Skip to content
BTC2H₿₿2H
BlogChaptersDownloadOrderAboutFAQ
BTC Price
—
In Circulation
—
Block Time
—
Tx Fee
—

Bitcoin Zero to Hero

A free, open book for everyone—read online, download, or order a physical copy.

Explore

  • Blog
  • Read Online
  • Download PDF
  • Open-Source Projects
  • Order Book

Legal

  • About
  • FAQ
  • Privacy Policy
  • Cookie Policy

Connect

  • Share on X
  • Follow the author
© 2026 Bitcoin Zero to Hero. All rights reserved.
  1. Inicio
  2. Blog
  3. BIP-360 y BIP-361 Bitcoin Resistente al Cuántico
Seguridad Bitcoin

BIP-360 y BIP-361 Bitcoin Resistente al Cuántico

Publicado el April 18, 202613 min de lectura
MH
Escrito por Mohamed Habbat · Autor

En este artículo

  • Resumen
  • BIP-360 Establece los Cimientos Criptográficos
  • BIP-361 Es la Propuesta de Congelación que Dividió a la Comunidad
  • La División Comunitaria
  • Project Eleven Cuantificó la Amenaza
  • Lo Que Cuesta Sin un Soft Fork
  • Lo Que Deben Preparar los Titulares Institucionales
  • Lo Que Deben Hacer los Titulares de Bitcoin Ahora
  • Referencias
  • A Continuación
En este artículo
  • Resumen
  • BIP-360 Establece los Cimientos Criptográficos
  • BIP-361 Es la Propuesta de Congelación que Dividió a la Comunidad
  • La División Comunitaria
  • Project Eleven Cuantificó la Amenaza
  • Lo Que Cuesta Sin un Soft Fork
  • Lo Que Deben Preparar los Titulares Institucionales
  • Lo Que Deben Hacer los Titulares de Bitcoin Ahora
  • Referencias
  • A Continuación

Trabajo en el espacio de la auto-custodia cripto. Los titulares ya no preguntan si las computadoras cuánticas son reales. Preguntan cuánto tiempo queda y qué le pasa a Bitcoin cuando se acaba. Dos propuestas en borrador responden a ambas preguntas, y ninguna respuesta resulta cómoda.

En febrero de 2026, un grupo de desarrolladores de Bitcoin propuso formalmente congelar 6,9 millones de BTC, el 34% del suministro total, antes de que las computadoras cuánticas puedan robarlos. Eso incluye 1,1 millones de BTC atribuidos a Satoshi Nakamoto, unos 74.000 millones de dólares a precios actuales.

BIP-360 y BIP-361 ya están en el repositorio oficial de BIPs. Si leíste nuestro artículo anterior sobre lo que el artículo cuántico de Google significa para los titulares, sabes que el horizonte temporal de la amenaza se ha acortado. Estas propuestas son la primera respuesta concreta de Bitcoin, y han dividido a la comunidad.


Resumen

BIP-360 introduce direcciones bc1z resistentes a ataques cuánticos mediante un soft fork, usando un nuevo output Pay-to-Merkle-Root (P2MR) y el descuento witness SegWit para hacer asequibles las firmas post-cuánticas. Sin él, una sola transacción cuántico-segura costaría unos 200 dólares o más, porque las firmas post-cuánticas son 33 veces más grandes que ECDSA. BIP-361 superpone una migración por fases: bloquear nuevos envíos a direcciones legacy, luego congelar las monedas que no migraron, y después ofrecer recuperación por prueba de conocimiento cero para wallets derivadas de BIP-39. Los 1,1 millones de BTC de Satoshi en direcciones P2PK no pueden recuperarse por ese mecanismo. La sección de despliegue de BIP-361 fue retirada pendiente de acuerdo sobre qué esquema de firma post-cuántico estandarizar. El debate comunitario se centra en si la congelación es protección o confiscación. Los titulares en tipos de dirección modernos (P2WPKH bc1q, P2TR bc1p) sin reutilización de direcciones no tienen exposición en reposo hoy. El horizonte antes de que las computadoras cuánticas rompan la criptografía actual de Bitcoin se estima entre 3 y 7 años, con investigación reciente que ajusta esa cifra a la baja.


