¿Realmente no se puede ser demasiado optimista? En el mismo día, dos artículos científicos muestran que la computación cuántica reduce en dos órdenes de magnitud la barrera para romper la seguridad de Bitcoin.

31 de marzo por la tarde, el retroceso invirtió el repunte de la mañana: aceleró la caída y atravesó con rapidez el umbral de 67.000 dólares. El índice de Miedo y Codicia del mercado se deslizó hasta 28. En redes sociales, una imagen que se ha compartido repetidamente muestra: la cantidad de física cuántica necesaria para que una computadora cuántica descifre claves privadas de Bitcoin cae de saltos de nivel de millón a nivel de diez mil. Un investigador de Quantum AI de Google advirtió que el ataque cuántico puede secuestrar una transacción de Bitcoin que está siendo transmitida en 9 minutos, con aproximadamente un 41% de probabilidad de completarse antes de la confirmación. Unos 6,9 millones de bitcoins con claves públicas ya expuestas yacían en silencio en la cadena, esperando a que la potencia de cómputo alcance la teoría.

Lo que desató este pánico fueron dos artículos publicados casi al mismo tiempo el día anterior. Uno proviene del equipo de Quantum AI de Google y el otro de la empresa de computación cuántica Oratomic, de átomos neutros. Por separado, cada artículo es un avance importante en su respectivo campo. Si se ponen juntos, lo que recortan son capas diferentes de la pila de computación cuántica, y el efecto se multiplica directamente.

El investigador principal de investigación de Ethereum, Justin Drake, dijo en un tuit que era «un día con significado histórico para la computación cuántica y la criptografía». Él participó en el artículo del equipo de Google; dicho artículo mejora el algoritmo de Shor, el algoritmo de ataque cuántico más famoso en el ámbito de la criptografía, diseñado específicamente para descifrar cifrado RSA y de curvas elípticas. El algoritmo de firma secp256k1 que usan Bitcoin y Ethereum pertenece precisamente a la categoría del cifrado con curvas elípticas.

¿Por qué es realmente aterrador combinar ambos artículos? Porque el total de física cuántica necesaria para descifrar una firma de curva elíptica = número de qubits lógicos (cuántas unidades de cómputo «limpias» se requieren a nivel algorítmico) × número de qubits físicos necesarios por cada qubit lógico (cuántos bits físicos «redundantes» se necesitan en la capa de corrección para mantener una unidad limpia). El artículo de Google comprime el primero, y el de Oratomic comprime el segundo. Si el numerador y el denominador se reducen al mismo tiempo, el producto cae en picada.

Según un artículo recopilado en EUROCRYPT 2026, el número de qubits lógicos necesarios para descifrar una curva elíptica de 256 bits pasó de 2.330 en 2017 (según el artículo de referencia de Roetteler y otros) a 2.124 en 2020 (según mejoras de Haner y otros) y luego a 1.098 en marzo de 2026. En nueve años, la demanda a nivel algorítmico se redujo en más de la mitad. El artículo del equipo de Google dio un paso más: optimizó específicamente la curva secp256k1 usada por Bitcoin y Ethereum, comprimiendo el qubit lógico requerido a alrededor de 1.000. La profundidad del circuito fue solo de aproximadamente 100 millones de compuertas Toffoli (según la descripción de Justin Drake citada por CryptoBriefing). En plataformas superconductoras, esto implica alrededor de 1.000 segundos de tiempo de ejecución del algoritmo de Shor.

Mientras tanto, según los datos del artículo de Oratomic citados en el tuit, el esquema de átomos neutros reduce los qubits físicos necesarios por cada qubit lógico, de unos 400 del código de superficie tradicional, hasta aproximadamente 10. Este avance tiene un principio completamente distinto al de Google. Google optimiza la eficiencia del propio algoritmo; Oratomic optimiza el coste de corrección en el hardware subyacente. Ambas mejoras pueden sumarse.

Multiplicando dos números: la estimación de 2017 era de unos 7 millones de qubits físicos, y la ruta de átomos neutros en marzo de 2026 estima unos 10.000. La demanda total cayó de nivel de millón a nivel de diez mil, con una reducción de más de dos órdenes de magnitud.

Este efecto multiplicador da lugar a dos rutas de ataque completamente diferentes.

Según los cálculos del artículo organizados en el tuit, la ruta superconductora (dirección de investigación de Google) requiere unos 500.000 qubits físicos y, en aproximadamente 9 minutos, puede descifrar una clave privada; tan rápido que sería capaz de secuestrar transacciones en tiempo real. La ruta de átomos neutros (dirección de investigación de Oratomic) solo requiere unos 10.000 qubits físicos, pero el tiempo de ejecución se alarga hasta unos 10 días. Esto no es un problema porque el objetivo de su ataque son billeteras en reposo con la clave pública ya expuesta; no corre contra el reloj.

¿Cómo entender la diferencia? El procesador Willow más fuerte de Google actualmente tiene 105 qubits superconductores (según el folleto de especificaciones de Google Quantum AI). Todavía está a unas 4.762 veces del umbral de 500.000. Pero el sistema de cómputo tolerante a fallos del ámbito de átomos neutros ya alcanza alrededor de 500 qubits; le faltan unas 20 veces para el umbral de 10.000. Si se observa el tamaño del arreglo físico en lugar de la capacidad tolerante a fallos, los laboratorios ya han capturado más de 6.100 átomos, y la brecha se estrecha aún más hasta menos de 2 veces.

20 veces y 4.762 veces: distancias de dos magnitudes totalmente diferentes. La ruta de átomos neutros está más cerca de lo que la mayoría imagina.

