Contrariamente a la creencia popular, las computadoras cuánticas no “descifrarán” el cifrado de Bitcoin; en cambio, cualquier amenaza realista se centraría en explotar firmas digitales vinculadas a claves públicas expuestas.
Las computadoras cuánticas no pueden descifrar Bitcoin porque no almacena secretos cifrados en la cadena.
La propiedad se impone mediante firmas digitales y compromisos basados en hash, no mediante texto cifrado.
El riesgo cuántico que importa es el riesgo de falsificación de autorizaciones.
Si una computadora cuántica criptográficamente relevante puede ejecutar el algoritmo de Shor contra la criptografía de curva elíptica de Bitcoin, podría derivar una clave privada a partir de una clave pública en cadena y luego producir una firma válida para un gasto competitivo.
Gran parte del encuadre de “cifrado de Bitcoin con ruptura cuántica” es un error de terminología. Adam Back, desarrollador de Bitcoin e inventor de Hashcash desde hace mucho tiempo, lo resumió en X:
“Consejo profesional para los promotores de FUD cuántico. Bitcoin no utiliza cifrado. Si no entiendes bien los conceptos básicos, será una señal”.
Una publicación separada hizo la misma distinción de manera más explícita, señalando que un atacante cuántico no “descifraría” nada, sino que usaría el algoritmo de Shor para derivar una clave privada a partir de una clave pública expuesta:
“El cifrado se refiere al acto de ocultar información para que sólo aquellos con una clave puedan leerla. Bitcoin no hace esto. La cadena de bloques es un libro de contabilidad público, por lo que cualquiera puede ver cada transacción, cada monto y cada dirección. Nada está cifrado”.
Por qué la exposición de la clave pública, no el cifrado, es el verdadero cuello de botella de seguridad de Bitcoin
Los sistemas de firma de Bitcoin, ECDSA y Schnorr, se utilizan para demostrar el control sobre un par de claves.
En ese modelo, las monedas se toman generando una firma que la red aceptará.
Por eso la exposición de la clave pública es el eje.
La exposición de una salida depende de lo que aparece en la cadena.
Muchos formatos de direcciones se comprometen con un hash de una clave pública, por lo que la clave pública sin procesar no se revela hasta que se gasta la transacción.
Eso reduce la ventana para que un atacante calcule una clave privada y publique una transacción conflictiva.
Otros tipos de secuencias de comandos exponen una clave pública antes y la reutilización de direcciones puede convertir una revelación única en un objetivo persistente.
La consulta de código abierto “Bitcoin Risq List” de Project Eleven define la exposición a nivel de script y reutilización.
Mapea dónde ya hay una clave pública disponible para un posible atacante de Shor.
Por qué el riesgo cuántico es mensurable hoy, incluso si no es inminente
Taproot cambia el patrón de exposición de una manera que sólo importa si llegan grandes máquinas tolerantes a fallas.
Las salidas Taproot (P2TR) incluyen una clave pública modificada de 32 bytes en el programa de salida, en lugar de un hash de clave pública, como se describe en BIP 341.
La documentación de consulta de Project Eleven incluye P2TR junto con pay-to-pubkey y algunos formularios multifirma como categorías donde las claves públicas son visibles en los resultados.
Eso no crea una nueva vulnerabilidad hoy.
Sin embargo, cambia lo que queda expuesto de forma predeterminada si la recuperación de claves es factible.
Debido a que la exposición es mensurable, el grupo vulnerable se puede rastrear hoy sin fijar una línea de tiempo cuántica.
Project Eleven dice que ejecuta un escaneo semanal automatizado y publica un concepto de “Lista de riesgos de Bitcoin” destinado a cubrir cada dirección cuántica vulnerable y su saldo, detallado en su publicación de metodología.
Su rastreador público muestra una cifra principal de alrededor de 6,7 millones de BTC que cumplen sus criterios de exposición.
| Cantidad | Orden de magnitud | Fuente |
|---|---|---|
| BTC en direcciones “vulnerables cuánticamente” (clave pública expuesta) | ~6,7 millones de BTC | Proyecto once |
| Qubits lógicos para registros discretos ECC de campo principal de 256 bits (límite superior) | ~2330 qubits lógicos | Roetteler et al. |
| Ejemplo de escala de qubit físico vinculado a una configuración de recuperación de claves de 10 minutos | ~6,9 millones de qubits físicos | Hierro fundido |
| Referencia de escala de qubit físico vinculada a una configuración de recuperación de claves de 1 día | ~13 millones de qubits físicos | Schneier sobre la seguridad |
Desde el punto de vista computacional, la distinción clave es entre qubits lógicos y qubits físicos.