BIP-360 Establece los Cimientos Criptográficos

BIP-360 es el plano. Define cómo Bitcoin puede añadir criptografía post-cuántica sin romper el protocolo existente.

Asignada el 18 de diciembre de 2024 y redactada por Hunter Beast, Ethan Heilman e Isabel Foxen Duke, la propuesta introduce un nuevo tipo de output llamado Pay-to-Merkle-Root (P2MR). Utiliza outputs SegWit versión 2 con una nueva codificación de dirección, bc1z (bech32m). Si has visto direcciones bc1q (SegWit) o bc1p (Taproot), esta sigue la misma progresión.

Lo que cambia P2MR. Taproot (BIP-341) permite gastar Bitcoin de dos formas: un gasto rápido por keypath usando directamente la clave pública, o un gasto por scriptpath usando un árbol Merkle de scripts. El keypath es eficiente pero vulnerable a ataques cuánticos, porque expone la clave pública. P2MR elimina el keypath por completo. Cada gasto pasa por la raíz Merkle del árbol de scripts. La clave pública nunca aparece en la cadena durante el uso normal.

La selección del esquema de firma sigue abierta. BIP-360 define el formato de dirección y la estructura witness. El esquema concreto aún está en selección, con ML-DSA (Dilithium) y SLH-DSA (SPHINCS+) como candidatos principales. Ambos forman parte de los estándares post-cuánticos finalizados por el NIST en 2024 (FIPS 204 y FIPS 205). ML-DSA está basado en retículos y es compacto; SLH-DSA está basado en hash y ofrece una suposición de seguridad distinta como alternativa conservadora.

Un candidato ya cayó. SQIsign, basado en problemas de isogenia, quedó descartado tras pruebas de rendimiento que lo midieron unas 15.000 veces más lento que la verificación ECC. La elegancia teórica no ayuda si un nodo completo no puede validar bloques en un tiempo razonable.

El problema del tamaño. Una firma ML-DSA pesa unos 2.420 bytes, frente a los 72 bytes de una firma ECDSA estándar. Un aumento de 33 veces. En un sistema con el espacio de bloque fijado en unos 4 MB, ese salto es un problema estructural. BIP-360 lo aborda con una estructura witness optimizada para outputs P2MR. El descuento witness SegWit, que ya rebaja un 75% la comisión de los datos de firma, se aplica también a las firmas post-cuánticas bajo esta propuesta.

Para una visión más detallada de cómo funciona el sistema de scripting de Bitcoin y cómo Taproot preparó el terreno para esto, consulta el Technical Deep Dive.


BIP-361 Es la Propuesta de Congelación que Dividió a la Comunidad

BIP-361 es la conversación difícil. Pregunta qué hacer con las monedas que no pueden migrarse.

Coredactada por Jameson Lopp, Christian Papathanasiou, Ian Smith, Joe Ross, Steve Vaile y Pierre-Luc Dallaire-Demers, BIP-361 fue formalmente asignada el 11 de febrero de 2026. Aborda los 6,9 millones de BTC que están en tipos de dirección vulnerables a ataques cuánticos, el 34% del suministro en circulación.

El desglose: 1,7 millones de BTC están en direcciones P2PK, el formato que Bitcoin utilizó desde 2009 hasta alrededor de 2012. Esas direcciones almacenan la clave pública directamente en la cadena, así que quedan vulnerables el día que exista una computadora cuántica suficientemente potente. De ese 1,7 millones, 1,1 millones se atribuyen a Satoshi Nakamoto. Los 5,2 millones restantes están en otros tipos de dirección legacy con distintos grados de exposición, sobre todo direcciones donde la clave pública ha quedado expuesta por transacciones pasadas o reutilización.

El plan por fases.

La Fase A se activa unos 160.000 bloques (3 años) después de la activación. Ya no se puede enviar Bitcoin nuevo a tipos de dirección legacy. Aún puedes gastar desde direcciones legacy en esta ventana, pero la red deja de aceptar nuevos depósitos en ellas. Una puerta de un solo sentido que empuja la adopción de direcciones bc1z.

