BIP-360 y BIP-361 Bitcoin Resistente al Cuántico

Trabajo en el espacio de la auto-custodia cripto. La pregunta que más me hacen los titulares ahora mismo no es si las computadoras cuánticas son reales. Es: cuánto tiempo tenemos, y qué le pasa a Bitcoin cuando se acaba ese tiempo. Dos propuestas en borrador responden a ambas preguntas, y ninguna respuesta resulta cómoda.

En febrero de 2026, un grupo de desarrolladores de Bitcoin propuso formalmente congelar aproximadamente 6,9 millones de BTC, alrededor del 34% del suministro total, antes de que las computadoras cuánticas sean lo suficientemente potentes como para robarlos. Eso incluye un estimado de 1,1 millones de BTC atribuidos a Satoshi Nakamoto, valorados en aproximadamente 74.000 millones de dólares a precios actuales.

No son experimentos mentales. BIP-360 y BIP-361 están ahora en el repositorio oficial de BIPs de Bitcoin. Si leíste nuestro artículo anterior sobre lo que el artículo cuántico de Google significa para los titulares, sabes que el horizonte temporal de la amenaza se ha acortado considerablemente. Estas propuestas son la primera respuesta concreta de Bitcoin. Y han dividido a la comunidad de forma marcada.

Resumen

BIP-360 introduce direcciones bc1z resistentes a ataques cuánticos mediante un soft fork, usando un nuevo output Pay-to-Merkle-Root (P2MR) y el descuento witness SegWit para hacer asequibles las firmas post-cuánticas. Sin él, una sola transacción cuántico-segura costaría aproximadamente 200 dólares o más, porque las firmas post-cuánticas son unas 33 veces más grandes que ECDSA. BIP-361 superpone una migración por fases: bloquear nuevos envíos a direcciones legacy, luego congelar las monedas que no migraron, y después ofrecer recuperación por prueba de conocimiento cero para wallets derivadas de BIP-39. Los estimados 1,1 millones de BTC de Satoshi en direcciones P2PK no pueden recuperarse mediante ese mecanismo. La sección de despliegue de BIP-361 fue retirada pendiente de acuerdo sobre qué esquema de firma post-cuántico estandarizar. El debate comunitario se centra en si el paso de congelación es protección o confiscación. Los titulares en tipos de dirección modernos (P2WPKH bc1q, P2TR bc1p) sin reutilización de direcciones no tienen exposición en reposo hoy. El horizonte temporal antes de que las computadoras cuánticas puedan romper la criptografía actual de Bitcoin se estima entre 3 y 7 años, con un resultado de investigación reciente que ajusta esa estimación a la baja.

BIP-360 Establece los Cimientos Criptográficos

BIP-360 es el plano de construcción. Define cómo Bitcoin puede añadir criptografía post-cuántica sin romper el protocolo existente.

Asignada el 18 de diciembre de 2024 y redactada por Hunter Beast, Ethan Heilman e Isabel Foxen Duke, la propuesta introduce un nuevo tipo de output llamado Pay-to-Merkle-Root (P2MR). Utiliza outputs SegWit versión 2 con una nueva codificación de dirección: bc1z (bech32m). Si has visto direcciones bc1q (SegWit) o bc1p (Taproot), esta sigue la misma progresión.

Lo que cambia P2MR. Taproot (BIP-341) permite gastar Bitcoin de dos formas: un gasto rápido por keypath usando directamente la clave pública, o un gasto por scriptpath usando un árbol Merkle de scripts. El keypath es eficiente pero vulnerable a ataques cuánticos, porque expone la clave pública. P2MR elimina el keypath por completo. Cada gasto pasa por la raíz Merkle del árbol de scripts. La clave pública nunca aparece en la cadena durante el uso normal.

La selección del esquema de firma sigue abierta. BIP-360 define el formato de dirección y la estructura witness. El esquema de firma post-cuántico específico aún está en selección, con ML-DSA (Dilithium) y SLH-DSA (SPHINCS+) como candidatos principales. Ambos forman parte de los estándares de criptografía post-cuántica finalizados por el NIST (FIPS 204 y FIPS 205, finalizados en 2024). ML-DSA está basado en retículos y es compacto; SLH-DSA está basado en hash y ofrece una suposición de seguridad diferente como alternativa conservadora.

Un candidato ya fue descartado. SQIsign, basado en problemas de isogenia, quedó obsoleto después de que las pruebas de rendimiento mostraron que funcionaba aproximadamente 15.000 veces más lento que la verificación ECC. La elegancia teórica no ayuda si un nodo completo no puede validar bloques en un tiempo razonable.

