Proteger a Bitcoin contra la computación cuántica es urgente y tarea de todos

Imaginemos por un momento que Satoshi está vivo. Bajo ese supuesto, el creador de Bitcoin no sería solo una de las mentes más brillantes de nuestro tiempo, sino también una de las más prudentes y mesuradas, con el autocontrol suficiente para no haber tocado en 16 años su fortuna estimada en más de 1 millón de bitcoin.  

Satoshi viviría austeramente, como un renunciante, viendo como su fortuna de USD 110 mil millones, que lo sitúa como la decimosexta persona más acaudalada del mundo al precio actual, sigue su camino a la luna mientras su creación se adopta orgánicamente. El resto de los mortales, que asumimos que Satoshi ha muerto, creemos que sus monedas son una donación a la escasez de Bitcoin que revalorizan nuestras propias tenencias. Pero esta realidad, incluso la mismísima existencia de Bitcoin, podría cambiar con la llegada de la computación cuántica. 

La computación cuántica es la mayor amenaza de la historia de Bitcoin. Romper Bitcoin con computación cuántica no es un mito; es matemáticas puras. El algoritmo de Shor, diseñado para factorizar números grandes, ataca directamente ECDSA (la criptografía de curva elíptica que asegura las firmas de Bitcoin).

En la práctica, esto significa que quien tenga acceso a una computadora cuántica podrá atacar las direcciones de Bitcoin que no hayan sido actualizadas contra la cuántica y hacerse, por ejemplo, con los bitcoin de Satoshi. Pero también con 30% del suministro actual; 6,6 millones de BTC que se encuentran hoy en direcciones vulnerables. Y esta es una realidad cada vez más cerca.  

En el panel Bitcoin y la amenaza cuántica, realizado en Lugano Plan B 2025, los ponentes fueron enfáticos sobre la urgencia de ponerse manos a la obra para atender esta problemática. Si bien hay quienes proyectan que el Q-day, o Día Cuántico, día hipotético en el que un ordenador cuántico alcance la capacidad de romper los sistemas de encriptación pública más comunes (como RSA o ECDSA), podría llegar en diez años, hay investigadores que estiman su llegada para antes de 2030, impulsado por avances en qubits lógicos y algoritmos como el de Shor. 

En un protocolo centralizado, esto podría ser tiempo suficiente. Se actualizan los sistemas a algoritmos postcuánticos y problema resuelto. Pero Bitcoin es un sistema distribuido, descentralizado y que funciona por consenso. Nadie puede decidir arbitrariamente cómo avanzar en Bitcoin e imponer su verdad sobre el resto de los participantes. Hay que decidir entre millones de personas y llegar a acuerdos, lo cual, históricamente, ha sido un enorme desafío.  

El precedente más contundente de cuán difícil puede ser llegar al consenso lo tenemos en la llamada Guerra del Tamaño de Bloques, que terminó en la bifurcación de la comunidad y la creación de la criptomoneda Bitcoin Cash. Más recientemente, tenemos el debate de OP_RETURN, que hasta hace poco ni siquiera implicaba un cambio en las reglas de consenso, sino en una política de estándar, y tiene a los usuarios de Bitcoin profundamente divididos.  

Llegar a consenso en cómo vamos a atender la amenaza cuántica puede ser un debate que lleve años. En primer lugar, hace falta que las personas reconozcan que hay un problema que es necesario empezar a discutir. Identificado el o los problemas, hay que empezar a esbozar las soluciones y comenzar a probarlas, tanto en lo teórico como en lo práctico.

Todo esto lleva tiempo, pensamiento y esfuerzo, por lo que hace falta financiar a las personas más brillantes de la industria para que puedan concentrarse en esta tarea. Lograr convencer a los inversionistas de que este objetivo merece su dinero, también puede ser cuesta arriba. Como estableció durante el panel Jameson Lopp, jefe de Seguridad de Casa, la inversión preventiva en seguridad suele ser de las más menospreciadas. Esto tiene sentido en tanto que el retorno no es nueva riqueza, sino asegurar la existente. Pero los riesgos de no atenderlo implican, no solo el potencial robo del bitcoin disponible, sino una caída drástica del valor y un duro golpe a la confianza en la red. 