La Fase B se activa unos 2 años después de la Fase A, es decir, 5 años desde la activación. Las firmas ECDSA y Schnorr legacy quedan obsoletas. Cualquier Bitcoin que siga en direcciones legacy queda congelado. No puede moverse con los esquemas de firma antiguos.

Tras la Fase B se activa un mecanismo de recuperación por prueba de conocimiento cero. Si perdiste los plazos pero aún tienes tu frase de recuperación (BIP-39 o derivación posterior), puedes demostrar la propiedad de las monedas congeladas y migrarlas a una dirección cuántico-segura. Demuestras el conocimiento de la clave privada sin revelarla. Este mecanismo no alcanza a monedas almacenadas en formatos anteriores a BIP-39. Las monedas de Satoshi entran ahí.

Sobre el calendario de despliegue. Los parámetros de señalización de Testnet4 en la propuesta hacen referencia a un epoch de 1798761600, que corresponde a una fecha de inicio del 1 de enero de 2027 UTC. La sección de despliegue fue retirada antes de la aprobación, pendiente del consenso comunitario sobre qué esquema de firma post-cuántico adoptar. La estructura por fases está especificada; los parámetros de activación aún no son definitivos.

Para contexto sobre cómo las monedas inactivas, la planificación de herencias y la pérdida de acceso interactúan con esta propuesta, consulta Bitcoin Herencia.


La División Comunitaria

La oposición a BIP-361 es real y está documentada. Críticos en CoinDesk y CCN han descrito el mecanismo de congelación como "autoritario y confiscatorio", argumentando que tomar el control de monedas inactivas, sea cual sea el motivo de la inactividad, cruza una línea que las garantías de propiedad de Bitcoin fueron diseñadas para nunca cruzar. El desarrollador Mark Erhardt amplificó la crítica en X.

Los defensores de BIP-361 dan la vuelta al argumento. Las monedas en direcciones P2PK no están seguras por diseño. Están seguras solo porque aún no existe hardware cuántico capaz de romper secp256k1. Dejar 6,9 millones de BTC expuestos no preserva los derechos de propiedad de nadie. Aplaza la pregunta de quién controla esas monedas y la pone en manos de quien construya la primera computadora cuántica suficientemente potente.

Ninguna posición es obviamente errónea. Lo que queda claro del debate publicado es que la congelación de BIP-361 requiere un grado de coordinación humana sobre monedas ajenas que Bitcoin históricamente ha evitado. Si eso es necesario o sienta precedente es una pregunta que la comunidad está elaborando sin un calendario de consenso claro.


Project Eleven Cuantificó la Amenaza

El debate pasó de teórico a medible en abril de 2026. El 24 de abril, el investigador Giancarlo Lelli ganó una recompensa de 1 BTC del Q-Day Prize de Project Eleven al demostrar el mayor ataque cuántico conocido sobre criptografía de curva elíptica usando hardware cuántico real.

Lelli rompió una clave ECC de 15 bits en hardware cuántico, 512 veces mayor que cualquier demostración pública previa de ataques cuánticos sobre ECC. Una clave de 15 bits queda muy lejos de las claves de 256 bits que usa Bitcoin; el ataque no amenaza a Bitcoin hoy. Lo que demuestra es que la curva es atacable, que la ingeniería para escalar está avanzando, y que la brecha entre el laboratorio y el hardware criptográficamente relevante se cierra más rápido de lo que algunos calendarios asumían.

El resultado fue cubierto por CoinDesk el 24 de abril de 2026 y por The Quantum Insider la misma fecha. El Q-Day Prize de Project Eleven fue diseñado para rastrear esta progresión, usando tamaños de clave cada vez mayores para medir con qué rapidez mejora el hardware cuántico contra ECC. El resultado de Lelli es ahora el punto de referencia.

Para un análisis completo de lo que esta clase de investigación cuántica significa específicamente para los titulares de Bitcoin, consulta nuestro artículo anterior sobre computación cuántica y Bitcoin.


Lo Que Cuesta Sin un Soft Fork

Vale la pena enunciar el problema del tamaño con precisión, porque explica por qué no se puede omitir BIP-360.

