Cuántico Bitcoin Google Paper 2026

Las matemáticas para romper Bitcoin acaban de empeorar

Trabajo en el espacio de la auto-custodia cripto. El 30 de marzo de 2026 fue una de esas fechas que marcan un antes y un después. Un equipo de Google Quantum AI publicó un paper que logra algo que los investigadores no habían conseguido antes: redujo el coste estimado de romper la criptografía de Bitcoin en un orden de magnitud y demostró el resultado mediante una verificación de conocimiento cero. Nada se rompió. La ventana de preparación acaba de acortarse.

El consenso anterior, basado en Webber et al. (2022), situaba el requisito de qubits para un ataque a Bitcoin entre 13 y 317 millones de qubits físicos. El paper de Google (arXiv:2603.28846, Babbush, Boneh, Drake, Gidney, Zalcman, Broughton, Khattar, Neven, Bergamaschi) redujo ese número a menos de 500.000. Es una compresión de 20x del límite inferior. El paper también demostró que el algoritmo de Shor puede resolver el problema del logaritmo discreto de curva elíptica de 256 bits de Bitcoin con aproximadamente 1.200 qubits lógicos y 90 millones de puertas Toffoli.

Para contexto: los ordenadores cuánticos más grandes que funcionan hoy tienen aproximadamente 1.000 qubits ruidosos. El requisito de 500.000 qubits sigue siendo una brecha de 500x, y esa brecha asume tasas de error que ningún sistema ha demostrado a escala. Esto no es una crisis. Es un dato que hace la eventual crisis más legible.

TL;DR

El paper de Google del 30 de marzo de 2026 (arXiv:2603.28846) redujo el coste estimado en qubits para romper el ECDSA de Bitcoin en 20x, de millones de qubits físicos a menos de 500.000. Ningún ordenador cuántico puede romper Bitcoin hoy: las máquinas existentes más grandes tienen aproximadamente 1.000 qubits ruidosos, una brecha de 500x. Aproximadamente 3,7 millones de BTC en direcciones P2PK heredadas y P2PKH reutilizadas tienen una exposición genuina en reposo porque sus claves públicas son permanentemente visibles en la cadena. Los tipos de dirección modernos (P2WPKH, P2TR) mantienen la clave pública oculta hasta el gasto y no son vulnerables en reposo. Los desarrolladores de Bitcoin Core están redactando activamente BIP-360 y BIP-361 para una migración post-cuántica por fases. El NIST finalizó sus estándares criptográficos post-cuánticos (FIPS 203/204/205) el 13 de agosto de 2024, con una fecha límite de desaprobación para firmas clásicas en 2030 y prohibición para 2035. SHA-256 y la Prueba de Trabajo no están significativamente amenazados por métodos cuánticos. Prepárate, no te alarmes.

Lo que el paper dice realmente

La autoría merece leerse una vez. Ryan Babbush encabeza la lista desde Google Quantum AI. Dan Boneh (criptógrafo de Stanford) y Justin Drake (investigador de la Ethereum Foundation) son coautores. No son periodistas especulando sobre una amenaza futura. Construyen hardware cuántico y diseñan los estándares criptográficos que reemplazan a los rotos.

Su contribución central es un conjunto de optimizaciones al algoritmo de Shor que reduce drásticamente los recursos cuánticos necesarios para resolver el problema del logaritmo discreto de curva elíptica (ECDLP) subyacente al ECDSA de Bitcoin. La configuración alternativa del paper usa 1.450 qubits lógicos con 70 millones de puertas Toffoli. Traducido a hardware físico en arquitecturas superconductoras actuales con tasas de error de 10^-3: menos de 500.000 qubits físicos.

Un aspecto de divulgación responsable destaca. El equipo usó una prueba de conocimiento cero para verificar su resultado. Demostraron que su enfoque funciona sin publicar las optimizaciones específicas que lo hacen posible. La prueba de vulnerabilidad es pública. El plano del ataque no lo es. Esto da a la comunidad tiempo para responder.

Un paper separado (Cain et al., arXiv:2603.28627) llegó a conclusiones similares por una vía de hardware diferente: qubits de átomos neutros en lugar de superconductores. Su análisis muestra que el algoritmo de Shor es alcanzable con tan solo 10.000 qubits atómicos reconfigurables, aunque con tasas de error por debajo de 10^-4 y tiempos de coherencia medidos en segundos que ningún sistema actual cumple. Dos grupos de investigación independientes convergiendo en estimaciones similares de viabilidad es más significativo que cualquiera de los papers por separado.