¿Cuáles son los riesgos?

Los problemas han comenzado a identificarse. El más grave que se ha descubierto hasta el momento es el antedicho: un atacante cuántico puede derivar llaves privadas a partir de las llaves públicas o direcciones registradas en la contabilidad de Bitcoin. Como sabemos, Bitcoin es un activo al portador: quien tiene acceso a las llaves privadas, puede gastar los bitcoin. Esto abre la posibilidad de un robo masivo tan solo revisando el registro contable de Bitcoin en busca de direcciones vulnerables.

Direcciones P2PK, P2PKH reutilizadas, P2MS (todas las anteriores comienzan con 1); P2SH con scripts que revelen claves (empiezan por 3); e incluso las direcciones más recientes, las P2TR (bc1p), son vulnerables en la actualidad a ataques de este tipo. Las únicas direcciones seguras actualmente son las P2WPKH (bech32, «bc1q» no reutilizadas) y las P2WSH, que ocultan la clave pública hasta el gasto. Estas direcciones representan aproximadamente el 75% del suministro, según Deloitte.  

Sin embargo, bajo los estándares actuales, todos los tipos de direcciones se vuelven vulnerables al realizar una transacción. Esto porque las direcciones, excepto en las transacciones P2PK, no son la llave pública sino una derivación. La llave pública está oculta inicialmente, pero se revela en el momento en que realizas un gasto. Esto es un diseño intencional para privacidad: mientras no gastes, un atacante (incluso cuántico) solo ve el hash, que es resistente a ataques.

Pero, cuando creas una transacción para enviar BTC, debes firmarla con tu llave privada. Para verificar esa firma, la transacción incluye la llave pública completa. Esto hace que la clave sea visible públicamente en las mempools de los nodos. Durante ese tiempo, un atacante cuántico, usando el algoritmo de Shor, podría calcular tu llave privada a partir de la pública en horas o minutos (con ~2.300 qubits lógicos) y robar tus fondos antes de que se confirme la transacción. Por esta razón, es necesario hacer una migración masiva a direcciones postcuánticas. 

Aunque parezca extraño, la minería, por lo pronto, no está en riesgo inmediato. La amenaza que se ha identificado para la minería es que el algoritmo cuántico de Grover facilite la creación de mineros cuánticos que aceleren dramáticamente la minería y hagan obsoletos a los ASIC actuales, potencialmente centralizando la minería en los pocos que tuvieran acceso a este tipo de equipos. Sin embargo, el alto coste computacional que esto requeriría posterga la probabilidad de que suceda en el mediano plazo.

Por otro lado, a pesar de que los antiguos ASIC se vuelvan obsoletos y se centralice momentáneamente la red, por diseño no estaría en riesgo. Subiría enormemente el hashrate por la subida del poder de cómputo, luego de 2016 bloques habría un ajuste de dificultad que devolvería la red a su ritmo habitual de bloques cada 10 minutos, aproximadamente. 

Otro problema identificado en un estudio de la Reserva Federal de Estados Unidos es uno que no solo amenaza el futuro, sino que podría desenterrar el pasado de la red: el ataque de exposición retroactiva.

A diferencia de un robo directo de fondos (que afecta solo lo actual), un ataque de exposición retroactiva implica que, una vez que un ordenador cuántico rompa las encriptaciones, toda la historia de transacciones —almacenada de manera inmutable en la contabilidad desde 2009— se vuelve vulnerable a ser revelado su origen destino y hasta propietario; se acabaría el pseudonimato histórico de los usuarios de Bitcoin. Se podrían trazar rutas completas de BTC desde su origen (como bloques minados en 2010) hasta destinos actuales, revelando patrones de riqueza, donaciones o lavado de dinero.  

Sería un análisis de cadena en esteroides, puesto que se podrían identificar las llaves privadas asociadas a cada llave pública registrada en la cadena. Si una dirección antigua se vincula a un exchange o wallet conocido (por ejemplo, vía una transacción de 2013), todo el árbol genealógico de fondos se desvela. Esto afecta a usuarios individuales, empresas y gobiernos. El análisis de cadena se volvería, aún más, una pesadilla de privacidad. Lo más grave de esto es que, en tanto que el pasado en Bitcoin no puede cambiarse, no hay solución para esta vulnerabilidad.  