Una firma ML-DSA (Dilithium) pesa unos 2.420 bytes. Una firma ECDSA estándar pesa unos 72 bytes. Un aumento de 33 veces. En un sistema con el espacio de bloque fijado en unos 4 MB, ese salto es estructural, no cosmético.

A las tasas de comisión actuales y sin optimización de protocolo, una sola transacción cuántico-segura costaría 200 dólares o más. Eso vuelve a Bitcoin post-cuántico inutilizable para transacciones ordinarias. Podrías asegurar tus ahorros, pero gastarlos quemaría un porcentaje notable en comisiones.

BIP-360 lo aborda con una estructura witness optimizada para outputs P2MR. El descuento witness SegWit se aplica también a las firmas post-cuánticas. La solución a más largo plazo pasa por la agregación de firmas: esquemas con propiedades de agregación que permitan combinar múltiples firmas dentro de un bloque, recortando el coste por transacción. Es análogo a cómo funciona la agregación Schnorr en las transacciones actuales de Bitcoin, adaptada a matemáticas post-cuánticas. Qué esquema lo permite de forma más eficiente es parte del proceso de selección en curso.


Lo Que Deben Preparar los Titulares Institucionales

No se requiere ninguna acción hoy. Ambas propuestas están en borrador. Ninguna ha entrado en el proceso de activación, y el mecanismo de consenso de Bitcoin implica años de revisión, pruebas y debate comunitario antes de que cualquier cambio entre en vigor.

La dirección, en cambio, está clara. Cuando se forme el consenso, custodios y titulares institucionales deberán planificar la rotación de claves y la migración de direcciones. No es una actualización pasiva. Cada UTXO debe moverse a un nuevo tipo de dirección. Para instituciones que mantienen Bitcoin en cientos o miles de direcciones, eso es una tarea operativa seria.

Los titulares suizos deben tener en cuenta que el marco regulatorio de la FINMA ya hace referencia a los estándares post-cuánticos del NIST. El ML-DSA del conjunto de candidatos de BIP-360 forma parte del estándar FIPS 204 del NIST, finalizado en 2024. Existe alineación regulatoria aquí, aunque la implementación concreta de Bitcoin siga en borrador.

Trabajo en el espacio de la auto-custodia cripto, y la pregunta institucional ya pasó de "si" a "cuándo". Los requisitos de auditoría de custodia y las consideraciones de seguros empujan esa conversación al margen de los calendarios de activación.

Para orientación práctica sobre cómo asegurar tu Bitcoin hoy, independientemente de los calendarios cuánticos, consulta la guía de auto-custodia y la seguridad de frases de recuperación BIP-39.


Lo Que Deben Hacer los Titulares de Bitcoin Ahora

La amenaza cuántica es real, pero no inminente. Esto es lo que importa hoy.

Comprueba tus tipos de dirección. Si tu wallet genera direcciones que empiezan con bc1q (P2WPKH) o bc1p (P2TR/Taproot), usas formatos modernos. Son vulnerables a ataques cuánticos en teoría, pero no exponen tu clave pública hasta que gastas, lo que te da tiempo para migrar cuando existan direcciones cuántico-seguras. Las monedas en formatos muy antiguos, sobre todo P2PK de 2009 a 2012, tienen mayor exposición. Consulta Wallets: Staying Secure para un análisis completo.

Evita la reutilización de direcciones. Cada vez que gastas desde una dirección, tu clave pública queda expuesta en la cadena. Una dirección nueva por transacción limita la ventana. La mayoría de las wallets modernas lo hacen automáticamente.

Mantén tu frase de recuperación segura. Si BIP-361 se activa y pierdes los plazos de las Fases A y B, la recuperación por conocimiento cero de la Fase C depende por entero de tu capacidad para demostrar que tienes la frase original. Perderla significa que esas monedas quedan congeladas para siempre. Esto vale al margen de la computación cuántica; tu frase de recuperación es la última línea de defensa en cualquier escenario.

Mantente informado, no alarmado. McKinsey estima ataques cuánticos viables entre 2027 y 2030. El objetivo interno de migración cuántica de Google es 2029. La comunidad de desarrollo de Bitcoin ya está actuando. El Q-Day Prize de Project Eleven rastrea la rapidez con que los ataques ECC escalan en hardware real. El calendario se mide en años, pero los años pasan rápido cuando la migración exige pasos activos de cada titular.

