El mercado observa el riesgo cuántico de Bitcoin mientras los investigadores planifican una preparación escalonada y cautelosa

Los inversores institucionales están preguntando cada vez más cómo la narrativa del Bitcoin cuántico afecta a las suposiciones de seguridad a largo plazo, incluso aunque la amenaza práctica aún parezca estar lejos.

El alcance real de la amenaza cuántica

La discusión pública a menudo sugiere que la computación cuántica podría romper Bitcoin inminentemente. Sin embargo, es probable que las máquinas lo suficientemente potentes como para hacerlo usando el algoritmo de Shor todavía estén a décadas de distancia, y la exposición real es más estrecha que lo que implican titulares dramáticos.

Bitcoin se basa en firmas digitales para asegurar la propiedad; históricamente ECDSA y, desde Taproot, también firmas Schnorr bajo BIP340. Ambos esquemas usan la misma curva elíptica, secp256k1, para derivar claves públicas a partir de claves privadas de una manera que actualmente es inviable revertir con hardware clásico.

Un computador cuántico tolerante a fallos capaz de ejecutar el algoritmo de Shor a una escala criptográficamente relevante podría, en teoría, resolver el problema de logaritmo discreto en curvas elípticas. Eso permitiría a un atacante falsificar firmas válidas y robar fondos directamente, razón por la cual este vector de ataque atrae la mayor atención.

De segundo orden está la preocupación Grover, que ofrece una aceleración cuadrática para problemas de búsqueda por fuerza bruta. No rompería SHA-256 de manera directa, pero podría reducir el trabajo necesario para encontrar un hash válido de prueba de trabajo, potencialmente desplazando la economía de la minería y los riesgos de centralización si un minero cuántico pudiera superar a los flujos de ASIC actuales.

Además, cualquier ventaja de prueba de trabajo seguiría dependiendo de la ingeniería del mundo real: diseñar y operar un minero cuántico superior a los ASICs especializados es un desafío enorme y distinto, además de simplemente ejecutar Grover en un laboratorio.

Dónde está realmente expuesto Bitcoin

Los ataques basados en Shor solo se vuelven relevantes cuando una clave pública es visible en la cadena on-chain. Este perfil de exposición varía significativamente entre tipos de salida y prácticas de monedero, razón por la cual el riesgo cuántico para Bitcoin no es uniforme.

Las monedas con exposición a largo plazo son aquellas donde la clave pública se revela cuando se crea el UTXO o permanece visible durante periodos prolongados. Este grupo incluye salidas P2PK tempranas, direcciones reutilizadas cuyos fondos están vinculados a claves reveladas en gastos anteriores, y salidas Taproot P2TR, que se comprometen con una clave modificada directamente dentro del UTXO.

En esos casos, las claves públicas pueden ser recolectadas mucho antes de que ocurra cualquier gasto. Esto crea un escenario potencial de “recolectar ahora, atacar después”: si existieran máquinas cuánticas poderosas en el futuro, podrían apuntar a claves expuestas durante mucho tiempo de forma masiva.

En cambio, tipos de monedero modernos como P2PKH (legado) y P2WPKH (SegWit) usan claves públicas hasheadas, revelando solo la clave real en el momento del gasto. Sin embargo, esto limita con fuerza la ventana para un atacante, que necesitaría derivar la clave privada y transmitir una transacción en conflicto dentro de los pocos bloques antes de que el gasto legítimo se confirme.

Las estimaciones sobre cuántas monedas están expuestas varían. Algunas análisis sugieren que entre 20–50% del suministro total podría ser vulnerable bajo supuestos amplios. Otros argumentan que esto exagera la explotabilidad práctica, especialmente cuando muchas monedas expuestas están fragmentadas en UTXOs pequeños o solo se ven brevemente durante carreras en el mempool.

Un informe ampliamente citado reduce el subconjunto materialmente expuesto y concentrado a alrededor de 10,200 BTC, lo cual es significativo pero muy lejos de un escenario de eliminación sistémica. Además, esta distinción entre superficie de ataque teórica y práctica es crítica para una evaluación de riesgo creíble.

