¿Podrían los ordenadores cuánticos romper Bitcoin en 2033?

Eso no equivale a decir que el ataque pueda hacerse ahora. La misma cobertura señala que los ataques cuánticos no son factibles en la actualidad, y Bitcoin Magazine lo resumió de forma directa: no existe hoy un ordenador de ese tipo.^[7][10]

Por eso, la posición razonable queda en un punto intermedio: ni pánico ni complacencia. Las guías públicas sobre criptografía poscuántica ya tratan la migración como un cambio tecnológico de varios años, y esa es también la escala temporal con la que deberían pensar las redes blockchain.^[20]

Qué atacaría realmente una máquina cuántica

Un atacante futuro no necesitaría “desencriptar la blockchain”. La cadena de bloques es pública. El objetivo valioso sería recuperar una clave privada a partir de una clave pública.

Si una clave pública de Bitcoin ya está expuesta y una máquina cuántica puede resolver con suficiente rapidez el problema de curva elíptica correspondiente, el atacante podría derivar la clave privada y firmar un gasto válido.^[1][12]

Esto es distinto de imaginar que un ordenador cuántico reescribe automáticamente la historia de Bitcoin o gana todas las carreras de minería. Bitcoin también usa SHA-256 para la minería y para el hashing de direcciones, pero el riesgo más destacado en la investigación citada se concentra en la capa de firmas de clave pública, no en la minería con SHA-256.^[4][15]

Por qué importan las claves públicas expuestas

No todos los bitcoins tendrían el mismo perfil de riesgo. Las claves públicas pueden revelarse cuando se gastan fondos, y la reutilización de direcciones facilita identificar, catalogar y priorizar esas exposiciones.^[6][7]

Eso abre dos problemas distintos. El primero es evidente: las monedas asociadas a claves públicas ya expuestas serían candidatas prioritarias para una futura migración. El segundo es más delicado: cuando un usuario emite una transacción, puede existir una ventana antes de la confirmación en la que la clave pública y el gasto previsto son visibles. Si una máquina cuántica futura pudiera recuperar la clave privada dentro de esa ventana, un atacante podría intentar emitir una transacción competidora.^[7]

Las estimaciones actuales no muestran que esto sea posible hoy. Sí muestran, en cambio, por qué el diseño de monederos, la propagación de transacciones, la privacidad del mempool y los tiempos de confirmación deberían entrar en la conversación poscuántica antes de que la amenaza sea operativa.^[7]

La criptografía poscuántica ya no es solo teoría

La mejor razón para prepararse pronto es que la criptografía poscuántica —PQC, por sus siglas en inglés— ya no vive únicamente en papers académicos. En agosto de 2024, el NIST, el Instituto Nacional de Estándares y Tecnología de Estados Unidos, finalizó sus tres primeros estándares de criptografía poscuántica y animó a los administradores de sistemas a empezar la transición cuanto antes.^[19]

Esos estándares incluyen FIPS 203 para ML-KEM, un mecanismo de encapsulación de claves; FIPS 204 para ML-DSA, un esquema de firmas digitales; y FIPS 205 para SLH-DSA, firmas digitales basadas en hash sin estado.^[23] El NIST también ha publicado material de planificación para pasar de algoritmos vulnerables a ordenadores cuánticos a esquemas poscuánticos de firmas digitales y establecimiento de claves.^[18]

En el Reino Unido, el National Cyber Security Centre —la agencia pública británica de ciberseguridad— describe la migración a PQC como un cambio tecnológico masivo que llevará varios años, con hitos tempranos como definir objetivos de migración y completar un ejercicio completo de descubrimiento para 2028.^[20]

Para Bitcoin y otras cadenas, elegir un algoritmo es solo una parte del trabajo. Cualquier ruta hacia firmas poscuánticas tendría que encajar con límites de tamaño de transacción, costes de verificación, comisiones, monederos hardware, custodios, clientes ligeros, exchanges, puentes entre cadenas y consenso social.

Qué debería hacer ahora la industria cripto

1. Hacer un inventario de exposición criptográfica

Exchanges, custodios, desarrolladores de wallets, puentes, emisores de stablecoins, equipos de capa 2 y tesorerías deberían mapear dónde dependen de criptografía de clave pública vulnerable a un ordenador cuántico.

Ese inventario debería incluir flujos de firma, hardware de custodia de claves, formatos de copia de seguridad, procedimientos de recuperación, políticas multifirma, contratos inteligentes, validadores de puentes y claves públicas de larga duración.