Para más información sobre privacidad de direcciones y reducción de la exposición en la cadena, consulta Bitcoin Privacy.


Referencias

  • Borrador BIP-360: Hunter Beast, Ethan Heilman, Isabel Foxen Duke. "Pay to Merkle Root." Bitcoin Improvement Proposals. Asignada el 18 de diciembre de 2024. bip360.org
  • Borrador BIP-361: Jameson Lopp, Christian Papathanasiou, Ian Smith, Joe Ross, Steve Vaile, Pierre-Luc Dallaire-Demers. "Legacy Signature Sunset." Formalmente asignada el 11 de febrero de 2026. bip361.org
  • arXiv:2603.28846: Babbush et al. "Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities." Marzo 2026.
  • Estándares de Criptografía Post-Cuántica del NIST: FIPS 203 (ML-KEM), FIPS 204 (ML-DSA/Dilithium), FIPS 205 (SLH-DSA/SPHINCS+). Finalizados en 2024. csrc.nist.gov
  • Q-Day Prize de Project Eleven: Giancarlo Lelli, recompensa de 1 BTC por ataque ECC de 15 bits en hardware cuántico. 24 de abril de 2026. The Quantum Insider
  • CoinDesk, 15 de abril de 2026: "Bitcoin Developers Are Trying to Build Quantum Defenses. Your Coins Could Pay the Price." coindesk.com
  • CoinDesk, 24 de abril de 2026: "Researcher Wins 1 Bitcoin Bounty for Largest Quantum Attack on Underlying Tech." coindesk.com
  • CCN: "Bitcoin Devs BIP-361: Quantum-Proof Bitcoin or Coin Freeze?" ccn.com
  • McKinsey and Company: Estimaciones de viabilidad de la computación cuántica, ventana 2027-2030.

A Continuación

Este artículo cubrió lo que los desarrolladores de Bitcoin están construyendo. Para entender la amenaza subyacente, cómo el artículo de Google cambió los números y qué significa para tu wallet específica, lee Computación Cuántica y Bitcoin: Lo Que los Titulares Deben Saber.

Para entender los fundamentos técnicos que hacen posibles estas propuestas, empieza por el Technical Deep Dive. Para pasos prácticos sobre cómo asegurar tu Bitcoin hoy, consulta Wallets: Staying Secure.

