El estado de la computación cuántica y lo que se necesitaría para amenazar a Bitcoin
La computación cuántica ha avanzado materialmente en los últimos 18 meses, pero el campo aún se encuentra en la transición del hardware ruidoso a la tolerancia temprana a fallas.
El cambio clave es alejarse de los recuentos de qubits físicos sin procesar y acercarse a los qubits lógicos, la fidelidad de la puerta, el tiempo de ejecución y la corrección de errores. Ese cambio es importante para Bitcoin porque las estimaciones de riesgo están impulsadas por qubits lógicos y operaciones tolerantes a fallas en lugar de los totales de hardware principales.
¿Cuál es el estado actual del avance de la computación cuántica?
El progreso es visible en tres frentes: corrección de errores por debajo del umbral, pequeñas demostraciones de qubits lógicos y circuitos más profundos con menor ruido.
A finales de 2024, el chip Willow de Google demostró una corrección de errores por debajo del umbral, en el que las tasas de error disminuyeron a medida que el sistema codificado ampliaba. IBM dice que sus sistemas actuales pueden ejecutar ciertos circuitos con más de 5.000 puertas de dos qubits y ha publicado una hoja de ruta hacia un sistema tolerante a fallas de 200 qubits lógicos para 2029.
Quantinuum ha informado 48 qubits lógicos con corrección de errores y 64 qubits lógicos con errores detectados de 98 qubits físicos, junto con 50 qubits lógicos con errores detectados en Helios con un rendimiento mejor que el punto de equilibrio. Microsoft y Atom Computing informaron de 24 qubits lógicos entrelazados y cálculos con 28 qubits lógicos en hardware de átomo neutro.
El sector aún carece de una máquina tolerante a fallas a gran escala. Ésa es una de las razones por las que existe la Iniciativa de Evaluación Comparativa Cuántica de DARPA.
Su objetivo es una computadora cuántica cuyo valor computacional exceda su costo para 2033, y la agencia todavía está validando arquitecturas competidoras en lugar de certificar que algún equipo ya haya alcanzado ese punto.
¿Qué pueden hacer las computadoras cuánticas hoy?
Los sistemas actuales pueden hacer cuatro cosas con credibilidad. Pueden ejecutar problemas de referencia más allá de los métodos clásicos de fuerza bruta, incluido el muestreo de circuitos aleatorios de Google y el trabajo más reciente sobre Quantum Echoes.
Pueden realizar simulaciones limitadas y especializadas en física y química, a menudo en flujos de trabajo híbridos con informática clásica de alto rendimiento. Pueden demostrar qubits lógicos y subrutinas tolerantes a fallos a pequeña escala. También funcionan como bancos de pruebas para sistemas de control, decodificación y corrección de errores.
Lo que no pueden hacer hoy es la parte que importa para Bitcoin.
Ningún sistema público tiene el recuento de qubits lógicos, el presupuesto de puerta tolerante a fallas o el tiempo de ejecución sostenido necesarios para ataques criptográficamente relevantes en secp256k1. Willow de Google contiene 105 qubits físicos.
Las principales demostraciones públicas de qubits lógicos siguen siendo decenas, no miles. Una estimación reciente de investigadores y coautores de Google sitúa un ataque relevante a Bitcoin en el rango de 1.200 a 1.450 qubits lógicos y decenas de millones de puertas Toffoli, dejando una gran brecha entre las máquinas actuales y un sistema criptográficamente relevante.
¿Qué se requiere a partir de aquí para crear computadoras cuánticas que puedan descifrar Bitcoin en algún nivel?
El umbral crítico es una computadora cuántica criptográficamente relevante capaz de ejecutar el algoritmo de Shor contra el problema del logaritmo discreto de curva elíptica en secp256k1.
Según el artículo de Google de marzo de 2026, menos de 1.200 qubits lógicos y 90 millones de puertas Toffoli, o menos de 1.450 qubits lógicos y 70 millones de puertas Toffoli, podrían, en principio, resolver ECDLP-256.
Bajo supuestos superconductores con 10-3 tasas de error físico y conectividad plana, los autores estiman que un ataque de este tipo podría ejecutarse en minutos con menos de 500.000 qubits físicos.
Eso plantea el problema de ingeniería. El camino a seguir no es simplemente un ascenso lineal desde unos 100 qubits físicos hasta 500.000. El desafío más difícil es construir una gran cantidad de qubits lógicos estables, sostener decenas de millones de operaciones tolerantes a fallas, lograr tiempos de ciclo rápidos e integrar todo eso con decodificación en tiempo real, interconexiones criogénicas o fotónicas, control clásico y módulos fabricables.
El mismo artículo sostiene que los sistemas de reloj rápido, como las plataformas fotónicas y superconductoras, son más relevantes para los ataques de gasto que los sistemas de reloj más lento, como las trampas de iones y los átomos neutros, porque el tiempo de ejecución puede ser decisivo dentro de una ventana de mempool.
Para Bitcoin, “craquear en algún nivel” no significa romper la red en un solo paso. El riesgo anterior es recuperar claves privadas de claves públicas expuestas o atacar gastos mientras las claves públicas son visibles.
