Los contribuyentes desarrolladores de Bitcoin acaban de superar un obstáculo de documentación que Twitter criptográfico trató como un parche cuántico de emergencia. No lo fue.
El 11 de febrero, se fusionó una propuesta para un nuevo tipo de salida, Pay-to-Merkle-Root (BIP-0360), en el repositorio oficial de Propuestas de mejora de Bitcoin. No se actualizaron nodos. No existe un cronograma de activación.
El propio repositorio de BIPs advierte que la publicación no implica consenso, adopción o incluso que la idea sea buena. Lo que realmente sucedió es que un borrador de especificación alcanzó el umbral para estar dentro del alcance y estar documentado formalmente.
Sin embargo, el marco en torno a P2MR revela algo más interesante que la fusión en sí: la comunidad de desarrolladores de Bitcoin está luchando con un problema de migración que no puede resolverse únicamente con una criptografía inteligente.
La verdadera historia es que el camino de actualización de Bitcoin es lento, la coordinación es difícil y prepararse para riesgos de baja probabilidad y altas consecuencias requiere comenzar años antes de que alguien esté de acuerdo en que la amenaza es real.
Raíz principal sin puerta clave
P2MR es más fácil de entender si lo considera como Taproot al que se le ha quitado una pieza.
Las salidas de Taproot hoy (P2TR) se comprometen con una clave pública modificada. Al gastar desde una salida de Taproot, los usuarios tienen dos opciones: usar la ruta clave (una firma simple que se parece a cualquier otra firma de Bitcoin) o la ruta del script (revelar un script de un árbol Merkle de posibles scripts y demostrar que fue parte del compromiso).
La mayoría de los gastos de Taproot utilizan la ruta clave porque es más pequeña y más barata, y no revela nada sobre qué otras condiciones de gasto podrían haber existido.
P2MR elimina por completo la ruta clave. La salida se envía directamente a la raíz de Merkle del árbol de secuencias de comandos, sin clave interna ni opción de gasto de clave.
Cada inversión debe revelar un guión y proporcionar una prueba de Merkle. Eso hace que P2MR gaste más (un mínimo de 103 bytes frente a 66 bytes para un testigo de ruta clave Taproot) y sea más caro.
La compensación es deliberada: P2MR elimina la superficie de ataque siempre disponible que crea una clave pública.
Exposición larga versus exposición corta
BIP-0360 enmarca el riesgo cuántico a través de dos modelos de ataque, y esta distinción es importante porque las defensas difieren.
Un ataque de exposición prolongada tiene como objetivo datos que ya son visibles en la cadena, como una clave pública en una salida no utilizada, que ha estado expuesta durante meses o años. Un atacante con una futura computadora cuántica puede trabajar para descifrar esa clave fuera de línea, sin presión de tiempo.
No necesitan ganar una carrera de mempool, sino construir un sistema cuántico capaz de recuperar la clave privada de la clave pública.
Los ataques de corta exposición son más intensos. El atacante debe recuperar una clave privada mientras una transacción no está confirmada, normalmente en minutos o segundos.
BIP-0360 sostiene que los ataques de corta exposición requerirán sistemas cuánticos más avanzados y marcos de firmas poscuánticas como defensas contra esa ventana.
P2MR no resuelve la exposición corta, pero elimina la superficie de exposición prolongada para la funcionalidad estilo Taproot.
El tiempo de espera para la migración es la verdadera limitación
Si aún faltan años o décadas para que las computadoras cuánticas puedan romper la criptografía de curva elíptica, ¿por qué presentar esta propuesta ahora?
La respuesta tiene más que ver con la velocidad de actualización de Bitcoin que con los plazos cuánticos. Incluso si el riesgo es incierto, el camino de transición segura requiere múltiples fases secuenciales: especificación, implementación, revisión, debate sobre activación, soporte de billetera e intercambio, educación de los usuarios y migración gradual.
Cada fase lleva meses o años. Comenzar temprano crea opciones, ya que esperar a tener certeza significa comenzar demasiado tarde.
El tono de BIP-0360 es “preparado, no asustado”.
La propuesta no argumenta que las computadoras cuánticas destruirán Bitcoin en 2027 o 2030. Argumenta que Bitcoin debería adoptar un tipo de salida nativo tapscript de bajo riesgo para evitar una exposición prolongada antes de que las firmas poscuánticas estén listas.
La lógica es prospectiva: Taproot y tapscript son los lenguajes de programación modernos para protocolos avanzados de Bitcoin.
Si cree que esas herramientas serán importantes para Lightning, convenios u otros casos de uso de contratos inteligentes, entonces tener una versión de esa funcionalidad sin el riesgo de exposición prolongada es un componente útil.
El momento también refleja un cambio en la forma en que se discute el riesgo cuántico en los círculos de Bitcoin.
BIP-0360 aborda explícitamente las críticas de que los desarrolladores de Bitcoin no estaban tomando en serio la amenaza cuántica.
