¿Hackear una billetera en 9 minutos? La explosiva publicación sobre computación cuántica de Google sacude el mundo de la criptografía. ¿Ha llegado el "momento Y2K" de Bitcoin?

Dos artículos se superponen y conforman la advertencia de amenaza cuántica más seria de la industria cripto de toda la historia.

Autores: Kapiqila, Deep Tide TechFlow

El 31 de marzo, el equipo de Quantum AI de Google publicó un white paper cuyo título es poco llamativo, pero cuyo contenido es explosivo.

La conclusión central del artículo: al descifrar la criptografía de curvas elípticas (ECC-256) que protege las carteras de Bitcoin y Ethereum, los recursos de computación cuántica necesarios son aproximadamente 20 veces menores que las estimaciones anteriores. En concreto, con menos de 1200 qubits lógicos y 90 millones de puertas Toffoli, se puede realizar el descifrado en una computadora cuántica superconductora usando menos de 500.000 qubits físicos, y el tiempo requerido es solo de unos minutos.

El mismo día, Caltech y la startup de hardware cuántico Oratomic publicaron otro paper, con una conclusión aún más agresiva: en una computadora cuántica con arquitectura de átomos neutros, basta con unos 10.000 qubits físicos como mínimo para iniciar un ataque, y 26.000 qubits pueden romper ECC-256 en aproximadamente 10 días.

Dos artículos se superponen y conforman la advertencia de amenaza cuántica más seria de la industria cripto de toda la historia.

De la “amenaza lejana y teórica” al “contador regresivo con días contables”

Para entender el impacto de estos dos artículos, hay que mirar una línea de tiempo: en 2012, el mundo académico estimaba que descifrar ECC-256 requería aproximadamente 1.000 millones de qubits físicos. En 2023, el paper de Daniel Litinski redujo ese número a aproximadamente 9 millones. El nuevo paper de Google lo baja a menos de 500.000. Oratomic va aún más lejos, llevándolo a 10.000.

En dos décadas, una compresión de cinco órdenes de magnitud.

Esto significa que el marco de discusión sobre la amenaza cuántica ha cambiado por completo. El relato dominante en el pasado era “la computación cuántica aún está a decenas de años de descifrar la criptografía”; ahora se convierte en “si el progreso del hardware acelera de manera no lineal, la ventana podría ser de solo cinco a diez años”. Justin Drake, investigador de Ethereum Foundation (también coautor del paper de Google), estima que para 2032 la probabilidad de que una computadora cuántica descifre claves privadas de secp256k1 ECDSA será de al menos 10%.

El artículo de Google describe dos escenarios de ataque.

El primero es el “ataque inmediato” (on-spend attack). Cuando un usuario de Bitcoin inicia una transacción, la clave pública queda expuesta brevemente en el mempool. Una computadora cuántica suficientemente rápida puede derivar la clave privada desde la clave pública en unos 9 minutos, lanzando una transacción competitiva para robar fondos antes de la confirmación de la transacción. Dado que el tiempo promedio de generación de bloques en Bitcoin es de unos 10 minutos, el paper estima que la probabilidad de éxito de este tipo de ataque es de aproximadamente 41%.

En el campo de la criptografía, una probabilidad de descifrado del 41% no es un error estadístico, sino un esquema de firmas que ya fue vulnerado.

El segundo es el “ataque en reposo” (at-rest attack), dirigido a wallets inactivas donde la clave pública ya quedó expuesta en la cadena. Este tipo de ataque no tiene límite de tiempo y la computadora cuántica puede calcular lentamente a su ritmo. El paper estima que alrededor de 6,9 millones de BTC (un tercio de la oferta total) se encuentran en este estado de exposición, incluyendo aproximadamente 1,7 millones provenientes de la era de Satoshi y una gran cantidad de fondos cuya clave pública quedó expuesta debido a la reutilización de direcciones.

A precios actuales, estos 6,9 millones de BTC valen más de 450.000 millones de dólares.