Finalmente, la computación cuántica obliga a reconstruir buena parte de la infraestructura sobre la que se sostiene Bitcoin. Además de la migración masiva de UTXO, también habrá que hacer actualizaciones postcuánticas en wallets, exchanges, todo el ecosistema cripto, sidechains y segundas capas. Por ejemplo, si los canales actualmente abiertos en la red Lightning funcionan con direcciones vulnerables, esto significa que habrá que hacer cierre y reapertura masiva de canales, lo que implica que las actuales conexiones que dan supremacía a actores como ACINQ podría borrarse.

Sería un borrón y cuenta nueva que abriría oportunidades de posicionamiento a nuevos actores que no comparten el ethos bitcoiner, como, por ejemplo, Visa y Mastercard o incluso gobiernos, lo que podría introducir el riesgo de añadir KYC en Lightning. 

Estas son las cuatro principales vulnerabilidades identificadas hasta ahora, lo que no significa que sean las únicas. Como se dijo, la más apremiante es la primera y, en relación con ella, la cuarta. Y si bien el trabajo de divulgación para que las personas reconozcan el problema sigue incipiente, ya hay investigadores que han puesto manos a la obra para proponer soluciones potenciales al problema. 

¿Qué medidas se están tomando?

El desarrollador Hunter Beast propuso en septiembre de 2024 la BIP 360, también conocida como «QuBit – Pay to Quantum Resistant Hash» (P2QRH). Su objetivo principal es introducir un nuevo tipo de salida de transacción (output) que combine firmas clásicas (como Schnorr de Taproot) con criptografía postcuántica (PQC) de NIST, como FALCON-512, CRYSTALS-Dilithium (ML-DSA) y SPHINCS+ (SLH-DSA). Esto crea direcciones «bc1r» (versión SegWit 3) que ocultan la clave pública mediante un hash (HASH256), protegiendo contra el algoritmo de Shor a través de distintos algoritmos PQC para agregar seguridad por redundancia (si alguno falla, los otros lo cubren).

Esto podría prevenir el robo de fondos en direcciones vulnerables al permitir migraciones graduales a outputs resistentes a la cuántica, sin exponer llaves públicas prematuramente. La solución incluye descuentos en el campo del testigo para mitigar el aumento en tamaño de transacciones, que podrían ser hasta 10x más grandes por firmas PQC. 

Esta propuesta surgió de meses de feedback en la Bitcoin Dev Mailing List y foros como Delving Bitcoin, posicionándose como una «contingencia de corto plazo» (2 años para rollout inicial). En la actualidad, se encuentra como un pull request en el GitHub de Bitcoin y la última actividad significativa fue en agosto 2025, con 21 commits corrigiendo bugs (e.g., opcodes duplicados en scripts P2QRH). Sin embargo, la propuesta no está cerca de ser aceptada por toda la comunidad. En mayo 2025, expertos como Mark Erhardt (Murch) y Jonas Nick destacaron preocupaciones sobre complejidad innecesaria y soporte de features (e.g., scripting, atestación). Entrevistas recientes (octubre 2025) con Hunter Beast enfatizan que es un «punto de partida para validación», no final.  

Complementando estos esfuerzos, Jameson Lopp ha propuesto en julio de 2025 una BIP de migración postcuántica y «atardecer de firmas legacy» que traza un plan por fases para eliminar la dependencia de ECDSA y Schnorr vulnerables, incentivando a los holders a adoptar almacenamiento quantum-resistente mediante bloqueos graduales de nuevas transacciones a direcciones obsoletas y medidas protectoras adicionales, todo bajo un soft fork que equilibra urgencia con el espíritu descentralizado de Bitcoin.

Esta iniciativa, detallada en un draft de GitHub, no solo aborda los incentivos para la migración masiva, sino que anticipa el dilema ético de preservar la escasez sin sacrificar la libertad individual, recordándonos que la verdadera prueba de Satoshi no está en acumular, sino en evolucionar.  

