La verdadera amenaza cuántica que enfrenta Bitcoin no es la "descifrado", sino la falsificación de firmas: por qué podemos medir este riesgo ahora

Muchos hablan sobre la amenaza de las computadoras cuánticas a Bitcoin repitiendo la misma frase: —“Las computadoras cuánticas descifrarán la criptografía de Bitcoin”. Pero esta afirmación es fundamentalmente incorrecta. En realidad, Bitcoin no tiene datos cifrados que necesiten ser “descifrados”.

Por qué la criptografía de Bitcoin no es el verdadero problema

La protección de la propiedad en Bitcoin no se logra mediante texto cifrado. En cambio, se basa en firmas digitales (ECDSA y Schnorr) y compromisos hash para garantizar la seguridad. La cadena de bloques es un libro mayor completamente público: cada transacción, cada cantidad, cada dirección puede ser vista por cualquiera. Nada está oculto.

En otras palabras, una computadora cuántica no puede descifrar Bitcoin porque en la cadena de bloques no hay secretos cifrados. Adam Back, uno de los primeros desarrolladores de Bitcoin y creador de Hashcash, señaló directamente en X: “Bitcoin no usa cifrado. Aprende los conceptos básicos, o esto expondrá tu ignorancia.”

¿Y cuál es el verdadero riesgo? Si una computadora cuántica relacionada con la criptografía pudiera ejecutar el algoritmo de Shor, podría derivar la clave privada a partir de la clave pública en la cadena de bloques, y así crear firmas válidas para transacciones conflictivas. Esto no sería “descifrar cifrado”, sino robar la autoridad de verificación.

Exposición de claves públicas: el verdadero cuello de botella en la seguridad de Bitcoin

El sistema de firmas de Bitcoin requiere que los usuarios creen firmas para demostrar control sobre la pareja de claves, y esa es la razón por la que las transacciones son válidas. Por lo tanto, cuándo y cómo se expone la clave pública se convierte en el núcleo de la amenaza cuántica.

Muchas direcciones usan el hash de la clave pública, lo que significa que la clave pública en sí solo se revela cuando se realiza una transacción. Esta ventana de tiempo estrecha limita las oportunidades de un atacante para calcular la clave privada y publicar transacciones conflictivas.

Pero no todos los formatos de salida son así. Algunos tipos de scripts exponen la clave pública antes, y el uso repetido de direcciones convierte una exposición única en un objetivo persistente.

La herramienta de código abierto “Bitcoin Risq List” de Project Eleven mapea estos escenarios, mostrando qué bitcoins podrían estar expuestos a atacantes con Shor. Según su seguimiento, aproximadamente 670 millones de BTC en direcciones cumplen con su estándar de riesgo.

Cómo Taproot cambia las expectativas de exposición

Taproot (direcciones P2TR) cambia la forma predeterminada de exposición. Según el estándar BIP 341, la salida Taproot incluye en el script una clave modificada de 32 bytes en lugar del hash de la clave pública.

Esto no introduce nuevas vulnerabilidades hoy en día. Pero sí cambia lo que se expondría si la clave se pudiera recuperar. Es importante porque la exposición es medible: podemos rastrear las posibles piscinas de Bitcoin vulnerables sin tener que adivinar el cronograma de amenazas cuánticas.

Project Eleven realiza escaneos automáticos semanales y publica su “Bitcoin Risq List”, que cubre todas las direcciones susceptibles a ataques cuánticos y sus saldos.

¿Cuánta capacidad de cálculo necesita la amenaza cuántica?

Desde el punto de vista computacional, la diferencia clave radica en la brecha entre qubits lógicos y qubits físicos.

Roetteler y sus colaboradores determinaron en sus estudios que calcular el logaritmo discreto en una curva elíptica de 256 bits requiere un máximo de 2,330 qubits lógicos (fórmula: 9n + 2⌈log₂( n)⌉ + 10, donde n=256).

Pero al convertir esto en máquinas cuánticas con profundidad de cálculo y baja tasa de fallos, el gasto en qubits físicos es la principal limitación. Según la estimación de Litinski en 2023, calcular la clave privada de una curva elíptica de 256 bits requiere aproximadamente 50 millones de puertas Toffoli. Con un método modular, esto podría completarse en unos 10 minutos usando alrededor de 6,9 millones de qubits físicos.

El análisis de Schneier on Security estima que se necesitarían unos 13 millones de qubits físicos para romper en un día, y unos 317 millones de qubits físicos en una hora (dependiendo de las suposiciones de tiempo y tasa de errores).

Por qué el marco temporal es tan importante

El tiempo de ejecución determina la viabilidad del ataque. Si una computadora cuántica necesita 10 minutos para derivar la clave privada de una clave pública, y el tiempo medio entre bloques de Bitcoin es de 10 minutos, un atacante podría competir por el control de la salida expuesta. No necesita reescribir la historia del consenso.

También está el tema del hash, que a menudo se menciona en este contexto. Pero aquí la palanca cuántica es el algoritmo Grover, que proporciona una aceleración cuadrática en la búsqueda exhaustiva, no un ataque de Shor sobre logaritmos discretos. Estudios del NIST sobre el costo de ataques con Grover muestran que el gasto y la corrección de errores hacen que el costo del sistema alcance en torno a 2^128 operaciones. Esto es insignificante en comparación con romper la curva elíptica mediante logaritmos discretos.

Por qué adaptarse implica un desafío de migración, no un peligro inminente

Fuera de Bitcoin, el NIST ya ha estandarizado criptografía post-cuántica, como ML-KEM (FIPS 203), como parte de un plan de migración más amplio. Dentro de Bitcoin, BIP 360 propone un nuevo tipo de salida llamado “Pay to Quantum Resistant Hash”. Al mismo tiempo, qbip.org aboga por abandonar las firmas antiguas para facilitar la migración y eliminar las claves públicas de largo plazo.

Recientes hojas de ruta empresariales ofrecen contexto, explicando por qué esto se ve como un desafío de infraestructura, no una emergencia. Reuters informó que IBM discute avances en componentes de corrección de errores y confirma que el camino hacia sistemas tolerantes a fallos estará listo alrededor de 2029.

De esta forma, “las computadoras cuánticas descifrarán Bitcoin” es tanto un malentendido terminológico como una evaluación errónea del mecanismo.

El indicador realmente medible es: ¿cuánto del conjunto UTXO tiene exposición de claves públicas?, ¿cómo reaccionan las billeteras ante esa exposición?, y qué tan rápido puede la red desplegar vías resistentes a ataques cuánticos, manteniendo la validación y los costos en línea con los mercados.

Cuando se trata del futuro de Bitcoin y las computadoras cuánticas, la conversación debe centrarse en la adaptación, no en la crisis.