En su divulgación de investigación sobre las vulnerabilidades de las criptomonedas, Google dice que las cadenas de bloques que dependen de ECDLP-256 necesitan una ruta de migración poscuántica y señala la mitigación a corto plazo, como evitar direcciones de billetera vulnerables expuestas o reutilizadas.
¿Es realmente realista la reciente predicción de Google para 2029?
Esta pregunta necesita una distinción. En el propio lenguaje de Google, 2029 es un objetivo de migración post-cuántica, no una fecha definitiva para una máquina de craqueo de Bitcoin.
El 25 de marzo de 2026, Google dijo que estaba estableciendo un cronograma para la migración de la criptografía poscuántica hasta 2029, citando avances en hardware, corrección de errores y estimaciones de recursos.
En una publicación de investigación del 31 de marzo de 2026, la compañía dijo que las futuras computadoras cuánticas pueden romper la criptografía de curva elíptica utilizada en las criptomonedas con menos qubits y puertas de lo estimado anteriormente. Se trata de afirmaciones relacionadas, pero no idénticas.
Como fecha límite para la migración, 2029 parece agresivo pero defendible. Como pronóstico concreto de la capacidad de ruptura de Bitcoin, la evidencia pública sigue siendo más escasa.
Google ha reducido significativamente la estimación del ataque e IBM tiene una hoja de ruta pública para 2029 con 200 qubits lógicos y 100 millones de puertas. Aun así, el objetivo de IBM para 2029 sigue estando muy por debajo de la última estimación de qubits lógicos de Google para atacar secp256k1.
El horizonte de referencia a escala de servicios públicos de DARPA se extiende hasta 2033, que es el punto de referencia más conservador. Según la evidencia actual, 2029 funciona mejor como fecha de preparación que como fecha fijada para el Q-Day.
¿Cuánto podría costar llegar a ese punto?
Nadie ha publicado un presupuesto público definitivo para una computadora cuántica que pueda descifrar Bitcoin. Las señales públicas más fuertes provienen de aumentos de capital, paquetes gubernamentales y construcción de instalaciones. PsiQuantum recaudó mil millones de dólares en 2025 para sistemas tolerantes a fallas a escala de servicios públicos y obtuvo por separado un paquete público de 940 millones de dólares australianos en Australia para su construcción en Brisbane.
Quantinuum recaudó alrededor de 300 millones de dólares a principios de 2024 y luego anunció una nueva ronda de financiación en 2025. Illinois también preparó un plan de parque cuántico de 500 millones de dólares y un paquete de incentivos fiscales de 200 millones de dólares alrededor del sitio de Chicago vinculado a PsiQuantum.
La inferencia razonable es que un sistema criptográficamente relevante de primera generación cuesta miles de millones de dólares, y potencialmente más una vez que se incluyen el campus completo, la fabricación especializada, el embalaje, la criogenia, la computación clásica, las redes, la electrónica de control y los costos de personal de varios años.
El capital público y privado ya están convergiendo a esa escala. Ahora se trata de una construcción a escala de infraestructura.
¿Qué hitos hay que vigilar desde aquí?
El primer hito es el paso de decenas a cientos de qubits lógicos de alta fidelidad que permanecen estables el tiempo suficiente para ejecutar programas significativos.
Después de eso, el siguiente umbral es si esos qubits lógicos pueden admitir de millones a decenas de millones de puertas tolerantes a fallas con decodificación en tiempo real y escalamiento fabricable. La hoja de ruta pública de IBM enmarca esa progresión directamente con Starling en 200 qubits lógicos y 100 millones de puertas en 2029, seguido de Blue Jay con 2.000 qubits lógicos y mil millones de puertas en 2033.
El segundo hito es la validación arquitectónica. El documento de recursos de ataque de Google señala las arquitecturas de reloj rápido como los sistemas más relevantes para los ataques criptográficos sobre el gasto. Eso pone más énfasis en el progreso en los sistemas fotónicos y superconductores al evaluar el riesgo de Bitcoin a corto plazo.
El tercer hito Es una verificación independiente. Los programas QBI y US2QC de DARPA son importantes porque obligan a las empresas a convertir las hojas de ruta en planes de ingeniería auditables. Microsoft y PsiQuantum ya pasaron a la fase final de validación y codiseño de US2QC, mientras que IBM, Quantinuum, Atom, IonQ, QuEra, Xanadu y otros permanecen en la Etapa B de QBI.
Si uno de esos programas llega a la conclusión de que un diseño es factible de construir según lo previsto, eso tendrá más peso que una hoja de ruta corporativa estándar.
El cuarto hito es la respuesta criptográfica. El NIST finalizó sus tres primeros estándares de criptografía poscuántica en agosto de 2024 y dice que las organizaciones deberían comenzar a migrar ahora, con algoritmos vulnerables en camino a su desaprobación y eliminación para 2035. Para Bitcoin y el conjunto de criptomonedas en general, una ruta de migración creíble cambia materialmente el perfil de riesgo.
¿Quién tiene más probabilidades de crear primero una computadora cuántica?
