En este artículo
- Las matemáticas para romper Bitcoin acaban de empeorar
- TL;DR
- Lo que el paper dice realmente
- Por qué importa la ventana de ataque
- La brecha es real y el plazo no es infinito
- El problema de los 3,7 millones de BTC
- Lo que están construyendo los desarrolladores de Core
- Qué hacer ahora mismo
- Referencias
- Qué sigue
Las matemáticas para romper Bitcoin acaban de empeorar
Trabajo en el espacio de la auto-custodia cripto. El 30 de marzo de 2026 marcó un antes y un después. Google Quantum AI publicó un paper que redujo el coste estimado de romper la criptografía de Bitcoin en un orden de magnitud y demostró el resultado mediante prueba de conocimiento cero. Nada se rompió. La ventana de preparación se acortó.
El consenso anterior, basado en Webber et al. (2022), situaba el requisito de qubits para un ataque a Bitcoin entre 13 y 317 millones de qubits físicos. El paper de Google (arXiv:2603.28846, Babbush, Boneh, Drake, Gidney, Zalcman, Broughton, Khattar, Neven, Bergamaschi) lo bajó a menos de 500.000. Compresión 20x del límite inferior. El paper también muestra que el algoritmo de Shor puede resolver el problema del logaritmo discreto de curva elíptica de 256 bits de Bitcoin con unos 1.200 qubits lógicos y 90 millones de puertas Toffoli.
Para contexto. Los ordenadores cuánticos más grandes hoy tienen unos 1.000 qubits ruidosos. El requisito de 500.000 qubits es una brecha de 500x. Y esa brecha asume tasas de error que ningún sistema ha demostrado a escala. No hay crisis. Hay un dato que hace la eventual crisis más legible.
TL;DR
Paper de Google del 30 de marzo de 2026 (arXiv:2603.28846): coste estimado en qubits para romper el ECDSA de Bitcoin baja 20x, de millones de qubits físicos a menos de 500.000. Ningún ordenador cuántico puede romper Bitcoin hoy. Las máquinas más grandes tienen unos 1.000 qubits ruidosos, brecha 500x. Unos 3,7 millones de BTC en direcciones P2PK heredadas y P2PKH reutilizadas cargan exposición genuina en reposo porque sus claves públicas son permanentemente visibles en la cadena. Los tipos de dirección modernos (P2WPKH, P2TR) mantienen la clave pública oculta hasta el gasto y no son vulnerables en reposo. Los desarrolladores de Bitcoin Core redactan BIP-360 y BIP-361 para una migración post-cuántica por fases. El NIST finalizó FIPS 203/204/205 el 13 de agosto de 2024, con desaprobación de firmas clásicas en 2030 y prohibición en 2035. SHA-256 y la Prueba de Trabajo no están significativamente amenazados por métodos cuánticos. Prepárate, no te alarmes.
Lo que el paper dice realmente
La autoría merece leerse. Ryan Babbush encabeza desde Google Quantum AI. Dan Boneh (criptógrafo de Stanford) y Justin Drake (Ethereum Foundation) firman como coautores. No son periodistas especulando. Construyen hardware cuántico y diseñan los estándares criptográficos que reemplazan a los rotos.
Su contribución central es un conjunto de optimizaciones al algoritmo de Shor que reduce los recursos cuánticos necesarios para resolver el problema del logaritmo discreto de curva elíptica (ECDLP) bajo el ECDSA de Bitcoin. La configuración alternativa del paper usa 1.450 qubits lógicos con 70 millones de puertas Toffoli. En hardware físico superconductor actual con tasas de error de 10^-3: menos de 500.000 qubits físicos.
Un detalle de divulgación responsable. El equipo usó una prueba de conocimiento cero para verificar su resultado. Demuestran que su enfoque funciona sin publicar las optimizaciones específicas que lo hacen posible. La prueba de vulnerabilidad es pública. El plano del ataque no. Eso da a la comunidad tiempo para responder.
Un paper separado (Cain et al., arXiv:2603.28627) llegó a conclusiones similares por otra vía de hardware: qubits de átomos neutros en lugar de superconductores. Su análisis muestra que el algoritmo de Shor es alcanzable con 10.000 qubits atómicos reconfigurables, aunque con tasas de error por debajo de 10^-4 y tiempos de coherencia en segundos que ningún sistema actual cumple. Dos grupos de investigación independientes convergiendo en estimaciones de viabilidad similares pesa más que cualquiera de los papers por separado.