Para el paper completo de Google: https://quantumai.google/static/site-assets/downloads/cryptocurrency-whitepaper.pdf

Por qué importa la ventana de ataque

Bitcoin usa ECDSA para demostrar propiedad. Tu clave privada firma transacciones. Tu clave pública las verifica. El supuesto de seguridad es que derivar una clave privada a partir de su clave pública es computacionalmente inviable. Los ordenadores clásicos no pueden hacerlo. Los ordenadores cuánticos ejecutando el algoritmo de Shor sí pueden. Para una visión más profunda de cómo las claves y la seguridad de la frase semilla se relacionan con esto, la guía BIP39 cubre la mecánica en detalle.

La exposición depende enteramente de cuándo y si tu clave pública es visible.

La exposición en el gasto es el ataque más urgente en cuanto a tiempo. Cuando transmites una transacción, tu clave pública aparece en el mempool antes de que se mine el bloque. Un atacante cuántico monitorizando el mempool tendría una ventana medida en minutos de un solo dígito (el resumen del paper de Google describe el tiempo de ataque como minutos a velocidades de reloj rápido, aunque la cifra exacta depende de la configuración del hardware). El tiempo de bloque de Bitcoin es de 10 minutos. Los autores abordan esta superposición directamente.

La exposición en reposo afecta a las carteras inactivas donde la clave pública ya está en la cadena. Las direcciones P2PK desde 2009 hasta aproximadamente 2012 almacenan la clave pública completa directamente en la salida de la transacción. Se estima que 3,7 millones de BTC se encuentran en estas direcciones con claves públicas permanentemente visibles. Las propias monedas de Satoshi están en P2PK. Un atacante cuántico puede apuntar a estas en cualquier momento, sin esperar a una transacción. El récord de factorización de Shor en hardware clásico, por comparación, sigue siendo 21 (alcanzado en 2012). Ninguna máquina clásica ha factorizado nada criptográficamente significativo. La ventaja cuántica comienza donde la computación clásica se detiene.

Para contexto sobre cómo funcionan las direcciones y los formatos de clave de Bitcoin, consulta Enviar y Recibir Bitcoin y Análisis Técnico Profundo.

La brecha es real y el plazo no es infinito

La brecha de 500x en qubits entre el hardware actual y el umbral de ataque no es un error de redondeo. Pasar de 1.000 qubits ruidosos a 500.000 qubits de alta fidelidad requiere resolver simultáneamente problemas de fabricación, corrección de errores y coherencia. Ningún grupo de investigación ha afirmado públicamente estar cerca.

El propio objetivo interno de migración post-cuántica de Google es 2029. Están preparando sus sistemas para esa fecha no porque esperen un ordenador cuántico criptográficamente relevante para entonces, sino porque creen que el riesgo se vuelve no trivial en los años siguientes. La empresa que construye el hardware te está diciendo que cree que la ventana importa. Esa es una señal de un tipo específico.

La cronología del NIST añade estructura concreta. FIPS 203, 204 y 205 (los primeros estándares criptográficos post-cuánticos, que cubren CRYSTALS-Kyber, CRYSTALS-Dilithium y SPHINCS+) fueron finalizados el 13 de agosto de 2024. El calendario de migración: algoritmos de firma clásicos desaprobados para 2030, prohibidos para 2035. Los sistemas federales enfrentan este plazo. Bitcoin no responde al NIST. Pero el calendario de migración del ecosistema criptográfico más amplio es un suelo útil para pensar en la urgencia.

Lo que debería registrarse es la velocidad. La estimación de Webber et al. se mantuvo como consenso durante años. Un solo paper movió el límite en 20x. Las mejoras en investigación se acumulan. Los ataques mejoran. No revierten.

El problema de los 3,7 millones de BTC

No todas las direcciones Bitcoin tienen la misma exposición. El riesgo se concentra en las salidas P2PK de los primeros años de Bitcoin.

Entre 2009 y aproximadamente 2012, las transacciones de Bitcoin almacenaban la clave pública completa directamente en la cadena en formato P2PK. Las monedas de Satoshi están aquí. También una fracción sustancial de la producción minera temprana. Muchas de estas salidas no se han movido en más de una década. Las claves privadas pueden estar perdidas, los propietarios inalcanzables.

Esto crea una pregunta de política que el paper de Google plantea explícitamente: cuando un ordenador cuántico pueda derivar esas claves privadas, ¿es eso robo o algo más? El paper no lo responde. La comunidad tampoco lo ha respondido. BIP-361 propone un eventual congelamiento de las monedas vulnerables como parte del camino de migración. Ese debate será intenso.