Taproot: quería mejorar la privacidad, pero terminó ampliando la superficie de ataque

Un hallazgo inesperado en el paper es que la actualización Taproot de Bitcoin en 2021 creó una nueva vulnerabilidad en la dimensión de seguridad cuántica. Taproot busca mejorar la eficiencia de las transacciones y la privacidad, usando un esquema de firmas Schnorr. Pero una característica de las firmas Schnorr es que la clave pública se expone por defecto en la cadena, eliminando la capa de protección de “primero hashear y luego exponer” que existía en el formato de direcciones antiguo (P2PKH).

Dicho de otra manera, la mejora de Taproot en seguridad tradicional abre, precisamente, una puerta en la dimensión de seguridad cuántica. Esto amplía el “pool de Bitcoin vulnerable al ataque cuántico”, pasando de los primeros coins y direcciones reutilizadas a todas las carteras que usan Taproot.

Ethereum: el problema es mayor, pero la preparación es más temprana

Si Bitcoin enfrenta un riesgo “a nivel de cartera”, el problema de Ethereum es “a nivel de infraestructura”.

El paper de Google señala que Ethereum queda expuesto a ataques cuánticos en cinco capas: carteras personales, claves de administración de smart contracts, validación de PoS (Proof of Stake), redes Layer 2 y el mecanismo de muestreo de disponibilidad de datos. El paper estima que las 1000 carteras principales de Ethereum tienen alrededor de 20,5 millones de ETH; una computadora cuántica que descifre una clave cada 9 minutos podría vaciarlas todas en menos de 9 días. Con el precio actual del ETH, esos activos valen aproximadamente 41.500 millones de dólares.

El problema aún más profundo es el riesgo sistémico. En Ethereum, los stablecoins y activos tokenizados por alrededor de 200.000 millones de dólares dependen de firmas con claves de administrador, y aproximadamente 37 millones de ETH en staking se autentican mediante las mismas firmas digitales vulnerables. Si un gran pool de staking fuera comprometido, incluso podría interferir con el propio mecanismo de consenso.

Sin embargo, Ethereum tiene una ventaja estructural: el tiempo de generación de bloques es de solo 12 segundos; la mayoría de las transacciones se confirman en menos de un minuto; y se usa masivamente un mempool privado, lo que hace que la viabilidad del “ataque inmediato” en Ethereum sea muy inferior a la de Bitcoin.

La buena noticia es que la respuesta de la comunidad de Ethereum es más proactiva.

La semana pasada, Ethereum Foundation lanzó pq.ethereum.org, reuniendo ocho años de resultados de investigación post-cuántica; más de 10 equipos de clientes avanzan en el desarrollo y las pruebas de la testnet cada semana. Vitalik Buterin también publicó previamente una hoja de ruta de resistencia cuántica. En comparación, la cultura de gobernanza de la comunidad de Bitcoin es más conservadora: aunque la propuesta BIP-360 (introducir un formato de wallet resistente a la cuántica) ya se fusionó en el repositorio BIP en febrero, solo resuelve una clase de problemas de exposición de claves públicas; una migración criptográfica completa requiere cambios de protocolo a mayor escala.

Reacción de la comunidad: pánico, racionalidad y “esto tampoco es solo nuestro problema”

La reacción de la industria cripto se divide, como se esperaba, en varias corrientes.

La corriente del pánico está representada por Alex Pruden, CEO de Project Eleven: “Este paper refuta directamente cada uno de los argumentos que la industria cripto ha usado para ignorar la amenaza cuántica.” Las palabras de Haseeb Qureshi, socio de Dragonfly, en X son aún más directas: “Lo post-cuántico ya no es un simulacro.”

