Hablar de que un ordenador cuántico podría “romper el cifrado de Bitcoin” suena contundente, pero no es la forma más precisa de plantear el problema. El riesgo más realista está en el sistema de firmas: Bitcoin prueba la propiedad de los fondos con firmas de clave pública basadas en la curva elíptica secp256k1, y el algoritmo de Shor, ejecutado en un ordenador cuántico tolerante a fallos suficientemente potente, podría atacar el problema matemático que sostiene esas firmas.
La respuesta corta es esta: Bitcoin no está roto hoy y las fuentes citadas no demuestran que vaya a estarlo en 2033. Pero 2033 sí es un horizonte lo bastante cercano como para tomárselo en serio. En criptografía, esperar a que el incendio esté en la puerta suele ser demasiado tarde.
No hay evidencia pública en las fuentes disponibles que pruebe que Bitcoin será vulnerable de forma práctica en 2033. Lo que sí ha cambiado es el tono de las estimaciones: algunos trabajos recientes sugieren que atacar la criptografía de curva elíptica podría requerir menos recursos cuánticos de lo que se pensaba.
Un trabajo de Google Quantum AI y colaboradores estima que resolver el problema del logaritmo discreto de curva elíptica sobre secp256k1 podría lograrse, en una ruta modelada, con unos 1.200 cúbits lógicos y no más de 90 millones de puertas Toffoli; la cobertura del estudio también describe escenarios con menos de 500.000 cúbits físicos y tiempos de ataque medidos en minutos en máquinas suficientemente avanzadas.
Eso no equivale a decir que el ataque pueda hacerse ahora. La misma cobertura señala que los ataques cuánticos no son factibles en la actualidad, y Bitcoin Magazine lo resumió de forma directa: no existe hoy un ordenador de ese tipo.
Por eso, la posición razonable queda en un punto intermedio: ni pánico ni complacencia. Las guías públicas sobre criptografía poscuántica ya tratan la migración como un cambio tecnológico de varios años, y esa es también la escala temporal con la que deberían pensar las redes blockchain.
Un atacante futuro no necesitaría “desencriptar la blockchain”. La cadena de bloques es pública. El objetivo valioso sería recuperar una clave privada a partir de una clave pública.
Si una clave pública de Bitcoin ya está expuesta y una máquina cuántica puede resolver con suficiente rapidez el problema de curva elíptica correspondiente, el atacante podría derivar la clave privada y firmar un gasto válido.
Esto es distinto de imaginar que un ordenador cuántico reescribe automáticamente la historia de Bitcoin o gana todas las carreras de minería. Bitcoin también usa SHA-256 para la minería y para el hashing de direcciones, pero el riesgo más destacado en la investigación citada se concentra en la capa de firmas de clave pública, no en la minería con SHA-256.
No todos los bitcoins tendrían el mismo perfil de riesgo. Las claves públicas pueden revelarse cuando se gastan fondos, y la reutilización de direcciones facilita identificar, catalogar y priorizar esas exposiciones.
Eso abre dos problemas distintos. El primero es evidente: las monedas asociadas a claves públicas ya expuestas serían candidatas prioritarias para una futura migración. El segundo es más delicado: cuando un usuario emite una transacción, puede existir una ventana antes de la confirmación en la que la clave pública y el gasto previsto son visibles. Si una máquina cuántica futura pudiera recuperar la clave privada dentro de esa ventana, un atacante podría intentar emitir una transacción competidora.
Las estimaciones actuales no muestran que esto sea posible hoy. Sí muestran, en cambio, por qué el diseño de monederos, la propagación de transacciones, la privacidad del mempool y los tiempos de confirmación deberían entrar en la conversación poscuántica antes de que la amenaza sea operativa.
La mejor razón para prepararse pronto es que la criptografía poscuántica —PQC, por sus siglas en inglés— ya no vive únicamente en papers académicos. En agosto de 2024, el NIST, el Instituto Nacional de Estándares y Tecnología de Estados Unidos, finalizó sus tres primeros estándares de criptografía poscuántica y animó a los administradores de sistemas a empezar la transición cuanto antes.
Esos estándares incluyen FIPS 203 para ML-KEM, un mecanismo de encapsulación de claves; FIPS 204 para ML-DSA, un esquema de firmas digitales; y FIPS 205 para SLH-DSA, firmas digitales basadas en hash sin estado. El NIST también ha publicado material de planificación para pasar de algoritmos vulnerables a ordenadores cuánticos a esquemas poscuánticos de firmas digitales y establecimiento de claves.
En el Reino Unido, el National Cyber Security Centre —la agencia pública británica de ciberseguridad— describe la migración a PQC como un cambio tecnológico masivo que llevará varios años, con hitos tempranos como definir objetivos de migración y completar un ejercicio completo de descubrimiento para 2028.
Para Bitcoin y otras cadenas, elegir un algoritmo es solo una parte del trabajo. Cualquier ruta hacia firmas poscuánticas tendría que encajar con límites de tamaño de transacción, costes de verificación, comisiones, monederos hardware, custodios, clientes ligeros, exchanges, puentes entre cadenas y consenso social.
Exchanges, custodios, desarrolladores de wallets, puentes, emisores de stablecoins, equipos de capa 2 y tesorerías deberían mapear dónde dependen de criptografía de clave pública vulnerable a un ordenador cuántico.