Paper completo de Google: https://quantumai.google/static/site-assets/downloads/cryptocurrency-whitepaper.pdf
Por qué importa la ventana de ataque
Bitcoin usa ECDSA para demostrar propiedad. Tu clave privada firma transacciones. Tu clave pública las verifica. El supuesto de seguridad es que derivar una clave privada desde su clave pública es computacionalmente inviable. Los ordenadores clásicos no pueden. Los ordenadores cuánticos ejecutando el algoritmo de Shor sí. Para cómo las claves y la seguridad de la frase semilla se relacionan con esto, la guía BIP39 cubre la mecánica.
La exposición depende de cuándo y si tu clave pública es visible.
La exposición en el gasto es el ataque más urgente. Cuando transmites una transacción, tu clave pública aparece en el mempool antes de que se mine el bloque. Un atacante cuántico monitorizando el mempool tendría una ventana medida en minutos de un solo dígito (el resumen del paper de Google describe el tiempo de ataque como minutos a velocidades de reloj rápido, aunque la cifra exacta depende del hardware). El tiempo de bloque de Bitcoin es de 10 minutos. Los autores abordan esta superposición de frente.
La exposición en reposo afecta a las carteras inactivas donde la clave pública ya vive en la cadena. Las direcciones P2PK desde 2009 hasta aproximadamente 2012 almacenan la clave pública completa directamente en la salida de la transacción. Unos 3,7 millones de BTC viven en estas direcciones con claves públicas permanentemente visibles. Las propias monedas de Satoshi están en P2PK. Un atacante cuántico puede apuntar a estas en cualquier momento sin esperar a una transacción. El récord de factorización de Shor en hardware clásico, por comparación, sigue siendo 21 (alcanzado en 2012). Ninguna máquina clásica ha factorizado nada criptográficamente significativo. La ventaja cuántica empieza donde la computación clásica se detiene.
Para cómo funcionan las direcciones y los formatos de clave de Bitcoin, consulta Enviar y Recibir Bitcoin y Análisis Técnico Profundo.
La brecha es real y el plazo no es infinito
La brecha de 500x en qubits entre el hardware actual y el umbral de ataque no es un error de redondeo. Pasar de 1.000 qubits ruidosos a 500.000 qubits de alta fidelidad requiere resolver simultáneamente fabricación, corrección de errores y coherencia. Ningún grupo de investigación ha afirmado públicamente estar cerca.
El objetivo interno de migración post-cuántica de Google es 2029. Preparan sus sistemas para esa fecha no porque esperen un ordenador cuántico criptográficamente relevante para entonces, sino porque calculan que el riesgo se vuelve no trivial en los años siguientes. La empresa que construye el hardware te está diciendo que la ventana importa. Esa señal pesa.
La cronología del NIST añade estructura. FIPS 203, 204 y 205 (los primeros estándares post-cuánticos, que cubren CRYSTALS-Kyber, CRYSTALS-Dilithium y SPHINCS+) se finalizaron el 13 de agosto de 2024. Calendario de migración: firmas clásicas desaprobadas en 2030, prohibidas en 2035. Los sistemas federales enfrentan ese plazo. Bitcoin no responde al NIST. El calendario del ecosistema criptográfico más amplio sirve como suelo útil para pensar en la urgencia.
Lo que debería registrarse es la velocidad. La estimación de Webber et al. se mantuvo como consenso durante años. Un solo paper movió el límite 20x. Las mejoras en investigación se acumulan. Los ataques mejoran. No revierten.
El problema de los 3,7 millones de BTC
No todas las direcciones Bitcoin cargan la misma exposición. El riesgo se concentra en las salidas P2PK de los primeros años de Bitcoin.
Entre 2009 y aproximadamente 2012, las transacciones de Bitcoin almacenaban la clave pública completa en la cadena en formato P2PK. Las monedas de Satoshi están aquí. También una fracción sustancial de la producción minera temprana. Muchas de estas salidas no se han movido en más de una década. Las claves privadas pueden estar perdidas, los propietarios inalcanzables.
Eso crea una pregunta de política que el paper de Google plantea explícitamente. Cuando un ordenador cuántico pueda derivar esas claves privadas, ¿eso es robo o algo más? El paper no lo responde. La comunidad tampoco. BIP-361 propone un eventual congelamiento de las monedas vulnerables como parte del camino de migración. Ese debate será intenso.
