Skip to content
BTC2H₿₿2H
BlogChaptersDownloadOrderAboutFAQ
BTC Price
—
In Circulation
—
Block Time
—
Tx Fee
—

Bitcoin Zero to Hero

A free, open book for everyone—read online, download, or order a physical copy.

Explore

  • Blog
  • Read Online
  • Download PDF
  • Open-Source Projects
  • Order Book

Legal

  • About
  • FAQ
  • Privacy Policy
  • Cookie Policy

Connect

  • Share on X
  • Follow the author
© 2026 Bitcoin Zero to Hero. All rights reserved.
  1. Inicio
  2. Blog
  3. Cuántico Bitcoin Google Paper 2026
Seguridad Bitcoin

Cuántico Bitcoin Google Paper 2026

Publicado el April 15, 20269 min de lectura
MH
Escrito por Mohamed Habbat · Autor

En este artículo

  • Las matemáticas para romper Bitcoin acaban de empeorar
  • TL;DR
  • Lo que el paper dice realmente
  • Por qué importa la ventana de ataque
  • La brecha es real y el plazo no es infinito
  • El problema de los 3,7 millones de BTC
  • Lo que están construyendo los desarrolladores de Core
  • Qué hacer ahora mismo
  • Referencias
  • Qué sigue
En este artículo
  • Las matemáticas para romper Bitcoin acaban de empeorar
  • TL;DR
  • Lo que el paper dice realmente
  • Por qué importa la ventana de ataque
  • La brecha es real y el plazo no es infinito
  • El problema de los 3,7 millones de BTC
  • Lo que están construyendo los desarrolladores de Core
  • Qué hacer ahora mismo
  • Referencias
  • Qué sigue

Las matemáticas para romper Bitcoin acaban de empeorar

Trabajo en el espacio de la auto-custodia cripto. El 30 de marzo de 2026 marcó un antes y un después. Google Quantum AI publicó un paper que redujo el coste estimado de romper la criptografía de Bitcoin en un orden de magnitud y demostró el resultado mediante prueba de conocimiento cero. Nada se rompió. La ventana de preparación se acortó.

El consenso anterior, basado en Webber et al. (2022), situaba el requisito de qubits para un ataque a Bitcoin entre 13 y 317 millones de qubits físicos. El paper de Google (arXiv:2603.28846, Babbush, Boneh, Drake, Gidney, Zalcman, Broughton, Khattar, Neven, Bergamaschi) lo bajó a menos de 500.000. Compresión 20x del límite inferior. El paper también muestra que el algoritmo de Shor puede resolver el problema del logaritmo discreto de curva elíptica de 256 bits de Bitcoin con unos 1.200 qubits lógicos y 90 millones de puertas Toffoli.

Para contexto. Los ordenadores cuánticos más grandes hoy tienen unos 1.000 qubits ruidosos. El requisito de 500.000 qubits es una brecha de 500x. Y esa brecha asume tasas de error que ningún sistema ha demostrado a escala. No hay crisis. Hay un dato que hace la eventual crisis más legible.


TL;DR

Paper de Google del 30 de marzo de 2026 (arXiv:2603.28846): coste estimado en qubits para romper el ECDSA de Bitcoin baja 20x, de millones de qubits físicos a menos de 500.000. Ningún ordenador cuántico puede romper Bitcoin hoy. Las máquinas más grandes tienen unos 1.000 qubits ruidosos, brecha 500x. Unos 3,7 millones de BTC en direcciones P2PK heredadas y P2PKH reutilizadas cargan exposición genuina en reposo porque sus claves públicas son permanentemente visibles en la cadena. Los tipos de dirección modernos (P2WPKH, P2TR) mantienen la clave pública oculta hasta el gasto y no son vulnerables en reposo. Los desarrolladores de Bitcoin Core redactan BIP-360 y BIP-361 para una migración post-cuántica por fases. El NIST finalizó FIPS 203/204/205 el 13 de agosto de 2024, con desaprobación de firmas clásicas en 2030 y prohibición en 2035. SHA-256 y la Prueba de Trabajo no están significativamente amenazados por métodos cuánticos. Prepárate, no te alarmes.