El cuello de botella cuántico tolerante a fallos

Todos estos escenarios asumen la existencia de grandes computadores cuánticos tolerantes a fallos operando a escalas muy por encima de los dispositivos actuales. Hoy, los sistemas conocidos públicamente siguen siendo ruidosos, pequeños e incapaces de ataques criptográficamente significativos.

Romper las firmas de curvas elípticas de Bitcoin probablemente requeriría millones de qubits físicos con corrección de errores robusta para producir suficientes qubits lógicos estables. Un estudio reciente estima que las máquinas podrían necesitar ser aproximadamente 100,000× más potentes que cualquier procesador cuántico disponible hoy.

Las opiniones difieren sobre si ese hardware llegará a tiempo para importar para Bitcoin. Dicho eso, muchos pronósticos serios se agrupan en torno a mediados de la década de 2030 a mediados de la década de 2040 como la ventana más temprana plausible, lo que le da tiempo al ecosistema pero no una excusa para la complacencia.

De manera crucial, si alguna vez aparece una capacidad significativa, la respuesta deberá haberse planificado, probado y coordinado años antes. Por eso la conversación ha pasado de la ciencia ficción a un problema de ingeniería y gobernanza.

Estándares post-cuánticos y rutas de migración

El desafío central es cómo podría migrar Bitcoin a criptografía resistente a lo cuántico bajo límites estrictos de rendimiento (throughput), gobernanza conservadora y incentivos desiguales entre titulares y proveedores de servicios.

En 2024, NIST finalizó su primera tanda de estándares de criptografía post-cuántica, incluyendo ML-DSA basado en retículos (Dilithium) y SLH-DSA (SPHINCS+). Estos esquemas se están convirtiendo en los candidatos por defecto para grandes sistemas que necesitan prepararse para operaciones seguras frente a lo cuántico.

Para Bitcoin, cualquier migración realista probablemente se implementaría en etapas. Se introducirían nuevos tipos de salida y valores predeterminados de monedero, posiblemente junto con transacciones híbridas que requieren tanto pruebas clásicas como post-cuánticas durante un largo periodo de transición.

Sin embargo, las firmas post-cuánticas generalmente vienen con compromisos: a menudo son más grandes y más costosas computacionalmente para verificar, incrementando el uso de espacio de bloque, los requisitos de ancho de banda y los costos de validación para nodos completos. Se necesita un diseño cuidadoso para evitar tensar la escalabilidad de la red y la descentralización.

Hay varias direcciones plausibles más allá de cualquier plano único. Las opciones incluyen tipos de salida con capacidad cuántica, políticas híbridas para una ventana de transición definida, y valores predeterminados de monedero que reduzcan gradualmente la exposición de claves públicas de larga duración. Un soft fork es el mecanismo más plausible para introducir nuevos tipos de script, mientras que un hard fork sigue siendo una alternativa de alto riesgo y último recurso debido a posibles divisiones de cadena.

BIP 360 y P2MR como endurecimiento incremental

BIP 360, recientemente incorporado al repositorio oficial de BIPs, es el intento más concreto hasta ahora para traducir una preocupación de alto nivel en una mitigación incremental, nativa de Bitcoin, enfocada en patrones de larga exposición.

La propuesta introduce un nuevo tipo de salida llamado Pay-to-Merkle-Root (P2MR), diseñado para ser funcionalmente similar a los árboles de script de Taproot, pero eliminando deliberadamente el gasto por ruta de clave. En su lugar, todos los gastos deben revelar una ruta de script y una prueba de Merkle.

Conceptualmente, P2MR son “árboles de script tipo Taproot, pero sin ruta de clave”. Este diseño apunta directamente a claves públicas incrustadas de larga duración que son las más vulnerables a escenarios de “recolectar ahora, atacar después” vinculados al algoritmo de Shor, sin comprometer inmediatamente a Bitcoin con pesados esquemas de firmas post-cuánticas.