Preguntas frecuentes

¿Qué es BIP-360?+
BIP-360 es una Propuesta de Mejora de Bitcoin que introduce direcciones resistentes a ataques cuánticos usando un nuevo tipo de output llamado Pay-to-Merkle-Root (P2MR). Utiliza SegWit versión 2 con codificación de dirección `bc1z`. La propuesta define el formato de dirección y la estructura witness; el esquema de firma post-cuántico específico aún está en selección, con ML-DSA (Dilithium) y SLH-DSA (SPHINCS+) como candidatos principales. Asignada el 18 de diciembre de 2024 por Hunter Beast, Ethan Heilman e Isabel Foxen Duke. Diseñada como un soft fork sin ruptura con el software existente.
¿Qué es BIP-361?+
BIP-361, formalmente asignada el 11 de febrero de 2026 por Jameson Lopp y cinco coautores, es el plan de migración por fases superpuesto a BIP-360. Fase A (aproximadamente 3 años tras la activación): se bloquean los nuevos envíos a direcciones legacy. Fase B (aproximadamente 5 años tras la activación): las firmas ECDSA y Schnorr legacy quedan obsoletas, congelando las monedas que no hayan migrado. También se especifica un mecanismo de recuperación por prueba de conocimiento cero para wallets que usan frases de recuperación BIP-39. Nota: la sección de despliegue fue retirada pendiente de consenso sobre el esquema de firma post-cuántico.
¿Se congelarán los Bitcoin de Satoshi?+
Si BIP-361 se activa tal como está redactado actualmente, sí. Se estima que 1,1 millones de BTC se atribuyen a Satoshi Nakamoto y están en direcciones P2PK, el formato Bitcoin más antiguo, donde la clave pública queda expuesta en la cadena. La congelación de la Fase B cubre esas direcciones. La recuperación por conocimiento cero de la Fase C solo funciona para wallets derivadas de frases de recuperación BIP-39; las monedas de Satoshi son anteriores a BIP-39 por varios años y no pueden recuperarse mediante ese mecanismo, asumiendo que no se mueven durante la ventana de migración.
¿Cuánto costaría una transacción Bitcoin cuántico-segura sin BIP-360?+
Aproximadamente 200 dólares o más a las tasas de comisión actuales. Las firmas ML-DSA (Dilithium) tienen unos 2.420 bytes, aproximadamente 33 veces más grandes que los ~72 bytes de una firma ECDSA estándar. BIP-360 reduce esto mediante una estructura witness optimizada que aplica el descuento witness SegWit del 75% a las firmas post-cuánticas. A más largo plazo, SLH-DSA (SPHINCS+) y otros candidatos con potencial de agregación podrían reducir aún más el coste por transacción.
¿Cuándo será Bitcoin resistente a ataques cuánticos?+
Ambas propuestas están en fase de borrador a principios de 2026. La sección de despliegue de BIP-361 fue retirada pendiente de acuerdo sobre el esquema de firma post-cuántico. Asumiendo que se forma consenso, el despliegue probablemente tardará varios años. Para contexto externo: el plazo interno de Google para su migración post-cuántica es 2029; McKinsey estima computadoras cuánticas criptográficamente relevantes entre 2027 y 2030. El proceso de desarrollo de Bitcoin es deliberado por diseño; apresurar cambios en una red de más de un billón de dólares conlleva sus propios riesgos.
¿Qué significa esto para mí como titular de Bitcoin?+
Si usas tipos de dirección modernos (P2WPKH `bc1q` o Taproot P2TR `bc1p`) y evitas la reutilización de direcciones, tu exposición en reposo es mínima. La ventana de amenaza se abre al momento del gasto, cuando la clave pública queda brevemente expuesta. Una vez que BIP-360 se publique, espera una ventana de migración impulsada por wallets donde cada wallet activa genere nuevas direcciones `bc1z`; la mayoría de las wallets lo harán automáticamente. Las wallets inactivas en formatos legacy son la categoría en riesgo.
Profundizar

Este tema se trata en detalle en technical-deep-dive-optional.

¿Te gustó este artículo?

La guía completa de Bitcoin — gratis en línea o CHF 25 para el libro físico.

Artículos relacionados

  • Cuántico Bitcoin Google Paper 2026

    Cuántico Bitcoin Google Paper 2026

  • Bitcoin Ordinals Inscripciones Explicadas

    Bitcoin Ordinals Inscripciones Explicadas

En este artículo

  • Resumen
  • BIP-360 Establece los Cimientos Criptográficos
  • BIP-361 Es la Propuesta de Congelación que Dividió a la Comunidad
  • La División Comunitaria
  • Project Eleven Cuantificó la Amenaza
  • Lo Que Cuesta Sin un Soft Fork
  • Lo Que Deben Preparar los Titulares Institucionales
  • Lo Que Deben Hacer los Titulares de Bitcoin Ahora
  • Referencias
  • A Continuación
En este artículo
  • Resumen
  • BIP-360 Establece los Cimientos Criptográficos
  • BIP-361 Es la Propuesta de Congelación que Dividió a la Comunidad
  • La División Comunitaria
  • Project Eleven Cuantificó la Amenaza
  • Lo Que Cuesta Sin un Soft Fork
  • Lo Que Deben Preparar los Titulares Institucionales
  • Lo Que Deben Hacer los Titulares de Bitcoin Ahora
  • Referencias
  • A Continuación
MH
Mohamed Habbat

Autor

Escribió este libro a lo largo de cinco años investigando Bitcoin — porque él mismo necesitaba las respuestas.

Sobre el autor
Profundizar

Este tema se trata en detalle en technical-deep-dive-optional.

Artículos relacionados

  • Cuántico Bitcoin Google Paper 2026

    Cuántico Bitcoin Google Paper 2026

    13 min de lectura

  • Bitcoin Ordinals Inscripciones Explicadas

    Bitcoin Ordinals Inscripciones Explicadas

    13 min de lectura

BTC2H₿₿2H