Ese inventario debería incluir flujos de firma, hardware de custodia de claves, formatos de copia de seguridad, procedimientos de recuperación, políticas multifirma, contratos inteligentes, validadores de puentes y claves públicas de larga duración.
La lógica coincide con el trabajo temprano que recomienda el NCSC: definir objetivos y hacer descubrimiento antes de que llegue la urgencia. En Bitcoin, las prioridades deberían incluir direcciones reutilizadas, claves públicas ya expuestas, tipos de salida antiguos, monederos fríos de alto valor y monederos calientes que revelan claves públicas con frecuencia.
Los monederos y exchanges deberían hacer más difícil reutilizar direcciones y más sencillo usar direcciones nuevas. Las direcciones reutilizadas y las claves públicas ya expuestas son algunos de los puntos más claros para concentrar el trabajo de preparación cuántica.
Los equipos de infraestructura también deberían estudiar la privacidad al emitir transacciones. Si el modelo de ataque futuro es una carrera entre un gasto legítimo y uno falsificado, reducir la visibilidad y acortar la ventana de exposición importará incluso antes de que toda la red haya migrado a firmas poscuánticas.
Las comunidades blockchain necesitan propuestas creíbles para soportar firmas poscuánticas, incluidas las rutas de consenso y despliegue necesarias para introducirlas de forma segura. Google sostiene que su divulgación busca ayudar a la comunidad de criptomonedas a mejorar seguridad y estabilidad antes de que estos ataques sean posibles, incluida la transición hacia criptografía poscuántica.
Los estándares del NIST son un punto de partida, no una actualización automática de Bitcoin. FIPS 204 y FIPS 205 son estándares de firmas digitales, pero una cadena de bloques debe evaluar además tamaño de firma, coste de verificación, ancho de banda, impacto en comisiones, usabilidad de wallets, soporte en monederos hardware y confianza criptanalítica a largo plazo.
Una transición práctica podría necesitar una etapa en la que las firmas actuales y los mecanismos poscuánticos funcionen en paralelo. Eso reduciría el riesgo de depender de golpe de un esquema nuevo, mientras da tiempo a wallets, nodos, exchanges, custodios y usuarios para adaptarse.
La contrapartida es clara: las firmas más grandes pueden aumentar el peso de las transacciones, los flujos de uso pueden complicarse y los usuarios sensibles a las comisiones podrían verse afectados. Es mejor medir esos costes en pilotos controlados que descubrirlos durante una emergencia real.
La custodia concentrará buena parte del riesgo operativo. Exchanges, custodios institucionales, proveedores vinculados a ETF, emisores de stablecoins, puentes y grandes tesorerías deberían comprobar si sus módulos de firma, HSM, monederos hardware, motores de políticas, registros de auditoría y procedimientos de recuperación ante desastres pueden soportar una migración poscuántica o por etapas.
Como la guía pública trata la migración a PQC como un cambio de varios años, estos sistemas deberían pilotarse mientras la amenaza aún es teórica, no improvisarse después de que aparezca una capacidad de ataque creíble.
La migración criptográfica también es un problema de gobernanza. Las redes descentralizadas necesitan normas sobre cómo avisar a los usuarios, cómo apoyar la migración, qué hacer con claves perdidas y cómo tratar, si se decide hacer algo, fondos largamente expuestos que nunca se mueven.
Google afirma que su objetivo al divulgar la investigación es ayudar a la comunidad cripto a mejorar la seguridad y la estabilidad antes de que la amenaza sea posible. El peor momento para debatir reglas de migración sería después de que el ecosistema crea que ya se abrió una ventana real de ataque cuántico.
No basta con mirar titulares sobre el número de cúbits físicos. Las métricas más relevantes serán los cúbits lógicos, las tasas de error, la sobrecarga de corrección de errores, la profundidad de circuitos, el coste de puertas Toffoli y las demostraciones de computación tolerante a fallos a escala.
También importa la adopción de estándares. El NIST ya finalizó estándares poscuánticos iniciales, su planificación de transición está en marcha y la guía del NCSC marca hitos escalonados; las redes cripto no deberían asumir que pueden posponer indefinidamente el trabajo de consenso y de wallets.
Bitcoin no está condenado por 2033, y las fuentes citadas no muestran que hoy exista un ordenador cuántico capaz de romperlo. Pero el riesgo es lo bastante plausible como para que los equipos serios empiecen a prepararse.
El cuello de botella no será solo el hardware cuántico. También serán la selección de estándares, el despliegue en monederos, las actualizaciones de custodia, el soporte de exchanges, la economía de comisiones y el consenso social. Esperar hasta que una máquina cuántica esté a punto de atacar secp256k1 dejaría a la industria cripto con demasiado poco tiempo para migrar con seguridad.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Un ataque cuántico capaz de comprometer Bitcoin hacia 2033 es un escenario plausible para planificar, no una fecha límite demostrada.
Un ataque cuántico capaz de comprometer Bitcoin hacia 2033 es un escenario plausible para planificar, no una fecha límite demostrada. El punto débil más serio no sería la minería con SHA 256, sino la recuperación de claves privadas a partir de claves públicas expuestas.
La industria cripto debería avanzar ya en inventarios de exposición, menos reutilización de direcciones, pruebas poscuánticas y mejoras de custodia.