La respuesta depende de la definición de “primero”. Si el punto de referencia es el primer sistema público tolerante a fallas con una escala de qubit lógico significativa, IBM y Quantinuum tienen el caso público más sólido en la actualidad.
IBM tiene la hoja de ruta pública de largo alcance más clara para cientos, luego miles, de qubits lógicos. Quantinuum tiene algunos de los datos públicos más sólidos sobre qubits lógicos de iones atrapados y equilibrio.
Si el punto de referencia es la primera ruta validada de forma independiente hacia la escala de servicios públicos, Microsoft y PsiQuantum se destacan porque DARPA ya los ha trasladado a la fase final de validación y codiseño de US2QC. Eso no resuelve la carrera, pero sí indica que un proceso de revisión gubernamental serio considera que esos caminos son lo suficientemente maduros para un escrutinio más profundo a nivel del sistema.
Si el punto de referencia es el primer sistema plausiblemente relevante para Bitcoin, las plataformas de reloj rápido merecen la mayor atención. Sobre la base de la evidencia pública actual, que apunta más hacia pilas superconductoras o fotónicas que a sistemas de iones atrapados o átomos neutros para la capacidad de ataque más temprana.
Eso mantiene a Google, IBM, PsiQuantum y potencialmente la ruta topológica de Microsoft en el grupo de mayor atención, al tiempo que deja espacio para una sorpresa de otra arquitectura respaldada por DARPA.
¿Qué haría falta para que un mal actor utilice una máquina de este tipo después de que un laboratorio de primer nivel demuestre su capacidad?
La barrera seguiría siendo extremadamente alta. Cualquier actor malicioso necesitaría acceso a un sistema a escala de instalación, cadenas de suministro especializadas, electrónica de control avanzada, embalaje, criogenia o gran infraestructura fotónica, software de corrección de errores, compiladores y un equipo que abarque hardware cuántico, corrección de errores, ingeniería de sistemas y criptografía.
El probable perfil de costos sigue estando en el rango de los mil millones de dólares, y la huella de ingeniería sería difícil de ocultar. Eso impulsa la primera amenaza creíble hacia un estado, un programa respaldado por el estado o el uso indebido de la capacidad de un laboratorio de primer nivel existente en lugar de una construcción criminal independiente.
También hay una segunda capa de dificultad. Incluso después de que un laboratorio de primer nivel demuestre su capacidad teórica, convertir eso en un uso ilícito confiable requeriría un tiempo de ejecución estable, suficiente disponibilidad de máquinas, inteligencia de focalización y una manera de poner en práctica los resultados antes de que los defensores completen la migración.
En su divulgación responsable, Google ocultó detalles del ataque y utilizó métodos de conocimiento cero para validar las afirmaciones sin publicar un manual operativo. Eso levanta la barrera a la replicación imprudente.
La comparación histórica más clara entre “los avances informáticos a nivel de investigación y la capacidad de los malos actores” es DES.
En 1977, Whitfield Diffie y Martin Hellman argumentaron que una máquina capaz de utilizar DES por fuerza bruta en aproximadamente un día costaría aproximadamente 20 millones de dólares, lo que colocaba esa capacidad en manos del Estado.
En 1998, la Electronic Frontier Foundation construyó Deep Crack por menos de 250.000 dólares y descifró DES en 56 horas.
En 2006, la máquina COPACOBANA basada en FPGA redujo ese costo por debajo de los 10.000 dólares, lo que demuestra que una capacidad que alguna vez se discutió a escala de laboratorio nacional se había trasladado a la gama de hardware especializado disponible comercialmente.
El patrón importa más que el cifrado exacto. La capacidad criptoanalítica a menudo aparece primero como una posibilidad de presupuesto de élite, luego como una prueba pública, y sólo más tarde como algo que puede ensamblarse a un costo mucho menor a partir de componentes accesibles.
Para Bitcoin, la pregunta relevante no es sólo cuándo un laboratorio de primer nivel puede demostrar un ataque cuántico criptográficamente relevante, sino también cuánto tiempo lleva esa capacidad para descender en la curva de costos hasta convertirse en algo a lo que los actores más pequeños puedan acceder y operar de manera realista.
Entonces, incluso si Google creara una máquina cuántica capaz de agrietarse Bitcoin en 2029, siguiendo la línea de tiempo del DES, es posible que los malos actores no tengan acceso hasta dentro de 30 años o más.
En pocas palabras
Bitcoin no está hoy bajo ataque cuántico. La amenaza ha pasado de la categoría de ciencia ficción a la categoría de planificación.
La nueva estimación de Google reduce los recursos necesarios lo suficiente como para agudizar la pregunta central: si Bitcoin y la pila criptográfica más amplia pueden migrar antes de que los sistemas tolerantes a fallas de reloj rápido crucen el umbral para ataques criptográficamente relevantes.
Incluso si un laboratorio de primer nivel alcanza ese umbral antes de lo esperado, el factor limitante para los malos actores probablemente sea el acceso, porque los primeros sistemas criptográficamente relevantes seguirían siendo máquinas a escala de instalaciones con economías de miles de millones de dólares en lugar de herramientas que puedan comprarse, alquilarse o ensamblarse silenciosamente a escala criminal.