En paralelo, la freeze proposal —impulsada por devs en debates de julio de 2025— plantea un soft fork de emergencia para congelar UTXO en direcciones legacy expuestas, como las de Satoshi, impidiendo su movimiento ante una amenaza cuántica creíble y previniendo robos que diluyan el suministro, aunque esto enciende fuegos filosóficos sobre si quemar o inmovilizar fondos «perdidos» viola el ethos de no intervención.  

Mientras tanto, BTQ Technologies ha dado un paso concreto con su demostración en octubre de 2025 de un Bitcoin Core quantum-safe usando criptografía postcuántica estandarizada por NIST, protegiendo un mercado de más de 2 billones de dólares mediante firmas como Dilithium y Falcon, con una hoja de ruta que incluye un testnet en Q4 de 2025 y pilotos empresariales en Q1 de 2026, probando que la defensa no es solo teoría, sino un puente viable hacia un ecosistema inquebrantable. 

Este es uno de los cambios más profundos que viviría la red Bitcoin en su historia pues, aunque se trata de un softfork que en teoría mantiene la compatibilidad con el pasado, requiere una rearquitectura de toda la red. Cualquier bug o error que se introduzca con una actualización de este tipo podría ser catastrófico. Por lo tanto, más que nunca se hace imperativo avanzar con meticulosidad. El problema es que nos encontramos en una carrera contra reloj.  

Hay millones de dólares invertidos en alcanzar el Q Day y lograr un alto poder en la computación cuántica. Los panelistas de Plan B precisaron que en este momento muchos inversionistas están enfocados en Inteligencia Artificial. Pero una vez que esa burbuja explote, los fondos migrarán hacia la computación cuántica. Ese podría ser también un momento en que la Inteligencia Artificial esté tan avanzada que acelere exponencialmente el avance de la computación cuántica, aumentando también los riesgos. Además, hay un botín gigantesco esperando ser tomado por cualquiera que desarrolle las primeras computadoras cuánticas: los bitcoin de Satoshi.  

Las direcciones vulnerables, entre las que están las de Satoshi, son el mayor incentivo para desarrollar computadoras cuánticas. Quien tenga acceso a ello, de la noche a la mañana entraría al top 15 de las personas más acaudaladas del planeta. Este podría ser el momento en que, si Satoshi está vivo, lo veamos por primera vez interceder para mover sus fondos, sea para quemarlos o protegerlos.

Pero si Satoshi no está vivo, también hay que tomar una decisión como comunidad y llegar a un consenso sobre el futuro de esa parte del suministro que se cree perdida. ¿Debemos quemar todos esos fondos? ¿Debemos dejar que alguien los tome y que vuelvan a formar parte del suministro sabiendo el impacto que eso tendrá en el precio? ¿Si dejamos que alguien los tome, cómo decidimos quién debe ser? ¿Por qué alguien debería tener derecho a esos fondos? ¿Sería un robo o sería legítimo? El problema de la computación cuántica en Bitcoin no es solo técnico, sino económico, ético y filosófico. 

Sobre este tema tan difícil hay más preguntas que respuestas. La única certeza que realmente tenemos es que es urgente actuar. No se puede dilatar más, no se puede esperar a tener el golpe en el rostro para prevenir el ataque y preparar la defensa. Y es responsabilidad de todos actuar, desde cualquier ámbito que se pueda.

Ningún aporte es menor. Los desarrolladores e investigadores deben preparar propuestas, revisarlas, discutirlas y blindarlas. Los capitalistas e inversionistas deben financiar estas investigaciones, poner dinero para hacer posible que se dedique tiempo y recursos para llegar a la mejor solución posible. Y cualquier persona puede divulgar, alertar sobre esto, hablarlo con amigos y conocidos. Hay muchísimos tenedores de bitcoin que no tienen consciencia de esta amenaza y es necesario que la tengan, para que el momento que tenga que realizarse la migración, la actualización sea expedita y no suceda como en ocasiones pasadas. Y a diferencia de softforks del pasado, cuando solo tuvieron que actualizar nodos, mineros, wallets y demás infraestructura, en esta oportunidad todos y cada uno de los poseedores de Bitcoin tendrán que mover su dinero a nuevas direcciones. 

Esta se trata de la mayor amenaza que ha enfrentado Bitcoin en su historia; es indispensable que estemos a la altura si queremos que este proyecto sobreviva. Mantengamos a Bitcoin antifrágil.