La verdadera amenaza cuántica para Bitcoin no tiene nada que ver con "romper el cifrado"

La narrativa en torno a las computadoras cuánticas y la seguridad de Bitcoin ha sido confusa por un error fundamental de terminología. La cobertura mediática a menudo afirma que las computadoras cuánticas “romperán la encriptación de Bitcoin”, pero este enfoque ignora por completo la vulnerabilidad real. Bitcoin no almacena secretos encriptados en la cadena de bloques. La verdadera exposición radica en las firmas digitales y en la compromisión de claves públicas, un vector de amenaza claramente diferente.

Entendiendo lo que realmente importa: Firmas sobre la Secrecía

El modelo de seguridad de Bitcoin se basa en firmas ECDSA y Schnorr para demostrar la propiedad de las monedas. La cadena de bloques es un libro mayor transparente; cada transacción y dirección es visible públicamente. Esto significa que nada está encriptado en el sentido tradicional. La cuestión de seguridad no es si una computadora cuántica puede descifrar algo oculto, sino si puede derivar una clave privada a partir de una clave pública expuesta y falsificar una firma válida.

Adam Back, un desarrollador veterano del núcleo de Bitcoin, enmarcó esta distinción con claridad: “Bitcoin no usa encriptación. Entiende tus conceptos básicos.” Este error de terminología ha inflado el miedo a las computadoras cuánticas durante años. El riesgo cuántico real involucra el algoritmo de Shor, que teóricamente puede calcular logaritmos discretos sobre curvas elípticas. Si una computadora cuántica suficientemente potente ejecuta este algoritmo contra una clave pública visible en la cadena, podría derivar la clave privada correspondiente y autorizar transacciones no autorizadas.

El Cuello de Botella: Cuando las Claves Públicas se Exponen

El formato de las direcciones importa significativamente para el riesgo cuántico. Muchos tipos de direcciones de Bitcoin solo comprometen un hash de la clave pública, lo que significa que la clave en bruto permanece oculta hasta que se gasta esa salida. Este diseño reduce la ventana para que un atacante potencial calcule una clave privada mediante el algoritmo de Shor.

Sin embargo, otros tipos de scripts exponen las claves antes. La reutilización de direcciones convierte una sola revelación en una vulnerabilidad persistente. Las salidas Taproot (P2TR), introducidas mediante BIP 341, incluyen una clave pública ajustada de 32 bytes directamente en el programa de salida en lugar de un hash, lo que altera sustancialmente el perfil de exposición.

La “Bitcoin Risq List” del Proyecto Eleven rastrea este método de exposición de manera metódica. Su análisis identifica aproximadamente 6.7 millones de BTC ya en la cadena con claves públicas expuestas, creando lo que los investigadores definen como el grupo de direcciones vulnerable a la computación cuántica.

Cuantificando la Barrera Computacional

Comprender si el riesgo cuántico es inminente requiere separar los qubits lógicos de los físicos. Investigaciones de Roetteler y colegas establecen que calcular un logaritmo discreto de 256 bits sobre curvas elípticas requiere aproximadamente 2,330 qubits lógicos en el límite superior. La raíz cuadrada de la relación computacional de 256, junto con la complejidad algorítmica más amplia, informa estas estimaciones.

Convertir qubits lógicos en máquinas físicas con corrección de errores introduce una sobrecarga enorme. Estimaciones recientes sugieren que aproximadamente 6.9 millones de qubits físicos podrían recuperar una clave de curva elíptica de 256 bits en unos 10 minutos (bajo el modelo de Litinski 2023). Otros análisis sitúan alrededor de 13 millones de qubits físicos para romper una clave en un día. Estos números asumen ciertos supuestos de tasa de error y tiempo que aún no han sido comprobados en la práctica.

Las hojas de ruta recientes de IBM sitúan las computadoras cuánticas tolerantes a fallos alrededor de 2029, aunque el progreso en componentes de corrección de errores continúa modificando los plazos. El camino computacional desde la viabilidad teórica hasta un ataque práctico sigue siendo extremadamente empinado.

La Pregunta de Grover: Por qué las Funciones Hash siguen siendo Resilientes

Los algoritmos cuánticos plantean amenazas diferentes a distintas capas criptográficas. Mientras que el algoritmo de Shor apunta directamente a problemas de logaritmos discretos, el algoritmo de Grover proporciona solo una aceleración de raíz cuadrada contra la búsqueda de fuerza bruta. Para el hashing SHA-256 de Bitcoin, un ataque acelerado por Grover deja el objetivo de seguridad en aproximadamente 2^128 operaciones, aún inalcanzable computacionalmente y incomparable con una ruptura de curva elíptica.

Por lo tanto, el hashing sigue siendo una preocupación secundaria en las evaluaciones de riesgo cuántico.

La Migración como el Verdadero Desafío

Si surge una máquina capaz de cuántica, la amenaza no implicaría reescribir la historia del consenso de Bitcoin. En cambio, un atacante competiría para gastar salidas con claves expuestas más rápido que la confirmación legítima de transacciones. Esto desplaza la ventana de vulnerabilidad de Bitcoin desde la reconstrucción histórica hacia la competencia en tiempo real de transacciones.

Las actualizaciones de protocolo ofrecen el camino a seguir. BIP 360 propone tipos de salida “Pagar con Hash Resistente a Cuántica”, mientras que propuestas como qbip.org abogan por eliminar firmas legadas para forzar la migración y reducir la cola larga de direcciones expuestas. Firmas post-cuánticas como ML-KEM (el estándar FIPS 203 del NIST) son de kilobytes en lugar de decenas de bytes, reformulando fundamentalmente la economía de las transacciones y el diseño de las billeteras.

El comportamiento de las billeteras y los patrones de reutilización de direcciones ofrecen palancas a corto plazo. Una vez que una clave pública se transmite en la cadena, cualquier recepción futura a esa misma dirección permanece expuesta. Los usuarios y desarrolladores pueden reducir la exposición hoy mediante disciplina operativa y mejores configuraciones predeterminadas en las billeteras.

La Conclusión: Medición del Riesgo Sin Certidumbre en el Cronograma

La vulnerabilidad cuántica de Bitcoin es real pero medible, y su urgencia depende del desarrollo de máquinas tolerantes a fallos más que de avances en algoritmos. El desafío de infraestructura es manejable: rastrear la exposición, diseñar rutas de migración y actualizar reglas de validación. El desafío narrativo es corregir la terminología: Bitcoin no enfrenta riesgo de romper encriptación porque no usa encriptación que romper. En cambio, enfrenta riesgo de falsificación de firmas a partir de claves públicas expuestas, y ese cronograma depende del hardware, no de la teoría.