La corriente racional y optimista está representada por CZ. Él considera que las criptomonedas solo necesitan actualizarse a algoritmos resistentes a la cuántica: “No hay necesidad de entrar en pánico”. Esta afirmación es correcta a nivel técnico, pero pasa por alto un problema clave: una blockchain descentralizada no puede empujar actualizaciones de software de forma obligatoria como lo hacen los bancos o las redes militares. El ciclo de migración de la infraestructura de Bitcoin, desde las carteras de los usuarios hasta que los exchanges lo soporten y se adopte el nuevo formato de direcciones, podría requerir de cinco a diez años, incluso si todas las partes logran consenso hoy.

La corriente de “todo se puede romper” señala que la computación cuántica no solo amenaza las blockchains: también amenaza el sistema bancario global, las transferencias SWIFT, las bolsas de valores, las comunicaciones militares y los sitios web HTTPS, que dependen todos del mismo tipo de sistema criptográfico. El paper de Google responde a esto de forma positiva: los sistemas centralizados pueden empujar actualizaciones a los usuarios; las blockchains descentralizadas no pueden. Esta es la diferencia fundamental.

El humor más frío viene de parte de Musk: “Al menos, si olvidas la contraseña de la wallet, en el futuro podrás recuperarla.”

Conflictos de interés y descuento racional

Los dos artículos no son “solo académicos”.

Los 9 autores del paper de Caltech/Oratomic son todos accionistas de Oratomic, y 6 de ellos son empleados de la empresa. Este paper es a la vez un logro científico y un anuncio comercial de la hoja de ruta de hardware de átomos neutros de la compañía. El paper de Google tampoco es completamente neutral: Google estableció 2029 como fecha interna límite para migrar su propio sistema a la criptografía post-cuántica; las conclusiones del paper se alinean estrechamente con esa decisión comercial. Además, por motivos de seguridad, Google no publicó el diseño real de circuitos cuánticos, sino que validó el resultado con una prueba de conocimiento cero ante el gobierno de EE. UU.

Los conflictos de interés en los papers necesitan ser descontados, pero la tendencia en sí no requiere descuento. Cada vez que alguien afirma que “la amenaza cuántica está exagerada”, el siguiente paper recortará nuevamente en un orden de magnitud la cantidad de qubits necesarios.

¿Cuán lejos está el “Q-Day” ahora?

Actualmente, el hardware de computación cuántica más avanzado tiene alrededor de 6000 qubits, y el tiempo de coherencia es de solo unos 13 segundos. Pasar de 6000 qubits a los 500.000 requeridos por el paper de Google (o los 10.000 que afirma Oratomic) todavía deja una brecha enorme en términos de ingeniería.

Pero la analogía del inversionista cripto McKenna vale la pena recordarla: “Puedes imaginar el Q-Day como Y2K, pero esta vez es de verdad.”

El cofundador de StarkWare, Eli Ben-Sasson, pidió acelerar el avance del BIP-360 en la comunidad de Bitcoin. Google, por su parte, indicó que está trabajando con Coinbase, el Stanford Blockchain Research Lab y Ethereum Foundation para impulsar una migración responsable.

La discusión ya no es si la “computación cuántica puede romper la criptografía”, sino si la industria cripto puede completar la migración antes de que el hardware alcance. La hoja de ruta de 2029 de Google, más la compresión drástica de los qubits en el paper de Oratomic, deja a la industria un margen de amortiguación más corto que lo que cualquiera esperaba.

Los 1,1 millones de BTC dormidos de Satoshi no pueden migrarse por sí mismos a direcciones seguras ante lo cuántico. Si las computadoras cuánticas llegan primero, este legado digital con un valor de más de 70.000 millones de dólares se convertirá en el objetivo del mayor “rescate de naufragio digital” de la historia. El paper de Google incluso introduce un marco legal de “digital salvage” (rescate digital) como analogía, sugiriendo que los gobiernos de distintos países podrían necesitar legislar para gestionar esos activos dormidos que no pueden migrarse.

Este es un problema que ningún white paper de Bitcoin había previsto: si el muro matemático que protege la propiedad privada es vulnerado en sí mismo, ¿“Code is Law” todavía puede sostenerse?