto y, offline, ejecutar Shor en un ordenador cuántico para obtener la clave privada. Es un escenario clásico de «recopilar ahora, descifrar después».
El riesgo extremo de las direcciones P2PK
Magnitud de exposición: aproximadamente 2 a 4 millones de BTC, incluyendo unos 1.1 millones en las carteras de Satoshi
Tipo de ataque: rotura offline, sin esperar transacciones, con años de anticipación
Ventana temporal: una vez que CRQC exista, estos fondos podrían ser robados en horas
Dilema de gobernanza: si Satoshi desaparece, la comunidad podría verse forzada a congelar o destruir estos activos mediante un soft fork
Los 1.1 millones de BTC de Satoshi representan el mayor «rinoceronte gris» de Bitcoin. Cuando se implemente la actualización contra la amenaza cuántica, la red tendrá que decidir qué hacer con estas monedas inalteradas en direcciones P2PK antiguas. Si los poseedores de las claves no firman y migran a nuevas direcciones, cuando CRQC llegue, los hackers podrán robar estos fondos y hacer dumping. La comunidad podría verse obligada a violar el principio de que la propiedad es inviolable, congelando estos activos, lo que provocaría una división aún más grave que BCH/BTC.
El sistema de triple defensa de Bitcoin ya está en marcha
Frente a la amenaza potencial, la comunidad de desarrolladores de Bitcoin no está de brazos cruzados. La tecnología cuántica resistente ya pasa de la teoría a la ingeniería, y un sistema de triple defensa está en construcción.
La primera línea de defensa es P2TSH (Pay-to-Tapscript-Hash), un nuevo tipo de salida de transacción propuesto en BIP-360. Aprovecha la estructura Taproot existente, eliminando la «clave de ruta» vulnerable a la cuántica, dejando solo la «ruta de script». Como la ruta de script está hasheada, la estructura interna no puede ser vista por la computadora cuántica. Esta actualización es compatible con versiones anteriores y puede implementarse mediante soft fork.
La segunda línea de defensa es el mecanismo de emergencia Commit-Delay-Reveal (Compromiso-Retraso-Revelación). Si aparece un ordenador cuántico, el usuario envía una transacción que incluye solo el hash de la nueva dirección cuánticamente segura, sin la clave pública ni la firma. El protocolo obliga a que esta transacción espere varios bloques (por ejemplo, 144, aproximadamente 1 día). Después del retraso, el usuario envía una segunda transacción que revela la clave pública antigua y la firma para desbloquear los fondos y transferirlos a la nueva dirección. Aunque un atacante cuántico vea la clave en la fase de «revelación», no podrá revertir la cadena para insertar su propia transacción, ya que la primera transacción con el compromiso tiene una marca de tiempo establecida.
La tercera línea de defensa se basa en firmas de Lamport y firmas unidireccionales WOTS, que usan hashes. Con el creciente interés en recuperar el opcode OP_CAT en Bitcoin, los desarrolladores pueden incorporar lógica de verificación de firmas WOTS en los scripts sin necesidad de hard fork, logrando una actualización cuánticamente resistente sin permisos. Además, los algoritmos post-cuánticos estandarizados por NIST, como SPHINCS+, ya están en discusión en propuestas de mejoras de Bitcoin.
La llegada de la computación cuántica no significa el fin de Bitcoin, sino una cuenta regresiva para una actualización tecnológica. Entre 2030 y 2035 será un período de alta peligrosidad, y Bitcoin debe completar su actualización antes de ese momento. La historia siempre avanza en crisis; si Bitcoin puede sobrevivir en la era cuántica dependerá de si la comunidad logra completar esta actualización sin salida posible antes de que la amenaza se materialice.
