¿Romper Bitcoin en 9 minutos? Los límites y malentendidos del libro blanco cuántico de Google

Texto: Max He @ Safeheron Lab

Juicio central de este artículo

• El Libro Blanco de Google impulsa de forma notable la evaluación ingenieril del riesgo cuántico, pero no demuestra que el CRQC esté cerca de una implementación realista

• La caída en las estimaciones de recursos ≠ que la capacidad real de ataque ya esté lista; entre medio aún existen numerosos desafíos de ingeniería no superados

• Lo que la industria necesita no es solo la capacidad de “adoptar algoritmos post-cuánticos”, sino la capacidad de “afrontar los cambios continuos de la criptografía”

• 2030–2035 es la ventana de referencia clave para preparar la migración hacia atrás, y no el momento exacto en que llegarían los ataques cuánticos

El 30 de marzo de 2026, investigadores de Google Quantum AI, junto con la Ethereum Foundation y la Universidad de Stanford, publicaron un trascendental Libro Blanco [1]. Este artículo de 57 páginas analiza de manera sistemática la amenaza que supone la computación cuántica para las criptomonedas y ofrece hasta la fecha la estimación de recursos más ambiciosa: romper la criptografía de curvas elípticas de 256 bits en la que se apoyan Bitcoin y Ethereum requiere menos de 500.000 qubits cuánticos físicos—lo que reduce en casi 20 veces la mejor estimación previa.

Al mismo tiempo, el documento amplía la discusión de los ataques cuánticos desde Bitcoin a todo el ecosistema de criptomonedas, y señala además que en mecanismos como los contratos inteligentes de Ethereum, el consenso de staking y el muestreo de disponibilidad de datos, también existen posibles superficies de ataque cuántico. Esto significa que el Libro Blanco que se analiza ya no trata solo de un problema puntual, “si la clave privada de Bitcoin podría ser descifrada por los cuánticos”, sino que está impulsando a toda la industria a replantearse: cuando los sistemas blockchain existentes se enfrentan a la evolución de las capacidades cuánticas, ¿qué supuestos de seguridad podrían necesitar reevaluarse?

Este Libro Blanco ha provocado un impacto evidente en la industria blockchain. La afirmación de que “la computación cuántica podría descifrar Bitcoin en cuestión de minutos” se difundió rápidamente, y también hizo que muchos profesionales empezaran a reconsiderar los supuestos de seguridad existentes. La razón de su fuerte reacción no es solo que las estimaciones de recursos sigan disminuyendo, sino también porque por primera vez coloca “si es posible un ataque a la ventana de transacciones on-chain” y “si el sistema blockchain tendrá tiempo para completar la migración” en el mismo plano de discusión. El problema deja de ser únicamente el “¿se puede descifrar?” académico, y pasa a ser el “¿todavía hay suficiente tiempo para prepararse?” en términos de ingeniería y gobernanza.

Pero detrás de estas emociones, hay una pregunta aún más valiosa para formular: ¿qué es lo que Google realmente ha demostrado? ¿Y qué no ha demostrado? En qué medida este trabajo cambia nuestra comprensión del riesgo cuántico?

Cabe destacar que la repercusión que trata este Libro Blanco no se limita al problema de exposición de claves al estilo Bitcoin, sino que se extiende a una superficie de ataque más amplia de los sistemas de criptomonedas. No obstante, lo que este artículo prioriza sigue siendo el cambio que este trabajo aporta a la valoración general del riesgo cuántico, y no el desarrollo punto por punto de los efectos específicos de distintos mecanismos on-chain.

1 ¿Qué hizo Google exactamente esta vez?

1.1 ECDLP: el supuesto básico de la seguridad en blockchain

La seguridad de las criptomonedas principales actuales se basa en el Problema del Logaritmo Discreto en Curvas Elípticas (ECDLP) [2]. Por ejemplo, en la curva secp256k1 usada por Bitcoin y Ethereum [3], el supuesto central es: bajo condiciones de computación clásica, dados los puntos públicos (los puntos en la curva elíptica), no es posible derivar la clave privada correspondiente en un tiempo factible.