Lo que el paper dice realmente

La autoría merece leerse. Ryan Babbush encabeza desde Google Quantum AI. Dan Boneh (criptógrafo de Stanford) y Justin Drake (Ethereum Foundation) firman como coautores. No son periodistas especulando. Construyen hardware cuántico y diseñan los estándares criptográficos que reemplazan a los rotos.

Su contribución central es un conjunto de optimizaciones al algoritmo de Shor que reduce los recursos cuánticos necesarios para resolver el problema del logaritmo discreto de curva elíptica (ECDLP) bajo el ECDSA de Bitcoin. La configuración alternativa del paper usa 1.450 qubits lógicos con 70 millones de puertas Toffoli. En hardware físico superconductor actual con tasas de error de 10^-3: menos de 500.000 qubits físicos.

Un detalle de divulgación responsable. El equipo usó una prueba de conocimiento cero para verificar su resultado. Demuestran que su enfoque funciona sin publicar las optimizaciones específicas que lo hacen posible. La prueba de vulnerabilidad es pública. El plano del ataque no. Eso da a la comunidad tiempo para responder.

Un paper separado (Cain et al., arXiv:2603.28627) llegó a conclusiones similares por otra vía de hardware: qubits de átomos neutros en lugar de superconductores. Su análisis muestra que el algoritmo de Shor es alcanzable con 10.000 qubits atómicos reconfigurables, aunque con tasas de error por debajo de 10^-4 y tiempos de coherencia en segundos que ningún sistema actual cumple. Dos grupos de investigación independientes convergiendo en estimaciones de viabilidad similares pesa más que cualquiera de los papers por separado.

Paper completo de Google: https://quantumai.google/static/site-assets/downloads/cryptocurrency-whitepaper.pdf


Por qué importa la ventana de ataque

Bitcoin usa ECDSA para demostrar propiedad. Tu clave privada firma transacciones. Tu clave pública las verifica. El supuesto de seguridad es que derivar una clave privada desde su clave pública es computacionalmente inviable. Los ordenadores clásicos no pueden. Los ordenadores cuánticos ejecutando el algoritmo de Shor sí. Para cómo las claves y la seguridad de la frase semilla se relacionan con esto, la guía BIP39 cubre la mecánica.

La exposición depende de cuándo y si tu clave pública es visible.

La exposición en el gasto es el ataque más urgente. Cuando transmites una transacción, tu clave pública aparece en el mempool antes de que se mine el bloque. Un atacante cuántico monitorizando el mempool tendría una ventana medida en minutos de un solo dígito (el resumen del paper de Google describe el tiempo de ataque como minutos a velocidades de reloj rápido, aunque la cifra exacta depende del hardware). El tiempo de bloque de Bitcoin es de 10 minutos. Los autores abordan esta superposición de frente.

La exposición en reposo afecta a las carteras inactivas donde la clave pública ya vive en la cadena. Las direcciones P2PK desde 2009 hasta aproximadamente 2012 almacenan la clave pública completa directamente en la salida de la transacción. Unos 3,7 millones de BTC viven en estas direcciones con claves públicas permanentemente visibles. Las propias monedas de Satoshi están en P2PK. Un atacante cuántico puede apuntar a estas en cualquier momento sin esperar a una transacción. El récord de factorización de Shor en hardware clásico, por comparación, sigue siendo 21 (alcanzado en 2012). Ninguna máquina clásica ha factorizado nada criptográficamente significativo. La ventaja cuántica empieza donde la computación clásica se detiene.

Para cómo funcionan las direcciones y los formatos de clave de Bitcoin, consulta Enviar y Recibir Bitcoin y Análisis Técnico Profundo.