Al agregar a Isabel Foxen Duke como coautora, alguien enfocado en hacer que la propuesta sea comprensible para una audiencia general, no solo para los desarrolladores principales, indica la intención de hacer que la preparación cuántica sea legible y accesible.
Trabajos académicos recientes también han hecho más concretos los debates sobre el riesgo cuántico. Los artículos sobre firmas híbridas poscuánticas y el criptoanálisis de curva elíptica de evaluación comparativa en sistemas cuánticos proporcionan estimaciones cuantitativas de recursos en lugar de advertencias vagas.
La ciencia avanza, incluso si los plazos siguen siendo inciertos.
Migración voluntaria, no protección automática
Si P2MR alguna vez se activa, y ese es un “si” significativo dado que la activación requiere un amplio consenso y una implementación exitosa de la bifurcación suave, los cambios son opcionales, no obligatorios.
Las billeteras agregarían soporte para un nuevo tipo de dirección, comenzando con bc1z, correspondiente a la versión 2 de SegWit. Los usuarios que quieran reducir el riesgo de exposición prolongada pueden generar direcciones P2MR y mover fondos enviándolos a esas direcciones.
Los resultados existentes de Taproot siguen siendo gastables según las reglas existentes. Nada se rompe de la noche a la mañana y ninguna moneda está protegida retroactivamente.
La migración se parecería al cambio gradual a SegWit o Taproot: los primeros usuarios se mueven primero, los intercambios y los custodios agregan soporte durante meses y los usuarios migran cuando ven una razón para hacerlo.
Para la mayoría de los usuarios minoristas, el motivo puede ser vago (“seguridad cuántica”) o inexistente. Para las instituciones con participaciones a largo plazo, el cálculo es diferente.
Los custodios que mantienen Bitcoin durante años se preocupan profundamente por el riesgo de exposición prolongada. P2MR permite el uso continuo de la programabilidad estilo tapscript, que es útil para configuraciones multifirma, bóvedas con bloqueo de tiempo y otros scripts avanzados. Al mismo tiempo, elimina la superficie de ataque de “dejar una clave pública en la cadena”.
La compensación es real: los gastos en P2MR son mayores y más caros que los gastos en rutas clave de Taproot. Cada gasto de P2MR revela que se utilizó un árbol de secuencias de comandos, sacrificando algunos de los beneficios de privacidad que ofrece la ruta clave de Taproot.
Para los usuarios que priorizan las tarifas bajas y la privacidad sobre la mitigación de riesgos cuánticos, la ruta clave Taproot sigue siendo la mejor opción.
¿Qué podría descarrilar esto?
P2MR es un borrador, no un trato cerrado. La activación requiere convencer a los operadores de nodos, mineros, desarrolladores y usuarios económicos de que las compensaciones valen la pena.
Algunos argumentarán que el riesgo cuántico es demasiado distante para justificar el costo de coordinación.
Otros señalarán las pérdidas de privacidad derivadas de los gastos obligatorios en la ruta del guión o los gastos generales de honorarios de testigos más importantes.
Otros más se preguntarán si la P2MR es necesaria si las firmas poscuánticas llegan antes de lo esperado.
También persisten obstáculos técnicos. Los esquemas de firma poscuánticos todavía se están estandarizando y su tamaño y costos de verificación varían ampliamente.
Si los esquemas ganadores no se integran claramente con el marco de ruta de guión de P2MR, el valor de la propuesta como base para el trabajo futuro disminuye.
¿Qué está en juego?
Aléjese y P2MR es parte de una pregunta más amplia sobre cómo Bitcoin toma decisiones en condiciones de incertidumbre.
La propuesta no pretende saber cuándo las computadoras cuánticas amenazarán a Bitcoin o qué esquemas poscuánticos ganarán. Más bien, aboga por crear una opción hoy que reduzca el riesgo mañana.
La apuesta es que tener la opción vale el costo de coordinación, incluso si la opción nunca se utiliza ampliamente.
Ese marco cambia el debate de “¿es real el riesgo cuántico?” a “¿cuánta opcionalidad vale la pena incorporar?” La respuesta depende de a quién le preguntes.
Para los tenedores y custodios a largo plazo con horizontes temporales de varios años, la opcionalidad es valiosa. Para los usuarios minoristas que buscan privacidad y tarifas bajas, las compensaciones son más difíciles de justificar.
El objetivo final no es una fecha única de activación ni una migración universal. Es un cambio lento y desigual en el que diferentes usuarios adoptan P2MR por diferentes motivos o no lo adoptan en absoluto.
Bitcoin no tiene una autoridad central que pueda exigir actualizaciones. La red evoluciona a través de la coordinación voluntaria, y el éxito de P2MR depende de si suficientes participantes consideran que las compensaciones valen la pena. La propuesta ahora está documentada formalmente.
Si esto se convierte en parte de las reglas de consenso de Bitcoin es una cuestión para los próximos años de debate, pruebas y coordinación.