Este supuesto se ha aceptado ampliamente durante décadas y constituye el requisito de seguridad fundamental de todo el sistema blockchain. Sin embargo, el algoritmo de Shor [4] señala que, en un modelo ideal de computación cuántica, el ECDLP puede resolverse de manera eficiente, poniendo en teoría en entredicho esta base de seguridad.

1.2 Estimación de recursos: cuánta capacidad de computación cuántica se necesita para romper

El núcleo del trabajo de Google no es proponer un nuevo método de ataque, sino volver a responder una pregunta que lleva mucho tiempo existiendo: si en el futuro de verdad se pudiera construir un ordenador cuántico lo suficientemente grande, lo suficientemente estable y capaz de ejecutar este tipo de algoritmos cuánticos, ¿cuántos recursos de cómputo se necesitarían para romper el ECDLP?

El documento construye y optimiza circuitos cuánticos dirigidos a secp256k1, y proporciona dos vías de implementación con direcciones de optimización distintas: una que reduce al máximo la cantidad de qubits lógicos, y otra que reduce al máximo la cantidad de puertas no Clifford (como las puertas Toffoli). Bajo un conjunto de supuestos claros de hardware y de corrección de errores, estos circuitos pueden ejecutarse a una escala inferior a los 500.000 qubits cuánticos físicos.

En comparación con las estimaciones principales anteriores [5][6], este resultado mejora de forma evidente el indicador integral “volumen espacio-tiempo” (spacetime volume). Más importante aún, transforma una discusión que antes era en gran medida teórica en un conjunto de parámetros de ingeniería que se pueden comparar y seguir.

1.3 “9 minutos”: ¿de dónde sale este número

Además de la estimación de recursos, el artículo también aporta una escala intuitiva para el tiempo de ataque.

Suponiendo que el tiempo de operación de las puertas cuánticas está en el orden de microsegundos, y considerando un cierto coste de ejecución, ejecutar completamente los circuitos cuánticos relevantes requeriría aproximadamente decenas de minutos. Considerando que parte del cálculo del algoritmo cuántico puede completarse antes de que aparezca la clave pública, el cálculo realmente vinculado a la clave pública objetivo puede comprimirse a cerca de la mitad del tiempo, obteniéndose así una estimación de “aproximadamente 9 minutos”.

Este número genera mucha atención porque se aproxima al tiempo medio de generación de bloques de Bitcoin, que es de unos 10 minutos. Esto significa que, bajo ciertos supuestos, el atacante podría completar teóricamente la recuperación de la clave privada antes de que se confirme la transacción.

Es importante remarcar que esta estimación temporal depende de una serie completa de premisas idealizadas. Su significado reside más en proporcionar una referencia de orden de magnitud que en reflejar de manera directa la capacidad de ataque en el mundo real.

1.4 Prueba de conocimiento cero: por qué no se divulga el circuito

Otro rasgo importante del documento es que, sin publicar los circuitos cuánticos específicos, introduce una forma de “divulgación verificable” [7].

El equipo de investigación se compromete con el circuito mediante un hash y, dentro de un procedimiento de verificación público, comprueba el comportamiento del circuito ante un conjunto de entradas aleatorias, al mismo tiempo que valida su cota superior de recursos. Todo el proceso de verificación se encapsula como una prueba de conocimiento cero, de modo que cualquier tercero pueda confirmar la corrección de las declaraciones relevantes sin tocar los detalles del circuito.

Este enfoque logra un equilibrio entre “proteger los detalles del ataque” y “aumentar la credibilidad de las conclusiones”, y también hace que la estimación de recursos deje de ser solo una declaración de los investigadores, pasando a tener verificabilidad en el sentido criptográfico.

2 ¿Cómo debemos entender esta cuestión?

Antes de comprender aún más estos resultados, hay un concepto que conviene aclarar primero.