La brecha es real y el plazo no es infinito

La brecha de 500x en qubits entre el hardware actual y el umbral de ataque no es un error de redondeo. Pasar de 1.000 qubits ruidosos a 500.000 qubits de alta fidelidad requiere resolver simultáneamente fabricación, corrección de errores y coherencia. Ningún grupo de investigación ha afirmado públicamente estar cerca.

El objetivo interno de migración post-cuántica de Google es 2029. Preparan sus sistemas para esa fecha no porque esperen un ordenador cuántico criptográficamente relevante para entonces, sino porque calculan que el riesgo se vuelve no trivial en los años siguientes. La empresa que construye el hardware te está diciendo que la ventana importa. Esa señal pesa.

La cronología del NIST añade estructura. FIPS 203, 204 y 205 (los primeros estándares post-cuánticos, que cubren CRYSTALS-Kyber, CRYSTALS-Dilithium y SPHINCS+) se finalizaron el 13 de agosto de 2024. Calendario de migración: firmas clásicas desaprobadas en 2030, prohibidas en 2035. Los sistemas federales enfrentan ese plazo. Bitcoin no responde al NIST. El calendario del ecosistema criptográfico más amplio sirve como suelo útil para pensar en la urgencia.

Lo que debería registrarse es la velocidad. La estimación de Webber et al. se mantuvo como consenso durante años. Un solo paper movió el límite 20x. Las mejoras en investigación se acumulan. Los ataques mejoran. No revierten.


El problema de los 3,7 millones de BTC

No todas las direcciones Bitcoin cargan la misma exposición. El riesgo se concentra en las salidas P2PK de los primeros años de Bitcoin.

Entre 2009 y aproximadamente 2012, las transacciones de Bitcoin almacenaban la clave pública completa en la cadena en formato P2PK. Las monedas de Satoshi están aquí. También una fracción sustancial de la producción minera temprana. Muchas de estas salidas no se han movido en más de una década. Las claves privadas pueden estar perdidas, los propietarios inalcanzables.

Eso crea una pregunta de política que el paper de Google plantea explícitamente. Cuando un ordenador cuántico pueda derivar esas claves privadas, ¿eso es robo o algo más? El paper no lo responde. La comunidad tampoco. BIP-361 propone un eventual congelamiento de las monedas vulnerables como parte del camino de migración. Ese debate será intenso.

Si creaste una cartera después de 2012 con cualquier software de cartera estándar, casi con certeza usas formatos P2PKH, P2SH, P2WPKH o P2TR. Estos aplican hash a la clave pública antes de ponerla en la cadena. Tu clave pública solo se expone cuando gastas. Las carteras modernas inactivas no son vulnerables a ataques en reposo.


Lo que están construyendo los desarrolladores de Core

El trabajo post-cuántico en la comunidad de desarrollo de Bitcoin precede a este paper. Los hallazgos de Google lo aceleraron.

Dos propuestas están ahora en borrador con una testnet en funcionamiento. BIP-360 define tipos de dirección cuántico-seguros usando esquemas de firma post-cuánticos. BIP-361 describe una migración por fases que daría a los holders tiempo para mover monedas a nuevos tipos de dirección antes de congelar las salidas heredadas. Para el análisis técnico completo, lee BIP-360 y BIP-361: el Camino de Actualización Cuántica de Bitcoin.

Las restricciones de ingeniería son reales. Las firmas post-cuánticas son más grandes. CRYSTALS-Dilithium produce firmas de unos 2.420 bytes frente a los 72 bytes de ECDSA. Eso afecta al espacio de bloques, las comisiones y el rendimiento. Cualquier cambio de esquema de firma requiere una actualización de consenso en cada nodo. El proceso de actualización de Bitcoin es deliberado, no lento por accidente (SegWit tardó años desde propuesta hasta activación; Taproot siguió el mismo patrón). Son problemas tratables. No rápidos.