La lógica coincide con el trabajo temprano que recomienda el NCSC: definir objetivos y hacer descubrimiento antes de que llegue la urgencia.^[20] En Bitcoin, las prioridades deberían incluir direcciones reutilizadas, claves públicas ya expuestas, tipos de salida antiguos, monederos fríos de alto valor y monederos calientes que revelan claves públicas con frecuencia.^[6][7]

2. Dejar de aumentar la exposición evitable

Los monederos y exchanges deberían hacer más difícil reutilizar direcciones y más sencillo usar direcciones nuevas. Las direcciones reutilizadas y las claves públicas ya expuestas son algunos de los puntos más claros para concentrar el trabajo de preparación cuántica.^[6][7]

Los equipos de infraestructura también deberían estudiar la privacidad al emitir transacciones. Si el modelo de ataque futuro es una carrera entre un gasto legítimo y uno falsificado, reducir la visibilidad y acortar la ventana de exposición importará incluso antes de que toda la red haya migrado a firmas poscuánticas.^[7]

3. Diseñar formatos de transacción poscuánticos antes de una crisis

Las comunidades blockchain necesitan propuestas creíbles para soportar firmas poscuánticas, incluidas las rutas de consenso y despliegue necesarias para introducirlas de forma segura. Google sostiene que su divulgación busca ayudar a la comunidad de criptomonedas a mejorar seguridad y estabilidad antes de que estos ataques sean posibles, incluida la transición hacia criptografía poscuántica.^[4]

Los estándares del NIST son un punto de partida, no una actualización automática de Bitcoin. FIPS 204 y FIPS 205 son estándares de firmas digitales, pero una cadena de bloques debe evaluar además tamaño de firma, coste de verificación, ancho de banda, impacto en comisiones, usabilidad de wallets, soporte en monederos hardware y confianza criptanalítica a largo plazo.^[23]

4. Probar migraciones escalonadas e híbridas

Una transición práctica podría necesitar una etapa en la que las firmas actuales y los mecanismos poscuánticos funcionen en paralelo. Eso reduciría el riesgo de depender de golpe de un esquema nuevo, mientras da tiempo a wallets, nodos, exchanges, custodios y usuarios para adaptarse.

La contrapartida es clara: las firmas más grandes pueden aumentar el peso de las transacciones, los flujos de uso pueden complicarse y los usuarios sensibles a las comisiones podrían verse afectados. Es mejor medir esos costes en pilotos controlados que descubrirlos durante una emergencia real.

5. Actualizar antes la infraestructura de custodia

La custodia concentrará buena parte del riesgo operativo. Exchanges, custodios institucionales, proveedores vinculados a ETF, emisores de stablecoins, puentes y grandes tesorerías deberían comprobar si sus módulos de firma, HSM, monederos hardware, motores de políticas, registros de auditoría y procedimientos de recuperación ante desastres pueden soportar una migración poscuántica o por etapas.

Como la guía pública trata la migración a PQC como un cambio de varios años, estos sistemas deberían pilotarse mientras la amenaza aún es teórica, no improvisarse después de que aparezca una capacidad de ataque creíble.^[20]

6. Definir reglas de consenso social con antelación

La migración criptográfica también es un problema de gobernanza. Las redes descentralizadas necesitan normas sobre cómo avisar a los usuarios, cómo apoyar la migración, qué hacer con claves perdidas y cómo tratar, si se decide hacer algo, fondos largamente expuestos que nunca se mueven.

Google afirma que su objetivo al divulgar la investigación es ayudar a la comunidad cripto a mejorar la seguridad y la estabilidad antes de que la amenaza sea posible.^[4] El peor momento para debatir reglas de migración sería después de que el ecosistema crea que ya se abrió una ventana real de ataque cuántico.

Qué señales vigilar de aquí a 2033

No basta con mirar titulares sobre el número de cúbits físicos. Las métricas más relevantes serán los cúbits lógicos, las tasas de error, la sobrecarga de corrección de errores, la profundidad de circuitos, el coste de puertas Toffoli y las demostraciones de computación tolerante a fallos a escala.^[1][7]

También importa la adopción de estándares. El NIST ya finalizó estándares poscuánticos iniciales, su planificación de transición está en marcha y la guía del NCSC marca hitos escalonados; las redes cripto no deberían asumir que pueden posponer indefinidamente el trabajo de consenso y de wallets.^[18][19][20]

Conclusión

Bitcoin no está condenado por 2033, y las fuentes citadas no muestran que hoy exista un ordenador cuántico capaz de romperlo.^[7][10] Pero el riesgo es lo bastante plausible como para que los equipos serios empiecen a prepararse.

El cuello de botella no será solo el hardware cuántico. También serán la selección de estándares, el despliegue en monederos, las actualizaciones de custodia, el soporte de exchanges, la economía de comisiones y el consenso social. Esperar hasta que una máquina cuántica esté a punto de atacar secp256k1 dejaría a la industria cripto con demasiado poco tiempo para migrar con seguridad.^[4][20]