En el documento se menciona varias veces el término CRQC (Cryptographically Relevant Quantum Computer）. Esta expresión, traducida literalmente, sería “computadora cuántica relevante criptográficamente”, pero no es una denominación genérica para las computadoras cuánticas, sino que se refiere a sistemas cuánticos que ya cuentan con una capacidad de criptoanálisis real. En otras palabras, lo que de verdad debería preocupar a la industria blockchain no es si la computación cuántica sigue avanzando, sino cuándo se desarrollará lo suficiente como para descifrar en condiciones reales problemas criptográficos como el ECDLP.

Desde esta perspectiva, el significado del trabajo de Google no es solo mostrar el progreso de la computación cuántica en sí, sino responder de forma más concreta a una pregunta: qué escala de recursos, capacidad de ejecución y características temporales debe tener una computadora cuántica capaz de representar una amenaza para sistemas criptográficos reales.

A mayor detalle, esta pregunta puede entenderse desde tres dimensiones: las características de ejecución del sistema de computación cuántica, los diferentes caminos que podrían surgir de la evolución tecnológica y las formas de ataque a las que, en última instancia, corresponden estas capacidades.

2.1 Reloj rápido y reloj lento: la computación cuántica no es una sola

Un punto de vista importante propuesto por el documento es distinguir entre distintos tipos de arquitecturas de computación cuántica.

Algunas plataformas (por ejemplo, qubits superconductores) tienen velocidades de operación básicas más rápidas y ciclos de corrección de errores más cortos, lo que permite ejecutar circuitos profundos en menos tiempo; mientras que otras plataformas (como trampas de iones [14] o átomos neutros) operan más lentamente, pero podrían tener ventajas en otros aspectos.

Esta diferencia implica que “la capacidad de computación cuántica” no es un único indicador. Incluso con sistemas cuánticos de una escala similar, bajo arquitecturas diferentes, la capacidad real de ataque contra problemas criptográficos puede diferir en órdenes de magnitud.

Esta diferencia en las características de ejecución impacta directamente en la manera y la estructura temporal en que se forma el CRQC: algunos sistemas están más cerca de completar cálculos dentro de una ventana de tiempo corta, mientras que otros son más aptos para ejecutar durante periodos largos.

2.2 Dos posibles rutas de evolución

Con base en las diferencias de arquitectura anteriores, también se puede considerar la ruta de evolución de la capacidad de computación cuántica.

Una posibilidad es que los sistemas cuánticos con capacidad de ejecución más rápida alcancen primero el nivel de tolerancia a fallos; en ese caso, el ataque en tiempo real contra transacciones on-chain (por ejemplo, recuperar la clave privada antes de la confirmación de la transacción) se convertirá en el principal riesgo. Otra posibilidad es que los sistemas más lentos pero más estables alcancen primero un avance; en ese caso, es más probable que el ataque se concentre en claves públicas expuestas durante mucho tiempo, como direcciones históricas o claves reutilizadas.

Estas dos rutas no son excluyentes, pero corresponden a estructuras temporales de riesgo y a prioridades de defensa claramente diferentes.

Desde este ángulo, la aparición del CRQC no necesariamente corresponde a un momento de tiempo bien definido, y es más probable que se manifieste como un proceso en el que diferentes capacidades se van adquiriendo gradualmente.

2.3 Tres formas de ataque

Dentro del marco anterior, los ataques cuánticos pueden agruparse, de manera aproximada, en tres categorías.

La primera es el “ataque durante el gasto” (on-spend attack), es decir, recuperar la clave privada en la ventana de tiempo en la que la transacción entra al mempool y antes de ser escrita en el bloque. La segunda es el “ataque en reposo” (at-rest attack): dirigido a las claves públicas ya expuestas durante mucho tiempo en la cadena, donde el atacante puede disponer de un tiempo de cómputo más amplio. La tercera es el “ataque de configuración” (on-setup attack): dirigido a ciertos protocolos que dependen de parámetros públicos, obteniendo mediante un cómputo cuántico único un backdoor reutilizable.