El problema del tamaño. Una firma post-cuántica usando ML-DSA tiene aproximadamente 2.420 bytes, frente a los aproximadamente 72 bytes de una firma ECDSA estándar. Eso es un aumento de 33 veces. En un sistema donde el espacio de bloque está fijado en aproximadamente 4 MB por bloque, ese aumento de tamaño no es una inconveniencia; es un problema estructural. BIP-360 lo aborda mediante una estructura witness optimizada específica para outputs P2MR. El descuento witness SegWit, que ya da a los datos de firma una reducción de comisión del 75%, se aplica a las firmas post-cuánticas bajo esta propuesta.

Para una visión más detallada de cómo funciona el sistema de scripting de Bitcoin y cómo Taproot preparó el terreno para esto, consulta el Technical Deep Dive.

BIP-361 Es la Propuesta de Congelación que Dividió a la Comunidad

BIP-361 es la conversación más difícil. Pregunta qué hacer con las monedas que no pueden migrarse.

Coredactada por Jameson Lopp, Christian Papathanasiou, Ian Smith, Joe Ross, Steve Vaile y Pierre-Luc Dallaire-Demers, BIP-361 fue formalmente asignada el 11 de febrero de 2026. Aborda los 6,9 millones de BTC que están en tipos de dirección vulnerables a ataques cuánticos, aproximadamente el 34% del suministro en circulación.

El desglose: aproximadamente 1,7 millones de BTC están en direcciones P2PK, el formato más antiguo que Bitcoin utilizó desde 2009 hasta alrededor de 2012. Estas direcciones almacenan la clave pública directamente en la cadena, haciéndolas inmediatamente vulnerables una vez que exista una computadora cuántica suficientemente potente. De ese 1,7 millones, se estima que 1,1 millones de BTC se atribuyen a Satoshi Nakamoto. Los aproximadamente 5,2 millones de BTC restantes están en otros tipos de dirección legacy con distintos grados de exposición, principalmente direcciones donde la clave pública ha quedado expuesta a través de transacciones pasadas o reutilización de direcciones.

El plan por fases.

La Fase A se activa aproximadamente 160.000 bloques (unos 3 años) después de la activación. Ya no se puede enviar Bitcoin nuevo a tipos de dirección legacy. Aún puedes gastar desde direcciones legacy durante esta ventana, pero la red deja de aceptar nuevos depósitos en ellas. Es una puerta de un solo sentido que impulsa la adopción de direcciones bc1z.

La Fase B se activa aproximadamente 2 años después de la Fase A, es decir, unos 5 años en total desde la activación. Las firmas ECDSA y Schnorr legacy quedan completamente obsoletas. Cualquier Bitcoin que siga en direcciones legacy en ese momento queda congelado. No puede moverse usando los esquemas de firma antiguos.

Tras la Fase B, se activa un mecanismo de recuperación por prueba de conocimiento cero. Si perdiste los plazos pero aún tienes tu frase de recuperación (BIP-39 o derivación posterior), puedes demostrar la propiedad de las monedas congeladas y migrarlas a una dirección cuántico-segura. Demuestras el conocimiento de una clave privada sin revelarla. Pero este mecanismo no puede ayudar a monedas almacenadas en formatos de clave anteriores a BIP-39. Eso incluye las monedas de Satoshi.

Sobre el calendario de despliegue. Los parámetros de señalización de Testnet4 en la propuesta hacen referencia a un epoch de 1798761600, que corresponde a una fecha de inicio del 1 de enero de 2027 UTC. Sin embargo, la sección de despliegue fue retirada de la propuesta antes de la aprobación, pendiente del consenso comunitario sobre qué esquema de firma post-cuántico adoptar. La estructura por fases está especificada; los parámetros de activación aún no son definitivos.

Para contexto sobre cómo las monedas inactivas, la planificación de herencias y la pérdida de acceso interactúan con esta propuesta, consulta Bitcoin Herencia.

La División Comunitaria

La oposición a BIP-361 es real y está documentada. Críticos que escriben en publicaciones como CoinDesk y CCN han descrito el mecanismo de congelación como "autoritario y confiscatorio", argumentando que tomar el control de monedas que no se han movido, independientemente del motivo por el que permanezcan inactivas, cruza una línea que las garantías de propiedad de Bitcoin fueron diseñadas para nunca cruzar. El desarrollador Mark Erhardt amplificó la crítica en X.

Los defensores de BIP-361 argumentan lo contrario. Las monedas en direcciones P2PK no son seguras por diseño; son seguras únicamente porque aún no existe hardware cuántico capaz de romper secp256k1. Dejar 6,9 millones de BTC expuestos no preserva los derechos de propiedad de nadie. Simplemente retrasa la pregunta de quién controla en última instancia esas monedas, y deja esa pregunta en manos de quien construya la primera computadora cuántica suficientemente potente.