En el artículo “Estimaciones de recursos cuánticos para calcular logaritmos discretos de curva elíptica”, Roetteler y sus coautores dan un límite superior de como máximo 9n + 2⌈log2(n)⌉ + 10 qubits lógicos para calcular un logaritmo discreto de curva elíptica sobre un campo primo de n bits.
Para n = 256, eso equivale a unos 2.330 qubits lógicos.
Convertir eso en una máquina con corrección de errores que pueda ejecutar un circuito profundo con bajas tasas de fallas es donde dominan la sobrecarga y la sincronización del qubit físico.
Las opciones de arquitectura establecen una amplia gama de tiempos de ejecución.
La estimación de Litinski para 2023 sitúa un cálculo de clave privada de curva elíptica de 256 bits en unos 50 millones de puertas Toffoli.
Según sus supuestos, un enfoque modular podría calcular una clave en unos 10 minutos utilizando unos 6,9 millones de qubits físicos.
En un resumen de trabajos relacionados de Schneier on Security, las estimaciones agrupan alrededor de 13 millones de qubits físicos que se romperán en un día.
La misma línea de estimaciones también cita alrededor de 317 millones de qubits físicos para alcanzar una ventana de una hora, dependiendo de los supuestos de tiempo y tasa de error.
Para las operaciones de Bitcoin, las palancas más cercanas son el comportamiento y el nivel de protocolo.
La reutilización de direcciones aumenta la exposición y el diseño de la billetera puede reducirla.
El análisis de billetera de Project Eleven señala que una vez que una clave pública está en la cadena, los recibos futuros a esa misma dirección permanecen expuestos.
Si la recuperación de claves alguna vez encajara dentro de un intervalo de bloque, un atacante estaría compitiendo con los gastos de los resultados expuestos, en lugar de reescribir el historial de consenso.
El hashing a menudo se incluye en la narrativa, pero la palanca cuántica es el algoritmo de Grover.
Grover proporciona una aceleración de raíz cuadrada para la búsqueda de fuerza bruta en lugar de la ruptura de registro discreto que proporciona Shor.
La investigación del NIST sobre el costo práctico de los ataques estilo Grover enfatiza que los gastos generales y la corrección de errores determinan el costo a nivel del sistema.
En el modelo idealizado, para las preimágenes SHA-256, el objetivo permanece del orden de 2^128 trabajos después de Grover.
Esto no es comparable a una ruptura de registro discreto ECC.
Eso deja la migración de firmas, donde las limitaciones son el ancho de banda, el almacenamiento, las tarifas y la coordinación.
Las firmas poscuánticas suelen ser kilobytes en lugar de las decenas de bytes a las que los usuarios están acostumbrados.
Eso cambia la economía del peso de las transacciones y la UX de la billetera.
Por qué el riesgo cuántico es un desafío migratorio, no una amenaza inmediata
Fuera de Bitcoin, el NIST ha estandarizado primitivas poscuánticas como ML-KEM (FIPS 203) como parte de una planificación de migración más amplia.
Dentro de Bitcoin, BIP 360 propone un tipo de salida de “Pago a hash resistente a Quantum”.
Mientras tanto, qbip.org aboga por una extinción de las firmas heredadas para forzar incentivos a la migración y reducir la larga cola de claves expuestas.
Las hojas de ruta corporativas recientes añaden contexto sobre por qué el tema se plantea como infraestructura en lugar de como una emergencia.
En un informe reciente de Reuters, IBM discutió el progreso en los componentes de corrección de errores y reiteró un camino hacia un sistema tolerante a fallas alrededor de 2029.
Reuters también cubrió la afirmación de IBM de que un algoritmo clave de corrección de errores cuánticos puede ejecutarse en chips AMD convencionales, en un informe separado.
En ese marco, “el cifrado cuántico de Bitcoin” falla en terminología y mecánica.
Los elementos mensurables son cuánto del conjunto UTXO ha expuesto claves públicas, cómo cambia el comportamiento de la billetera en respuesta a esa exposición y qué tan rápido la red puede adoptar rutas de gasto resistentes a los cuánticos mientras mantiene intactas las restricciones de validación y del mercado de tarifas.
