¿Hackear una billetera en 9 minutos? La explosiva publicación sobre computación cuántica de Google sacude el mundo de la criptografía. ¿Ha llegado el "momento Y2K" de Bitcoin?

Autor: Kapiqila, Deep潮 TechFlow

31 de marzo, el equipo de Google Quantum AI publicó un libro blanco; el título es llano, pero el contenido es explosivo.

La conclusión central del artículo: descifrar la criptografía de curvas elípticas (ECC-256) que protege las carteras de Bitcoin y Ethereum requiere menos recursos de computación cuántica que lo estimado anteriormente, aproximadamente 20 veces menos. En concreto, solo con menos de 1200 qubits lógicos y 90 millones de puertas Toffoli, se puede completar el descifrado en una computadora cuántica superconductora con menos de 500.000 qubits físicos, y el tiempo necesario es apenas de unos minutos.

Ese mismo día, Caltech y la startup de hardware cuántico Oratomic publicaron otro artículo, con una conclusión aún más agresiva: en una computadora cuántica con arquitectura de átomos neutros, basta con unos 10.000 qubits físicos como mínimo para iniciar el ataque, y 26.000 qubits cuánticos podrían romper ECC-256 en un plazo de 10 días.

Los dos artículos, sumados, componen la advertencia de amenaza cuántica más seria de la historia de la industria de la criptografía.

De la “amenaza lejana en teoría” al “conteo regresivo que se puede calcular”

Para entender el impacto de estos dos artículos, hay que mirar una línea de tiempo: en 2012, la comunidad académica estimaba que descifrar ECC-256 requería alrededor de 1.000 millones de qubits físicos. En 2023, el artículo de Daniel Litinski redujo esa cifra a aproximadamente 9 millones. El nuevo artículo de Google la reduce a menos de 500.000. Oratomic va más allá, dejándola en 10.000.

En dos décadas, cinco órdenes de magnitud de compresión.

Esto significa que el marco de discusión sobre la amenaza cuántica ha cambiado por completo. Antes, el relato dominante era “la computación cuántica está a décadas de descifrar la criptografía”; ahora se vuelve “si el progreso del hardware se acelera de forma no lineal, la ventana podría ser solo de cinco a diez años”. Un investigador de Ethereum Foundation, Justin Drake (también coautor del artículo de Google), estima que para 2032 la probabilidad de que una computadora cuántica descifre la clave privada de secp256k1 ECDSA será de al menos 10%.

El artículo de Google describe dos escenarios de ataque.

El primero es el “ataque inmediato” (on-spend attack). Cuando un usuario de Bitcoin inicia una transacción, la clave pública queda brevemente expuesta en el mempool. Una computadora cuántica lo bastante rápida puede deducir la clave privada desde la clave pública en aproximadamente 9 minutos, y lanzar una transacción de competencia para robar fondos antes de que se confirme la transacción. Dado que el tiempo promedio de producción de bloques de Bitcoin es de unos 10 minutos, el artículo estima que la probabilidad de éxito de este tipo de ataque es de aproximadamente 41%.

En el ámbito de la criptografía, una probabilidad de descifrado del 41% no es un error estadístico, sino un esquema de firma que ya ha sido comprometido.

El segundo es el “ataque en reposo” (at-rest attack), dirigido a carteras en estado inactivo cuyo contenido de clave pública ya está expuesto en la cadena. Este tipo de ataque no tiene límite de tiempo; la computadora cuántica puede calcularlo a su propio ritmo. El artículo estima que aproximadamente 6,9 millones de BTC (un tercio de la oferta total) se encuentran en este estado de exposición, incluidos alrededor de 1,7 millones de monedas provenientes de la era de Satoshi, y una gran cantidad de fondos cuya clave pública quedó expuesta debido a la reutilización de direcciones.

A los precios actuales, esos 6,9 millones de BTC valen más de 450.000 millones de dólares.