Si creaste una cartera después de 2012 con cualquier software de cartera estándar, casi con certeza usas formatos P2PKH, P2SH, P2WPKH o P2TR. Estos aplican hash a la clave pública antes de ponerla en la cadena. Tu clave pública solo se expone cuando gastas. Las carteras modernas inactivas no son vulnerables a ataques en reposo.
Lo que están construyendo los desarrolladores de Core
El trabajo post-cuántico en la comunidad de desarrollo de Bitcoin precede a este paper. Los hallazgos de Google lo aceleraron.
Dos propuestas están ahora en borrador con una testnet en funcionamiento. BIP-360 define tipos de dirección cuántico-seguros usando esquemas de firma post-cuánticos. BIP-361 describe una migración por fases que daría a los holders tiempo para mover monedas a nuevos tipos de dirección antes de congelar las salidas heredadas. Para el análisis técnico completo, lee BIP-360 y BIP-361: el Camino de Actualización Cuántica de Bitcoin.
Las restricciones de ingeniería son reales. Las firmas post-cuánticas son más grandes. CRYSTALS-Dilithium produce firmas de unos 2.420 bytes frente a los 72 bytes de ECDSA. Eso afecta al espacio de bloques, las comisiones y el rendimiento. Cualquier cambio de esquema de firma requiere una actualización de consenso en cada nodo. El proceso de actualización de Bitcoin es deliberado, no lento por accidente (SegWit tardó años desde propuesta hasta activación; Taproot siguió el mismo patrón). Son problemas tratables. No rápidos.
Para cómo la arquitectura de protocolo de Bitcoin maneja las actualizaciones, consulta Análisis Técnico Profundo.
Qué hacer ahora mismo
No reutilices direcciones. Cuando recibes Bitcoin en una dirección y gastas desde ella, tu clave pública queda expuesta en la cadena para esa dirección de forma permanente. Una dirección nueva por transacción mantiene tu clave pública oculta hasta el momento del gasto. Cada cartera moderna genera nuevas direcciones automáticamente.
Usa tipos de dirección modernos. Si tu cartera todavía genera direcciones heredadas que empiezan con "1", cambia a una que soporte SegWit (bc1q) o Taproot (bc1p). Estos formatos aplican hash a la clave pública y la mantienen fuera de la cadena hasta el gasto. La mayoría de carteras de hardware usan estos formatos por defecto. La guía de auto-custodia Bitcoin cubre cómo elegir la cartera correcta.
Revisa tus carteras antiguas. Si llevas en Bitcoin desde los primeros tiempos y tienes monedas en direcciones P2PK, moverlas a un tipo de dirección moderno es el paso de protección más concreto disponible para los adoptantes tempranos.
Sigue BIP-360 y BIP-361. Cuando las propuestas de firma post-cuántica alcancen madurez de activación, la comunidad deberá coordinarse. Entender el calendario ahora significa que la actualización no te encontrará corriendo.
Para prácticas de seguridad de carteras, consulta Carteras: Manteniéndose Seguro. Para prácticas de privacidad que también reducen exposición cuántica, consulta Privacidad Bitcoin.
Referencias
- Babbush, R., Boneh, D., Drake, J., Gidney, C., Zalcman, A., Broughton, M., Khattar, T., Neven, H., Bergamaschi, T. et al. "Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities." arXiv:2603.28846, 30 de marzo de 2026. PDF completo: https://quantumai.google/static/site-assets/downloads/cryptocurrency-whitepaper.pdf
- Cain, M. et al. "Shor's algorithm is possible with as few as 10,000 reconfigurable atomic qubits." arXiv:2603.28627, marzo de 2026.
- IACR ePrint 2026/625. Análisis criptanalítico relacionado.
- NIST. FIPS 203, 204, 205 (estándares criptográficos post-cuánticos). Finalizados el 13 de agosto de 2024. https://csrc.nist.gov/projects/post-quantum-cryptography
Qué sigue
¿Nuevo en Bitcoin? Empieza por el Capítulo 1. Cubre los fundamentos que necesitas para entender todo en este artículo.
¿Ya tienes Bitcoin? Revisa la configuración de tu cartera en Carteras: Manteniéndose Seguro y confirma que usas tipos de dirección modernos sin reutilización de direcciones. Esa combinación es tu mejor protección hoy.