El punto en común de estas tres categorías de ataques es que todas dependen de la misma capacidad base: resolver el ECDLP dentro de un tiempo aceptable; pero difieren en cómo dependen de la ventana temporal y de la estructura del sistema.

En cuanto a sus resultados, estas tres categorías son solo distintas manifestaciones de una misma cosa: cuando la capacidad de computación cuántica alcanza el nivel representado por el CRQC, el impacto específico sobre distintas condiciones del sistema y las restricciones temporales.

3 ¿Qué tan lejos está el verdadero ataque cuántico?

3.1 Este Libro Blanco no prueba nada

Es necesario subrayar que, aunque este Libro Blanco impulsa de forma notable la evaluación ingenieril del riesgo cuántico, no demuestra que el CRQC ya esté cerca de una implementación realista, ni demuestra que los sistemas blockchain actuales vayan a enfrentarse a ataques cuánticos reales y viables en el corto plazo.

Lo que el documento realmente hace es, bajo un conjunto de supuestos claros, comprimir más la estimación de recursos necesarios para romper secp256k1 y llevar una discusión de riesgo que antes era más abstracta a un punto más apropiado para su evaluación ingenieril. Lo que prueba es que el problema relevante es más concreto de lo que se entendía antes, y por tanto es más digno de un seguimiento continuo; pero no prueba que los grandes sistemas cuánticos tolerantes a fallos que sostienen estos ataques estén ya a la vuelta de la esquina.

3.2 La necesidad de recursos está disminuyendo, pero la distancia ingenieril sigue siendo evidente

Dicho de una manera más profunda, desde “el algoritmo cuántico en teoría puede romper el ECDLP” hasta “en el mundo real aparece efectivamente una capacidad de computación cuántica suficiente para amenazar sistemas criptográficos”, entre medio no hay solo un problema simple de escalamiento ingenieril. Lo que realmente determina si los ataques cuánticos pueden materializarse no es únicamente la cifra de las estimaciones de recursos en el papel, sino también la arquitectura de tolerancia a fallos, la corrección de errores, la decodificación en tiempo real, los sistemas de control y la capacidad global del sistema necesaria para ejecutar circuitos profundos de manera estable durante largos periodos.

Parte de estas condiciones, sí, pertenecen a problemas de implementación ingenieril; pero no se pueden entender de forma simple como “si se sigue invirtiendo, tarde o temprano se resolverán naturalmente”. La corrección cuántica de errores y la computación tolerante a fallos proporcionan, en teoría, una ruta escalable; sin embargo, en el mundo real sigue existiendo una incertidumbre clara sobre si esas condiciones podrán integrarse realmente en un CRQC que pueda ejecutarse de manera sostenible y suficiente para amenazar sistemas criptográficos reales.

Desde este ángulo, el significado más exacto del Libro Blanco de Google no es anunciar que los ataques cuánticos están a punto de ocurrir, sino permitir por primera vez que la industria discuta este riesgo con parámetros de ingeniería más concretos, y también recordarnos que no debemos equiparar directamente la disminución de las estimaciones de recursos con que ya se haya logrado la capacidad real de ataque.

3.3 Esto no es un problema adecuado para predecir con precisión el año de llegada

Justamente por esto, la llegada de los ataques cuánticos no se debe entender como un momento que se pueda predecir con exactitud. Para la industria blockchain, lo verdaderamente importante no es “en qué año aparecerá con seguridad un CRQC”, sino si las capacidades relacionadas están evolucionando hacia una dirección cada vez más digna de preocupación.

Por un lado, los avances clave podrían cambiar significativamente en poco tiempo las necesidades de recursos. Por otro lado, aunque algunas rutas técnicas parezcan estar cerca, también podrían quedarse durante mucho tiempo antes de superar ciertos cuellos de botella básicos. Esto significa que nos resulta difícil, mediante extrapolación lineal del tipo “este año cuántos qubits, el próximo año cuántos qubits”, determinar cuándo aparecerá la capacidad real de ataque.

