Seguridad de Bitcoin en la era cuántica: distinguir entre la ficción y la amenaza real

La narrativa difundida en los medios sobre “la ruptura del cifrado de Bitcoin por ordenadores cuánticos” contiene un error conceptual fundamental. Bitcoin en realidad no depende del cifrado de los datos almacenados en la cadena de bloques. La blockchain funciona como un libro público, donde cada transacción, cantidad y dirección son visibles para todos. La amenaza real, en la que hay que concentrarse, no es la descifrado, sino la posible falsificación de firmas digitales relacionadas con la clave pública revelada.

Dónde realmente reside la vulnerabilidad: del cifrado a las firmas

Los sistemas de firma de Bitcoin—ECDSA y Schnorr—constituyen la base del control sobre los fondos. Se adquieren monedas mediante la generación de una firma válida que la red acepta. En esta arquitectura, la revelación de la clave pública se vuelve una vulnerabilidad crítica cuando aparece una computadora capaz de ejecutar el algoritmo de Shor.

Si un atacante dispusiera de una máquina cuántica criptográficamente significativa, podría:

• Derivar la clave privada de la clave pública visible en la cadena
• Generar una firma competitiva para otro gasto
• Tomar control de los fondos

La limitación de la exposición de la clave pública determina la magnitud de este riesgo. Muchas direcciones de Bitcoin cifran la clave pública en hashes, revelando la clave cruda solo en el momento de la transacción. Otros formatos—como pay-to-pubkey o algunos multisig—revelan la clave antes. La reutilización de la dirección prolonga esta ventana temporal, convirtiendo una exposición única en un objetivo permanente para un posible atacante.

La amenaza cuántica en cifras: lo que se puede medir hoy

Project Eleven publica semanalmente un escaneo de la cadena, identificando UTXO con clave pública revelada. Su rastreador público indica aproximadamente 6,7 millones de BTC que cumplen con los criterios de exposición cuántica.

Desde el punto de vista computacional, según estudios de Roettler y coautores, romper el logaritmo discreto de curva elíptica de 256 bits requeriría:

La diferencia entre qubits lógicos y físicos es fundamental. Transformar un circuito en una máquina capaz de corrección de errores con baja tasa de error—requisito para un ataque práctico—genera costos enormes en escalabilidad y tiempo.

Taproot cambia el panorama de exposición

La implementación de Taproot (P2TR) modifica el patrón predeterminado de revelación de claves. Las salidas Taproot contienen una clave pública modificada de 32 bytes directamente en el script de salida, en lugar de una clave pública hashada. Esto significa que las nuevas transacciones crearán, por defecto, un mayor conjunto de UTXO con clave revelada, cuando la tecnología cuántica se convierta en una amenaza práctica.

Sin embargo, la seguridad hasta ahora no cambia—la exposición se vuelve una variable medible y rastreable, que determina la magnitud de la amenaza futura.

De Grover a la migración: el contexto de todo el espectro cuántico

Las funciones hash, como SHA-256, enfrentan otro tipo de ataque cuántico. El algoritmo de Grover ofrece una aceleración cuadrática para la búsqueda por fuerza bruta, no la ruptura del logaritmo discreto como Shor. Para preimágenes de SHA-256, el costo sigue siendo de 2^128 operaciones incluso tras aplicar Grover—mucho menos práctico y peligroso que romper ECDSA.

La narrativa sobre la amenaza cuántica a menudo carece de distinguir entre estos algoritmos. El NIST ya ha estandarizado primitivas post-cuánticas (ML-KEM, FIPS 203), y Bitcoin desarrolla soluciones como BIP 360, que propone “Pay to Quantum Resistant Hash”. El desafío está en la migración, no en una ruptura inmediata.

Por qué es un problema de infraestructura, no un escenario apocalíptico

Según informes recientes de Reuters, IBM está diseñando un camino hacia un sistema resistente a errores alrededor de 2029. En este mismo contexto, los avances en componentes de corrección de errores sugieren que una ruptura cuántica sería resultado de un desarrollo de años, no de un ataque inesperado.

El problema real se reduce a tres dimensiones:

1. Qué parte de los UTXO tiene claves públicas reveladas (ya identificables hoy)
2. Qué tan rápido pueden adoptar las carteras y protocolos transacciones resistentes a los cuánticos
3. Si la red mantendrá su capacidad, seguridad y economía de tarifas durante la transición

Las firmas post-cuánticas tienen tamaños de varios kilobytes en lugar de decenas de bytes, lo que cambia el cálculo del peso de las transacciones y la experiencia del usuario. La migración requiere coordinación, no una reprogramación desesperada.

El riesgo cuántico real es medible, pero principalmente es un desafío de tiempo y diseño—no una razón para entrar en pánico ante un panorama alterado en la narrativa de seguridad en las criptomonedas.