Ninguna posición es obviamente errónea. Lo que queda claro del debate publicado es que el paso de congelación de BIP-361 requiere un grado de toma de decisiones humanas coordinadas sobre las monedas ajenas que Bitcoin históricamente ha evitado. Si eso es necesario o sienta precedente es una pregunta que la comunidad está elaborando sin un calendario de consenso claro.

Project Eleven Cuantificó la Amenaza

El debate pasó de teórico a medible en abril de 2026. El 24 de abril, el investigador Giancarlo Lelli ganó una recompensa de 1 BTC del Q-Day Prize de Project Eleven al demostrar el mayor ataque cuántico conocido sobre criptografía de curva elíptica usando hardware cuántico real.

Lelli rompió una clave ECC de 15 bits en hardware cuántico, un resultado 512 veces mayor que cualquier demostración pública previa de ataques cuánticos sobre criptografía de curva elíptica. Una clave de 15 bits es mucho más pequeña que las claves de 256 bits que usa Bitcoin; el ataque no amenaza a Bitcoin hoy. Lo que demuestra es que la curva es atacable, que la ingeniería necesaria para escalar está avanzando, y que la brecha entre los resultados de laboratorio y el hardware criptográficamente relevante se está cerrando más rápido de lo que algunos calendarios habían asumido.

El resultado fue cubierto por CoinDesk el 24 de abril de 2026, y por The Quantum Insider en la misma fecha. El Q-Day Prize de Project Eleven fue diseñado específicamente para rastrear esta progresión, usando tamaños de clave incrementalmente mayores para medir con qué rapidez mejora el hardware cuántico contra ECC. El resultado de Lelli es ahora el punto de referencia.

Para un análisis completo de lo que esta clase de investigación cuántica significa específicamente para los titulares de Bitcoin, consulta nuestro artículo anterior sobre computación cuántica y Bitcoin.

Lo Que Cuesta Sin un Soft Fork

El problema del tamaño vale la pena enunciarlo con precisión, porque explica por qué no se puede omitir BIP-360.

Una firma post-cuántica usando ML-DSA (Dilithium) tiene aproximadamente 2.420 bytes. Una firma ECDSA estándar tiene aproximadamente 72 bytes. Eso es un aumento de 33 veces en el tamaño de la firma. En un sistema donde el espacio de bloque está fijado en aproximadamente 4 MB por bloque, ese aumento es estructural, no cosmético.

A las tasas de comisión actuales y sin ninguna optimización de protocolo, una sola transacción cuántico-segura costaría aproximadamente 200 dólares o más. Eso hace que Bitcoin post-cuántico sea inutilizable para transacciones ordinarias. Podrías asegurar tus ahorros, pero gastarlos quemaría un porcentaje significativo en comisiones.

BIP-360 aborda esto mediante una estructura witness optimizada específica para outputs P2MR. El descuento witness SegWit se aplica a las firmas post-cuánticas bajo esta propuesta. La solución a más largo plazo implica la agregación de firmas usando esquemas con propiedades de agregación, lo que permitiría combinar múltiples firmas en un bloque, reduciendo sustancialmente el coste por transacción. Esto es análogo a cómo funciona la agregación de firmas Schnorr en las transacciones actuales de Bitcoin, adaptada para matemáticas post-cuánticas. Qué esquema lo permite de forma más eficiente es parte del proceso de selección en curso.

Lo Que Deben Preparar los Titulares Institucionales

No se requiere ninguna acción hoy. Ambas propuestas están en fase de borrador. Ninguna ha entrado en el proceso de activación, y el mecanismo de consenso de Bitcoin significa años de revisión, pruebas y debate comunitario antes de que cualquier cambio entre en vigor.

Dicho esto, la dirección está marcada. Cuando se forme el consenso, custodios y titulares institucionales deberán planificar la rotación de claves y la migración de direcciones. No es una actualización pasiva. Cada UTXO debe moverse a un nuevo tipo de dirección. Para instituciones que mantienen Bitcoin en cientos o miles de direcciones, eso es una tarea operativa significativa.

Los titulares suizos deben tener en cuenta que el marco regulatorio de la FINMA ya hace referencia a los estándares de criptografía post-cuántica del NIST. El algoritmo ML-DSA en el conjunto de candidatos de BIP-360 forma parte del estándar FIPS 204 del NIST, finalizado en 2024. Existe alineación regulatoria aquí, aunque la implementación específica de Bitcoin siga en borrador.