Por lo tanto, una comprensión más prudente de este tema no es intentar apostar por un año exacto, sino reconocer que tiene una incertidumbre considerable, y centrar la atención en las señales de base que realmente cambiarían la evaluación del riesgo.

3.4 Lo más preocupante es que las señales de alerta podrían no ser evidentes

Esto también implica que la comunidad no debería esperar obtener una señal clara de alerta a través de una “demostración pública de ataque cuántico”.

Muchas personas tienden a considerar las demostraciones públicas como un signo de madurez tecnológica; parece que mientras no se haya visto una demostración en el mundo real, entonces la distancia hasta la amenaza real es muy grande. Pero en el caso del criptoanálisis cuántico, esta intuición quizá no sea válida. Cuando de verdad aparezcan ciertas demostraciones indicativas, es posible que las capacidades correspondientes ya se hayan acumulado durante un tiempo considerable en los niveles más profundos de la tecnología, y que la ventana de defensa se haya reducido de forma notable.

Para la industria blockchain, esta es precisamente la parte más difícil de gestionar: los cambios realmente importantes quizá no se desarrollen de una manera clara, gradual y visible hacia el exterior.

4 ¿Cómo debemos evaluar el progreso cuántico?

4.1 No se debe mirar solo la cantidad de qubits

Si el Capítulo 3 responde a “aproximadamente en qué posición nos encontramos ahora”, entonces la siguiente pregunta es: ¿qué deberíamos observar en el futuro para juzgar con mayor precisión el progreso cuántico?

El indicador más fácil de difundir y también el más propenso a malentendidos es la cantidad de qubits. Es lo suficientemente intuitivo y llamativo, pero para la capacidad de criptoanálisis está muy lejos de ser el único, e incluso tampoco es el indicador más clave. El aumento meramente de la cantidad de qubits físicos no significa automáticamente que el sistema esté cerca de una capacidad real de ataque.

Lo que realmente vale la pena observar es si estos qubits pueden organizarse de manera efectiva bajo condiciones de tolerancia a fallos, si pueden sostener de forma estable la ejecución de circuitos profundos, y si forman un ciclo cerrado entre algoritmos y sistemas de control. Para la industria, “cuántos qubits” como máximo solo puede explicar el cambio de escala, pero no puede, por sí solo, explicar hasta qué punto está cerca la amenaza real.

4.2 Las señales que realmente merece la pena vigilar son tres tipos

Si se quiere formar un marco relativamente utilizable para juzgar el progreso cuántico, puede centrarse en tres tipos de señales.

El primer tipo es laseñal de hardware. Aquí lo realmente importante no es solo la cantidad de qubits físicos, sino si empieza a aparecer qubits lógicos estables; si la corrección de errores entra en una fase escalable; y si el sistema puede continuar funcionando de manera sostenida bajo condiciones de corrección de errores.

El segundo tipo es laseñal de algoritmos. El Libro Blanco de Google en sí es un ejemplo típico. Para la industria blockchain, lo más valioso no es un número único en sí mismo, sino si este tipo de estimaciones de recursos sigue disminuyendo: si el número de qubits lógicos disminuye; si la cantidad de operaciones de puertas clave disminuye; y si el volumen total de espacio-tiempo continúa convergiendo.

El tercer tipo es laseñal de sistemas. Este suele ser el más fácil de pasar por alto. Incluso si tanto el hardware como los algoritmos avanzan, todavía es necesario ver si la capacidad a nivel de sistema va madurando, por ejemplo, la capacidad de ejecutar circuitos profundos de manera estable durante mucho tiempo, la escalabilidad del sistema de control y si varias condiciones clave empiezan a cumplirse simultáneamente. La capacidad real de ataque en el mundo real, al final, no depende de un único indicador, sino de si estas condiciones pueden converger en una ruta ingenieril cerrada.