El principal intercambio (trade-off) es el tamaño: los gastos de P2MR llevan testigos (witnesses) más grandes en comparación con los gastos compactos de la ruta de clave de Taproot. Sin embargo, los defensores argumentan que aceptar scripts ligeramente más grandes está justificado si reduce significativamente la exposición de claves públicas durante largos periodos.

BIP 360 presenta P2MR como un bloque de construcción fundamental más que como una respuesta final. Aborda parte del problema —las salidas de larga exposición— mientras que los riesgos de carreras en el mempool de corta vida y el cambio a firmas post-cuánticas completas requerirían propuestas adicionales y consenso.

UTXOs heredados y dilemas de gobernanza

La propuesta también subraya una realidad más incómoda: incluso con nuevos tipos de salida y mejores valores predeterminados de monedero, una parte no trivial del conjunto UTXO probablemente permanecerá en scripts heredados de forma indefinida, creando bolsillos de vulnerabilidad estructural.

Algunas tenencias simplemente están inactivas o se perdieron, con propietarios que nunca firmarán una nueva transacción. Otras están en arreglos de custodia institucional o configuraciones a medida que se mueven lentamente. Además, la inercia humana simple significa que algunos usuarios no migrarán voluntariamente hasta que una amenaza se sienta inmediata.

Si alguna vez aparece capacidad cuántica relevante criptográficamente, algunas monedas con larga exposición cuyos propietarios sean inalcanzables podrían, en principio, ser barridas por quien pueda derivar sus claves privadas primero. Incluso si esto se trata como robo en lugar de un fallo de protocolo, el impacto en el mercado podría ser severo.

La liquidación repentina de grandes clústeres inactivos podría romper la confianza, detonar debates urgentes de política y alimentar miedos sobre un exceso de oferta oculto. Sin embargo, las propuestas para congelar, revertir (claw back) o tratar de otro modo las monedas no migradas plantean preguntas explosivas sobre inmutabilidad, neutralidad y derechos de propiedad que tocan el núcleo del contrato social de Bitcoin.

La posibilidad de un punto muerto de gobernanza es una razón por la que la planificación temprana y medida es tan importante. Una vez que un ataque cuántico creíble esté en marcha, puede quedar poco tiempo o consenso para improvisar soluciones radicales.

Riesgos, plazos y preparación realista

Dentro del debate más amplio sobre el riesgo cuántico de bitcoin, la mayoría de los analistas serios ahora coinciden en algunos puntos: el desafío es real, los plazos son inciertos y la superficie de ataque está altamente desbalanceada entre distintos tipos de salidas y prácticas de monedero.

Importante: el ecosistema no está empezando desde cero. Los desarrolladores ya están explorando mejoras con capacidad de ser implementadas vía soft-fork, nuevos diseños de salida como P2MR, y estrategias de migración informadas por estándares emergentes en otras industrias. Este es precisamente el tipo de trabajo que los titulares institucionales de largo horizonte quieren ver.

La parte más difícil es la coordinación. Cualquier transición significativa podría tomar años, ser políticamente controvertida y verse complicada por monedas que nunca se mueven. Dicho eso, la cultura de actualización conservadora de Bitcoin también es una fortaleza: permite cambios opt-in y por etapas sin forzar a toda la red a un plazo de hard-fork apresurado.

En ese contexto, el perfil de riesgo del bitcoin cuántico se parece menos a un precipicio existencial inminente y más a un desafío de ingeniería de larga duración. Con investigación en curso, un diseño prudente de monederos y un endurecimiento incremental del protocolo, la red todavía tiene tiempo para prepararse.

En última instancia, la postura racional es clara: la preparación supera el pánico. Al tratar lo cuántico como una amenaza seria pero manejable, Bitcoin puede seguir evolucionando su modelo de seguridad sin sacrificar las propiedades que lo hicieron valioso en primer lugar.