Taproot: se pretendía mejorar la privacidad, pero termina ampliando la superficie de ataque

Un hallazgo inesperado en el artículo es que la actualización Taproot de Bitcoin en 2021 creó nuevas vulnerabilidades en la dimensión de seguridad cuántica. Taproot busca mejorar la eficiencia de las transacciones y la privacidad, usando un esquema de firmas Schnorr. Pero la característica de las firmas Schnorr es que la clave pública queda expuesta por defecto en la cadena, eliminando la capa de protección de “hash primero, exponer después” que existía en el formato de dirección antiguo (P2PKH).

Dicho de otra manera, la mejora de Taproot en seguridad tradicional abre precisamente una puerta en la dimensión de seguridad cuántica. Esto amplía el “pool de Bitcoin vulnerable a lo cuántico” desde las monedas tempranas y las direcciones reutilizadas hasta todas las carteras que usan Taproot.

Ethereum: el problema es mayor, pero la preparación llega antes

Si Bitcoin enfrenta un riesgo a nivel de “cartera”, el problema de Ethereum es de “infraestructura”.

El artículo de Google indica que Ethereum está expuesto a ataques cuánticos en cinco niveles: carteras individuales, claves de gestión de contratos inteligentes, validación de PoS de apuestas (staking), redes Layer 2 y el mecanismo de muestreo de disponibilidad de datos. El artículo estima que las 1000 principales carteras de Ethereum tienen aproximadamente 20,5 millones de ETH, y que una computadora cuántica que descifre una clave cada 9 minutos podría vaciarlas todas en menos de 9 días. Al calcular con el precio actual de ETH, estos activos valen aproximadamente 41.500 millones de dólares.

El problema más profundo es el riesgo sistémico. En Ethereum, alrededor de 200.000 millones de dólares en stablecoins y activos tokenizados dependen de firmas con claves de administradores, y unos 370 millones de ETH en staking se autentican mediante las mismas firmas digitales vulnerables. Si se compromete un gran pool de staking, el atacante incluso podría interferir con el propio mecanismo de consenso.

Sin embargo, Ethereum tiene una ventaja estructural: el tiempo de producción de bloques es de solo 12 segundos; la mayoría de las transacciones se confirman dentro de un minuto; y se usa en gran medida un mempool privado. Esto hace que la viabilidad del “ataque inmediato” en Ethereum sea muy inferior a la de Bitcoin.

La buena noticia es que la comunidad de Ethereum responde con mayor iniciativa.

Ethereum Foundation acaba de poner en marcha pq.ethereum.org, que reúne ocho años de resultados de investigación poscuántica, y más de 10 equipos de clientes avanzan el desarrollo y las pruebas de la testnet cada semana. Vitalik Buterin también publicó previamente una hoja de ruta de resistencia cuántica. En comparación, la cultura de gobernanza de la comunidad de Bitcoin es más conservadora: la propuesta BIP-360 (que introduce un formato de cartera resistente a lo cuántico), aunque ya se fusionó en el repositorio BIP en febrero, solo resuelve una clase de problema de exposición de claves públicas; la migración criptográfica completa requiere cambios de protocolo a mayor escala.

Reacción de la comunidad: pánico, racionalidad y “esto tampoco es solo un problema nuestro”

La reacción de la industria cripto se dividió, como se esperaba, en varias facciones.

La facción del pánico está representada por Alex Pruden, CEO de Project Eleven: “Este artículo contradice directamente cada uno de los argumentos que la industria cripto ha usado para ignorar la amenaza cuántica”. La formulación de Haseeb Qureshi, socio de Dragonfly, en X es aún más directa: “Lo poscuántico ya no es un simulacro”.