4.3 Las demostraciones públicas pueden servir de referencia, pero no deben ser la única señal

Muchas personas esperarán naturalmente algún “momento emblemático”: por ejemplo, si una plataforma experimental demuestra públicamente la ejecución de un algoritmo relacionado en una curva a pequeña escala, entonces todos lo toman como la señal de que el riesgo real empieza a hacerse evidente.

Por supuesto, esta señal tiene valor de referencia, pero no es adecuada como base única para el juicio. Porque desde la perspectiva de la evolución tecnológica, las demostraciones públicas suelen ser solo un resultado, no el cambio más temprano en sí mismo. Lo realmente importante es si, de manera gradual, ya se van cumpliendo esas condiciones de base mencionadas antes.

Para la industria, un enfoque más realista no es esperar un momento dramático, sino crear el hábito de un seguimiento continuo: observar si el hardware entra en una nueva etapa, si los recursos algorítmicos siguen comprimiéndose y si la capacidad del sistema está pasando de “mejoras dispersas” a “conformación integral”. En lugar de preguntar “cuándo veremos la demostración”, merece más la pena preguntar: antes de ver la demostración, ¿ya entendimos hacia dónde avanza el progreso técnico?

5 ¿Cómo debemos evaluar el progreso cuántico?

5.1 Esto no es “un problema de ahora”, pero hay que empezar a prepararse ya

Desde la realidad ingenieril, la computación cuántica aún no tiene capacidad para lanzar ataques contra los sistemas de criptomonedas existentes. Ya sea en el escalado del hardware, el control del error o la capacidad de ejecutar circuitos profundos de manera estable durante mucho tiempo, todavía hay una brecha evidente respecto a las condiciones que asume el documento.

Pero esto no significa que la industria pueda seguir posponiendo indefinidamente el tema. En comparación con el pasado, un cambio importante es que las rutas tecnológicas relevantes se han vuelto cada vez más claras y las estimaciones de recursos siguen convergiendo. Para los sistemas blockchain, lo que de verdad se necesita vigilar no es un punto temporal específico, sino si ya se ha reservado suficiente tiempo y espacio para la migración futura.

Actualizar la infraestructura criptográfica rara vez consiste en reemplazar un software de forma simple. Implica protocolos, implementación, coordinación del ecosistema, migración de activos y cambios en los hábitos de los usuarios; su escala temporal suele medirse en años, en lugar de meses o trimestres. Desde este punto de vista, no es un problema de “estallará ahora mismo”, pero sí es un problema que debe incorporarse a la planificación cuanto antes.

5.2 Los algoritmos cambiarán, pero el diseño del sistema blockchain no necesita ser desmantelado

Lo que la computación cuántica impacta directamente son los supuestos criptográficos subyacentes en los que se apoya la base del sistema blockchain, como los esquemas de firma basados en curvas elípticas, y no el problema en sí que enfrenta un sistema blockchain como sistema de seguridad.

Esto significa que muchos mecanismos de seguridad que hoy ya se ha demostrado que funcionan no perderán valor por la aparición de la computación cuántica. Para la industria blockchain y de activos digitales, ya sea la gestión de claves, la computación multipartita (MPC), el aislamiento de hardware (TEE), el control de permisos, los mecanismos de auditoría o toda la arquitectura de seguridad integral construida en torno al sistema de cuentas, la aprobación de transacciones, el control de riesgos y la gobernanza, lo que se sigue resolviendo son problemas reales como la exposición de claves, el fallo de punto único, los riesgos internos y los errores operativos. Estos problemas no desaparecerán a medida que cambien las primitivas criptográficas subyacentes.

Por lo tanto, una comprensión más razonable no es “en la era cuántica hay que rehacer todo el sistema de seguridad blockchain desde cero”, sino: lo que debe actualizarse primero son los componentes criptográficos de base; y lo que se debe conservar y reforzar son los principios de diseño que el sistema blockchain ya ha formado para la protección de claves, la segmentación de riesgos, el aislamiento y el control de gobernanza. Lo realmente importante no es solo sustituir un algoritmo de firma por otro, sino hacer que todo el sistema tenga capacidad para soportar esta clase de migraciones criptográficas.