Y en el caso de Bitcoin, su situación está lejos de estar preparada para recibir este cambio.

Según un informe conjunto de Ark Invest y Unchained, unos 7 millones de bitcoins (aproximadamente el 33% del suministro total) están expuestos a riesgos cuánticos, con un valor de alrededor de 440 a 480.000 millones de dólares. Estas direcciones vulnerables se dividen en tres categorías. Aproximadamente 1,7 millones están en direcciones P2PK tempranas: la clave pública está directamente expuesta en la cadena y, además, la mayor parte ya se ha perdido, por lo que nadie puede operar migrar. Unos 1,1 millones corresponden a Satoshi Nakamoto: están distribuidos en alrededor de 22.000 direcciones y se desconoce la identidad de los tenedores. Los aproximadamente 4,2 millones restantes están en direcciones reutilizadas o en direcciones P2TR: también tienen la clave pública expuesta, pero en teoría los tenedores pueden migrar activamente a direcciones seguras.

Dicho de otra forma, unos 2,8 millones de bitcoins (el 40% del total vulnerable) de todas maneras no se pueden salvar. Sus claves privadas se perdieron o nunca aparecerán los tenedores. Esto no es un problema que pueda resolverse con tecnología, sino de gobernanza: si la comunidad debe congelar esas direcciones que inevitablemente quedan expuestas. Según un reporte de CoinDesk de febrero, sobre si se deben congelar las 1,1 millones de tenencias de Satoshi, la comunidad de Bitcoin ya ha generado un intenso debate y, hasta ahora, no ha llegado a ningún consenso.

Incluso para los 4,2 millones que teóricamente se podrían migrar, la migración no ocurre de forma automática. Los tenedores deben mover activamente los activos desde direcciones antiguas hacia direcciones que usen nuevos esquemas de firma, y la experiencia histórica muestra que una gran cantidad de tenedores no tomará acción antes de la fecha límite.

Ante la misma amenaza, las estrategias de respuesta de tres cadenas públicas principales se han dividido de manera grave.

Según pq.ethereum.org, lanzado por la Fundación Ethereum el 25 de marzo de 2026, Ethereum ha estado preparado durante 8 años y cuenta con un completo plan de varios pasos: reemplazar el esquema de firma BLS actual por el esquema de firma hash leanXMSS, con el objetivo de completar la actualización del protocolo L1 en 2029. Después de que más de 10 equipos de clientes ejecuten pruebas semanales de interoperabilidad en el quantum devnet, los usuarios pueden migrar de manera progresiva mediante abstracción de cuentas, sin necesidad de un hard fork. Google también ha fijado su propia fecha límite para completar la migración poscuántica interna en 2029 (según Google Security Blog), y el cronograma de Ethereum coincide con esa meta.

Solana tiene una propuesta experimental. Winternitz Vault, propuesto en GitHub en diciembre de 2025 por el científico jefe de Zeus Network, Dean Little, utiliza un mecanismo de bóveda de seguro de un solo uso con firmas hash. Pero es una opción; los usuarios necesitan activar opt-in manualmente y no hay un cronograma oficial.

El caso de Bitcoin es el más severo. No existe un plan de coordinación, no hay fondos dedicados a nivel de fundación y tampoco hay un cronograma. El modelo de gobernanza de Bitcoin exige que la comunidad descentralizada alcance un consenso amplio para impulsar cambios de protocolo; y esta comunidad, históricamente, se caracteriza por avanzar lentamente. Según el informe de la línea de tiempo de amenazas cuánticas 2026 del Global Institute of Risk Research, las computadoras cuánticas relacionadas con criptografía aparecerán «bastante probablemente» dentro de 10 años y «muy probablemente» dentro de 15 años. Si el objetivo de Ethereum de 2029 se impulsa según el plan, la migración se completará antes de que se cierre la ventana. Bitcoin, en este momento, ni siquiera está en la fase temprana de discusión.

Que los dos artículos se publicaran el mismo día hizo que un problema que durante mucho tiempo se veía como una «amenaza lejana» tuviera de pronto números concretos: 10.000 qubits físicos, 10 días, una clave privada de una billetera en reposo.

Pero hay que recalcar que esto sigue siendo un gran descenso de un umbral teórico, no un ataque inminente que esté ocurriendo ahora. El sistema de átomos neutros más avanzado actualmente aún está a aproximadamente 20 veces de 10.000 qubits tolerantes a fallos, y la brecha de la ruta superconductora es aún mayor, en el orden de miles de veces. La ventana de 10 a 15 años todavía existe y la comunidad de Bitcoin no está sin oportunidades. Bitcoin ya atravesó pruebas de gobernanza altamente opuestas, como la disputa por el tamaño de los bloques y la activación de SegWit; al final, con presión, se llegó a consenso. La naturaleza de la amenaza cuántica es distinta a la disputa por rutas: no involucra desacuerdos de intereses, sino un riesgo común al que se enfrenta toda la red. Esto, por el contrario, podría convertirse en una fuerza externa que empuje a la comunidad de Bitcoin a actuar con mayor rapidez.

El problema real no es si la computación cuántica puede descifrar Bitcoin, sino si la comunidad de Bitcoin puede completar la preparación antes de que se cierre la ventana.

Haz clic para conocer el proceso de contratación en律動BlockBeats

Bienvenido a unirte a la comunidad oficial de律動 BlockBeats:

Grupo de suscripción de Telegram: https://t.me/theblockbeats

Grupo de Telegram: https://t.me/BlockBeats_App

Cuenta oficial de Twitter: https://twitter.com/BlockBeatsAsia