Trabajo en el espacio de la auto-custodia cripto, y la pregunta institucional ya está pasando de "si" a "cuándo". Los requisitos de auditoría de custodia y las consideraciones de seguros están impulsando esa conversación de forma independiente a los calendarios de activación.

Para orientación práctica sobre cómo asegurar tu Bitcoin hoy, independientemente de los calendarios cuánticos, consulta la guía de auto-custodia y la seguridad de frases de recuperación BIP-39.

Lo Que Deben Hacer los Titulares de Bitcoin Ahora

La amenaza cuántica es real pero no inminente. Esto es lo que importa hoy.

Comprueba tus tipos de dirección. Si tu wallet genera direcciones que empiezan con bc1q (P2WPKH) o bc1p (P2TR/Taproot), estás usando formatos modernos. Son vulnerables a ataques cuánticos en teoría, pero no exponen tu clave pública hasta que gastas, dándote tiempo para migrar cuando estén disponibles las direcciones cuántico-seguras. Las monedas en formatos de dirección muy antiguos, especialmente P2PK de 2009 a 2012, tienen mayor exposición. Consulta Wallets: Staying Secure para un análisis completo de los tipos de dirección.

Evita la reutilización de direcciones. Cada vez que gastas desde una dirección, tu clave pública queda expuesta en la cadena. Una dirección nueva para cada transacción limita la ventana de exposición. La mayoría de las wallets modernas hacen esto automáticamente.

Mantén tu frase de recuperación segura. Si BIP-361 se activa y pierdes los plazos de las Fases A y B, la recuperación por conocimiento cero de la Fase C depende enteramente de tu capacidad para demostrar que tienes la frase de recuperación original. Perderla significa que esas monedas quedan congeladas permanentemente. Esto es así independientemente de la computación cuántica; tu frase de recuperación es tu última línea de defensa en cualquier escenario.

Mantente informado, no alarmado. McKinsey estima que los ataques cuánticos serán viables entre 2027 y 2030. El objetivo interno de migración cuántica de Google es 2029. La comunidad de desarrollo de Bitcoin está actuando. El Q-Day Prize de Project Eleven rastrea activamente la rapidez con que los ataques ECC escalan en hardware real. El calendario se mide en años, pero los años pasan rápido cuando la migración requiere pasos activos de cada titular.

Para más información sobre privacidad de direcciones y reducción de la exposición en la cadena, consulta Bitcoin Privacy.

Referencias

• Borrador BIP-360: Hunter Beast, Ethan Heilman, Isabel Foxen Duke. "Pay to Merkle Root." Bitcoin Improvement Proposals. Asignada el 18 de diciembre de 2024. bip360.org
• Borrador BIP-361: Jameson Lopp, Christian Papathanasiou, Ian Smith, Joe Ross, Steve Vaile, Pierre-Luc Dallaire-Demers. "Legacy Signature Sunset." Formalmente asignada el 11 de febrero de 2026. bip361.org
• arXiv:2603.28846: Babbush et al. "Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities." Marzo 2026.
• Estándares de Criptografía Post-Cuántica del NIST: FIPS 203 (ML-KEM), FIPS 204 (ML-DSA/Dilithium), FIPS 205 (SLH-DSA/SPHINCS+). Finalizados en 2024. csrc.nist.gov
• Q-Day Prize de Project Eleven: Giancarlo Lelli, recompensa de 1 BTC por ataque ECC de 15 bits en hardware cuántico. 24 de abril de 2026. The Quantum Insider
• CoinDesk, 15 de abril de 2026: "Bitcoin Developers Are Trying to Build Quantum Defenses. Your Coins Could Pay the Price." coindesk.com
• CoinDesk, 24 de abril de 2026: "Researcher Wins 1 Bitcoin Bounty for Largest Quantum Attack on Underlying Tech." coindesk.com
• CCN: "Bitcoin Devs BIP-361: Quantum-Proof Bitcoin or Coin Freeze?" ccn.com
• McKinsey and Company: Estimaciones de viabilidad de la computación cuántica, ventana 2027-2030.

A Continuación

Este artículo cubrió lo que los desarrolladores de Bitcoin están construyendo. Para entender la amenaza subyacente, cómo el artículo de Google cambió los números y qué significa para tu wallet específica, lee Computación Cuántica y Bitcoin: Lo Que los Titulares Deben Saber.

Para entender los fundamentos técnicos que hacen posibles estas propuestas, empieza por el Technical Deep Dive. Para pasos prácticos sobre cómo asegurar tu Bitcoin hoy, consulta Wallets: Staying Secure.