5.3 De “qué algoritmo elegir” a “si es posible migrar de forma fluida”

La criptografía post-cuántica actual ya ha entrado en la fase de estandarización y despliegue ingenieril. Los primeros estándares PQC liderados por NIST se publicaron oficialmente en 2024 [12], pero aún existen diferencias evidentes entre distintos esquemas en cuanto a rendimiento, tamaño de las firmas, complejidad de implementación y supuestos de seguridad; y la práctica de ingeniería y las rutas de adopción de la industria continúan evolucionando.

En este contexto, en lugar de apostar demasiado pronto por un algoritmo específico, el problema más importante está cambiando: si el sistema cuenta con una capacidad de migración fluida.

Esta capacidad incluye varios niveles: si es posible introducir nuevos esquemas de firma sin afectar la continuidad del negocio; si es posible soportar durante un periodo un modo mixto; y si, a medida que los estándares y las prácticas de ingeniería sigan evolucionando, aún se podrá continuar ajustando y manteniendo la compatibilidad.

A largo plazo, lo que la industria blockchain realmente necesita construir no es solo la capacidad de “adoptar algoritmos post-cuánticos”, sino la capacidad de “afrontar los cambios continuos de la criptografía”. Lo primero es una ronda de migración; lo segundo es un diseño de sistema que puede sostenerse a largo plazo.

6 Conclusión: una señal tecnológica importante

Desde la realidad ingenieril de hoy, la computación cuántica todavía no es capaz de representar una amenaza real para los sistemas actuales de criptomonedas. Ya sea la escala del hardware, el control de errores o la capacidad de tolerancia a fallos necesaria para ejecutar circuitos profundos de manera estable durante mucho tiempo, todavía existe una brecha evidente respecto a las condiciones asumidas por el documento. En otras palabras, el CRQC no es una tecnología que “solo necesite que llegue el momento para asentarse de forma natural”; su implementación aún depende de una serie de desafíos de ingeniería que no se han superado por completo.

Pero al mismo tiempo, este problema ya no es adecuado para considerarse una discusión abstracta de un futuro lejano. En marzo de 2026, Google estableció explícitamente su propia línea de tiempo de migración post-cuántica en 2029 [8]. El NCSC del Reino Unido, por su parte, dio tres hitos clave de migración: 2028, 2031 y 2035 [9]. Aunque el roadmap del G7 Cyber Expert Group para el sistema financiero no fija un plazo regulatorio, también considera 2035 como un objetivo de referencia para la migración global, y sugiere que los sistemas clave completen la migración prioritariamente entre 2030 y 2032 [10].

Además, también es necesario evitar una interpretación excesiva. Según la información pública principal disponible hasta ahora, incluso las evaluaciones públicas más audaces tienden más a adelantar la ventana de riesgo a alrededor de 2030, en lugar de llegar a un consenso de que “el CRQC se implementará claramente antes de 2030”. Una encuesta de expertos de Global Risk Institute en 2025 muestra que, dentro de los próximos 10 años, que aparezca CRQC es “quite possible（28%–49%）”, mientras que dentro de los próximos 15 años recién se entra en el rango “likely（51%–70%）” [11].

Por lo tanto, el significado más importante del Libro Blanco de Google no radica en anunciar que ya han llegado los ataques cuánticos, sino en que hace que este problema se vuelva, por primera vez, lo suficientemente concreto: se puede discutir, se puede evaluar y también hay que empezar a prepararse. Para la industria blockchain y de activos digitales, 2030–2035 es una ventana clave que merece una atención seria y en la que se debe reservar espacio para la migración. Puede que no corresponda al año específico en que de verdad lleguen los ataques cuánticos, pero es muy probable que sea lo que determine si la industria, para entonces, seguirá contando con margen suficiente para afrontarlo con calma.