Para cómo la arquitectura de protocolo de Bitcoin maneja las actualizaciones, consulta Análisis Técnico Profundo.


Qué hacer ahora mismo

No reutilices direcciones. Cuando recibes Bitcoin en una dirección y gastas desde ella, tu clave pública queda expuesta en la cadena para esa dirección de forma permanente. Una dirección nueva por transacción mantiene tu clave pública oculta hasta el momento del gasto. Cada cartera moderna genera nuevas direcciones automáticamente.

Usa tipos de dirección modernos. Si tu cartera todavía genera direcciones heredadas que empiezan con "1", cambia a una que soporte SegWit (bc1q) o Taproot (bc1p). Estos formatos aplican hash a la clave pública y la mantienen fuera de la cadena hasta el gasto. La mayoría de carteras de hardware usan estos formatos por defecto. La guía de auto-custodia Bitcoin cubre cómo elegir la cartera correcta.

Revisa tus carteras antiguas. Si llevas en Bitcoin desde los primeros tiempos y tienes monedas en direcciones P2PK, moverlas a un tipo de dirección moderno es el paso de protección más concreto disponible para los adoptantes tempranos.

Sigue BIP-360 y BIP-361. Cuando las propuestas de firma post-cuántica alcancen madurez de activación, la comunidad deberá coordinarse. Entender el calendario ahora significa que la actualización no te encontrará corriendo.

Para prácticas de seguridad de carteras, consulta Carteras: Manteniéndose Seguro. Para prácticas de privacidad que también reducen exposición cuántica, consulta Privacidad Bitcoin.


Referencias

  1. Babbush, R., Boneh, D., Drake, J., Gidney, C., Zalcman, A., Broughton, M., Khattar, T., Neven, H., Bergamaschi, T. et al. "Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities." arXiv:2603.28846, 30 de marzo de 2026. PDF completo: https://quantumai.google/static/site-assets/downloads/cryptocurrency-whitepaper.pdf
  2. Cain, M. et al. "Shor's algorithm is possible with as few as 10,000 reconfigurable atomic qubits." arXiv:2603.28627, marzo de 2026.
  3. IACR ePrint 2026/625. Análisis criptanalítico relacionado.
  4. NIST. FIPS 203, 204, 205 (estándares criptográficos post-cuánticos). Finalizados el 13 de agosto de 2024. https://csrc.nist.gov/projects/post-quantum-cryptography

Qué sigue

¿Nuevo en Bitcoin? Empieza por el Capítulo 1. Cubre los fundamentos que necesitas para entender todo en este artículo.

¿Ya tienes Bitcoin? Revisa la configuración de tu cartera en Carteras: Manteniéndose Seguro y confirma que usas tipos de dirección modernos sin reutilización de direcciones. Esa combinación es tu mejor protección hoy.