La facción de optimismo racional está representada por CZ. Él considera que las criptomonedas solo necesitan actualizarse a algoritmos resistentes a lo cuántico; “no hay necesidad de entrar en pánico”. Esta afirmación es correcta a nivel técnico, pero ignora un problema clave: las blockchains descentralizadas no pueden forzar la actualización de software como lo harían bancos o redes militares. El ciclo de migración de la infraestructura de Bitcoin —desde las carteras de los usuarios hasta el soporte en exchanges y luego hasta el formato de nuevas direcciones— podría requerir de cinco a diez años, incluso si hoy las partes ya alcanzan consenso.

La facción de “se puede descifrar todo” señala que la computación cuántica no solo amenaza las blockchains; el sistema bancario global, las transferencias SWIFT, las bolsas de valores, las comunicaciones militares y los sitios web HTTPS dependen todos de la misma infraestructura criptográfica. El artículo de Google responde positivamente: los sistemas centralizados pueden empujar actualizaciones a los usuarios, pero las blockchains descentralizadas no pueden. Esa es la diferencia fundamental.

El humor más frío proviene de Musk: “Al menos, si olvidas la contraseña de la cartera, en el futuro podrás recuperarla”.

Conflictos de interés y descuento racional

Los dos artículos no son “pura academia”.

Los 9 autores del artículo de Caltech/Oratomic son todos accionistas de Oratomic; 6 de ellos son empleados de la empresa. El artículo es a la vez un logro científico y una promoción comercial de la hoja de ruta de hardware de átomos neutros de dicha compañía. El artículo de Google tampoco es completamente neutral: Google establece 2029 como fecha límite interna para que su propio sistema migre a criptografía poscuántica, y las conclusiones del artículo están fuertemente alineadas con esta decisión comercial. Además, por razones de seguridad, Google no publicó el diseño real de circuitos cuánticos; en su lugar, validó los resultados ante el gobierno de EE. UU. mediante pruebas de conocimiento cero.

Los conflictos de interés del artículo deben tener un descuento, pero la tendencia en sí no requiere descuento. Cada vez que alguien afirma que “la amenaza cuántica está exagerada”, el siguiente artículo reduce nuevamente el número de qubits requeridos en un orden de magnitud.

¿Qué tan lejos está ahora el “Q-Day”?

Actualmente, las computadoras cuánticas más avanzadas tienen alrededor de 6000 qubits y el tiempo de coherencia es de aproximadamente 13 segundos. Desde 6000 qubits hasta los 500.000 qubits requeridos por el artículo de Google (o los 10.000 que afirma Oratomic), todavía hay una enorme brecha de ingeniería en el medio.

Pero la analogía del inversor en cripto McKenna vale más la pena recordar: “Puedes imaginar el Q-Day como Y2K, pero esta vez es de verdad”.

Eli Ben-Sasson, cofundador de StarkWare, hizo un llamado a que la comunidad de Bitcoin acelere la implementación de BIP-360. Por su parte, Google también ha dicho que está trabajando con Coinbase, el Stanford Blockchain Research Institute y Ethereum Foundation para impulsar una migración responsable.

La discusión ya no es si “la computación cuántica puede descifrar la criptografía”, sino si “la industria cripto puede completar la migración antes de que el hardware alcance”. El cronograma de 2029 de Google, más la compresión drástica en la cantidad de qubits requerida que aparece en el artículo de Oratomic, deja a la industria un margen de maniobra más corto que el que cualquiera esperaba.

Los 1,1 millones de BTC dormidos de Satoshi no pueden migrar por sí solos a direcciones seguras contra lo cuántico. Si las computadoras cuánticas llegan primero, ese patrimonio digital valorado en más de 70.000 millones de dólares se convertirá en el objetivo de la mayor “operación de rescate de un naufragio digital” de la historia. El artículo de Google incluso introduce un marco legal de “rescate digital” (digital salvage) como analogía, sugiriendo que los gobiernos de distintos países podrían necesitar legislar para gestionar esos activos durmientes que no se pueden migrar.

Este es un problema que un libro blanco de Bitcoin no había previsto: si el cerco matemático que protege la propiedad privada es atacado y queda comprometido, ¿“Code is Law” todavía puede sostenerse?