Si creaste una cartera después de 2012 usando cualquier software de cartera estándar, casi con certeza estás usando formatos P2PKH, P2SH, P2WPKH o P2TR. Estos aplican hash a la clave pública antes de ponerla en la cadena. Tu clave pública solo se expone cuando gastas. Las carteras modernas inactivas no son vulnerables a ataques en reposo.

Lo que están construyendo los desarrolladores de Core

El trabajo post-cuántico en la comunidad de desarrollo de Bitcoin es anterior a este paper. Los hallazgos de Google lo han acelerado.

Dos propuestas están ahora en borrador con una testnet en funcionamiento. BIP-360 define tipos de dirección cuántico-seguros usando esquemas de firma post-cuánticos. BIP-361 describe una migración por fases que daría a los holders tiempo para mover monedas a nuevos tipos de dirección antes de eventualmente congelar las salidas heredadas. Para el análisis técnico completo, lee BIP-360 y BIP-361: el Camino de Actualización Cuántica de Bitcoin.

Las restricciones de ingeniería son reales. Las firmas post-cuánticas son más grandes. CRYSTALS-Dilithium produce firmas de aproximadamente 2.420 bytes frente a los 72 bytes de ECDSA. Eso afecta al espacio de bloques, las comisiones y el rendimiento. Cualquier cambio de esquema de firma requiere una actualización de consenso en cada nodo. El proceso de actualización de Bitcoin es deliberado, no lento por accidente (SegWit tardó años desde la propuesta hasta la activación; Taproot siguió el mismo patrón). Son problemas tratables. No son problemas rápidos.

Para saber cómo la arquitectura de protocolo de Bitcoin maneja las actualizaciones, consulta Análisis Técnico Profundo.

Qué hacer ahora mismo

No reutilices direcciones. Cuando recibes Bitcoin en una dirección y gastas desde ella, tu clave pública queda expuesta en la cadena para esa dirección de forma permanente. Una dirección nueva por transacción mantiene tu clave pública oculta hasta el momento en que eliges gastar. Cada cartera moderna genera nuevas direcciones automáticamente.

Usa tipos de dirección modernos. Si tu cartera todavía genera direcciones heredadas que comienzan con "1", cambia a una que soporte SegWit (bc1q) o Taproot (bc1p). Estos formatos aplican hash a la clave pública y la mantienen fuera de la cadena hasta el gasto. La mayoría de las carteras de hardware usan estos formatos por defecto. La guía de auto-custodia Bitcoin cubre en detalle cómo elegir la cartera correcta.

Revisa tus carteras antiguas. Si llevas en Bitcoin desde los primeros tiempos y tienes monedas en direcciones P2PK, moverlas a un tipo de dirección moderno es el paso de protección más concreto disponible para los adoptantes tempranos.

Sigue BIP-360 y BIP-361. Cuando las propuestas de firma post-cuántica alcancen madurez de activación, la comunidad deberá coordinarse. Entender el calendario ahora significa que no te pillará corriendo cuando llegue la actualización.

Para las prácticas de seguridad de carteras, consulta Carteras: Manteniéndose Seguro. Para las prácticas de privacidad que también reducen la exposición cuántica, consulta Privacidad Bitcoin.

Referencias

1. Babbush, R., Boneh, D., Drake, J., Gidney, C., Zalcman, A., Broughton, M., Khattar, T., Neven, H., Bergamaschi, T. et al. "Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities." arXiv:2603.28846, 30 de marzo de 2026. PDF completo: https://quantumai.google/static/site-assets/downloads/cryptocurrency-whitepaper.pdf
2. Cain, M. et al. "Shor's algorithm is possible with as few as 10,000 reconfigurable atomic qubits." arXiv:2603.28627, marzo de 2026.
3. IACR ePrint 2026/625. Análisis criptanalítico relacionado.
4. NIST. FIPS 203, 204, 205 (estándares criptográficos post-cuánticos). Finalizados el 13 de agosto de 2024. https://csrc.nist.gov/projects/post-quantum-cryptography

Qué sigue

¿Nuevo en Bitcoin? Empieza por el Capítulo 1. Cubre los fundamentos que necesitas para entender todo en este artículo.

¿Ya tienes Bitcoin? Revisa la configuración de tu cartera en Carteras: Manteniéndose Seguro y confirma que usas tipos de dirección modernos sin reutilización de direcciones. Esa combinación es tu mejor protección hoy.