Preguntas frecuentes

¿Pueden los ordenadores cuánticos romper Bitcoin hoy?+
No. El paper de Google de marzo 2026 mostró que un ordenador cuántico con menos de 500.000 qubits físicos podría romper la criptografía de curva elíptica de Bitcoin. Las máquinas más grandes hoy tienen unos 1.000 qubits ruidosos, una brecha de 500x antes de los requisitos de corrección de errores que ningún sistema cumple a escala. Las máquinas criptográficamente relevantes están a 5-15 años.
¿Cuántos qubits se necesitan para romper Bitcoin?+
El paper de Google (arXiv:2603.28846) estima menos de 500.000 qubits físicos con tasas de error de 10^-3, o unos 1.200 qubits lógicos tras corrección de errores. Webber et al. (2022) situaba el requisito en 13-317 millones de qubits físicos. El nuevo paper reduce el límite inferior 20x. No prueba que una máquina funcional sea inminente.
¿Está mi cartera Bitcoin a salvo de ataques cuánticos?+
Sí por ahora si usas tipos de dirección modernos. Las direcciones P2WPKH (bc1q) y Taproot P2TR (bc1p) aplican hash a tu clave pública y la mantienen oculta hasta que gastas. Las monedas inactivas en direcciones modernas no son vulnerables en reposo. Las P2PK heredadas de minería temprana con claves públicas expuestas son las que cargan el riesgo en reposo.
¿Cuánto Bitcoin está en riesgo de ataques cuánticos hoy?+
Unos 3,7 millones de BTC viven en direcciones P2PK o P2PKH reutilizadas con claves públicas expuestas. Incluye gran parte de la minería pre-2010 de Satoshi. Los desarrolladores de Bitcoin Core trabajan en BIP-360 (direcciones cuántico-seguras) y BIP-361 (migración por fases). Consulta el [análisis profundo de BIP-360/361](/es/blog/bip-360-361-bitcoin-resistente-cuantico) para el camino de protocolo propuesto.
¿Están SHA-256 y la minería Bitcoin en riesgo de los ordenadores cuánticos?+
No. El algoritmo de Grover da una aceleración cuadrática contra funciones hash y reduce la seguridad efectiva de SHA-256 de 128 bits a 64 bits en el peor caso. Sigue siendo computacionalmente inviable. Los ataques cuánticos a la Prueba de Trabajo de Bitcoin están fuera de alcance. La amenaza apunta a las firmas ECDSA, no a la minería ni a la cadena de hash SHA-256.
¿Qué debe hacer un holder de Bitcoin ahora mismo?+
Tres pasos concretos. Consolida cualquier moneda P2PK temprana o P2PKH reutilizada en bc1q o bc1p. Deja de reutilizar direcciones de recepción. Sigue BIP-360/BIP-361 en la lista de correo de Bitcoin Core. Nada es urgente hoy. La ventana de migración se mide en años. Lo que importa es no quedarse dormido cuando llegue la actualización.
Profundizar

Este tema se trata en detalle en technical-deep-dive-optional.

¿Te gustó este artículo?

La guía completa de Bitcoin — gratis en línea o CHF 25 para el libro físico.

Artículos relacionados

  • BIP-360 y BIP-361 Bitcoin Resistente al Cuántico

    BIP-360 y BIP-361 Bitcoin Resistente al Cuántico

  • Satoshis Bitcoin Raros Qué Hace Único A Cada Sat

    Satoshis Bitcoin Raros Qué Hace Único A Cada Sat

En este artículo

  • Las matemáticas para romper Bitcoin acaban de empeorar
  • TL;DR
  • Lo que el paper dice realmente
  • Por qué importa la ventana de ataque
  • La brecha es real y el plazo no es infinito
  • El problema de los 3,7 millones de BTC
  • Lo que están construyendo los desarrolladores de Core
  • Qué hacer ahora mismo
  • Referencias
  • Qué sigue
En este artículo
  • Las matemáticas para romper Bitcoin acaban de empeorar
  • TL;DR
  • Lo que el paper dice realmente
  • Por qué importa la ventana de ataque
  • La brecha es real y el plazo no es infinito
  • El problema de los 3,7 millones de BTC
  • Lo que están construyendo los desarrolladores de Core
  • Qué hacer ahora mismo
  • Referencias
  • Qué sigue
MH
Mohamed Habbat

Autor

Escribió este libro a lo largo de cinco años investigando Bitcoin — porque él mismo necesitaba las respuestas.

Sobre el autor
Profundizar

Este tema se trata en detalle en technical-deep-dive-optional.

Artículos relacionados

  • BIP-360 y BIP-361 Bitcoin Resistente al Cuántico

    BIP-360 y BIP-361 Bitcoin Resistente al Cuántico

    9 min de lectura

  • Satoshis Bitcoin Raros Qué Hace Único A Cada Sat

    Satoshis Bitcoin Raros Qué Hace Único A Cada Sat

    9 min de lectura

BTC2H₿₿2H