Michael Saylor presentó una visión característicamente audaz el 16 de diciembre sobre Bitcoin y el salto cuántico:
“El salto cuántico de Bitcoin: la computación cuántica no romperá a Bitcoin, sino que lo fortalecerá. Las actualizaciones de la red, las monedas activas migran, las monedas perdidas permanecen congeladas. La seguridad aumenta. La oferta disminuye. Bitcoin se fortalece”.
La declaración captura el caso optimista para el futuro poscuántico de Bitcoin. Aun así, el historial técnico revela un panorama más confuso en el que la física, la gobernanza y el momento determinan si la transición fortalece la red o desencadena una crisis.
Quantum no romperá Bitcoin (si la migración ocurre a tiempo)
La afirmación central de Saylor se basa en la noción de verdad direccional. La principal vulnerabilidad cuántica de Bitcoin reside en sus firmas digitales, no en la prueba de trabajo.
La red utiliza ECDSA y Schnorr sobre secp256k1. El algoritmo de Shor puede derivar claves privadas a partir de claves públicas una vez que una computadora cuántica tolerante a fallas alcance aproximadamente entre 2.000 y 4.000 qubits lógicos.
Los dispositivos actuales operan órdenes de magnitud por debajo de ese umbral, lo que coloca a las computadoras cuánticas criptográficamente relevantes al menos a una década de distancia.
El NIST ya ha finalizado las herramientas defensivas que necesitaría Bitcoin. La agencia publicó dos estándares de firma digital poscuántica, ML-DSA (Dilithium) y SLH-DSA (SPHINCS+), como FIPS 204 y 205, y FN-DSA (Falcon) progresó como FIPS 206.
Estos esquemas resisten los ataques cuánticos y podrían integrarse en Bitcoin mediante nuevos tipos de salida o firmas híbridas. Bitcoin Optech rastrea propuestas en vivo para la agregación de firmas poscuánticas y construcciones basadas en Taproot, con experimentos de rendimiento que muestran que SLH-DSA puede funcionar en cargas de trabajo similares a Bitcoin.
Lo que omite el marco de Saylor es el costo. Una investigación del Journal of British Blockchain Association sostiene que una migración realista es una degradación defensiva: la seguridad mejora contra las amenazas cuánticas, pero la capacidad del bloque podría reducirse aproximadamente a la mitad.
Los costos de los nodos aumentan porque las firmas poscuánticas actuales son más grandes y más caras de verificar. Las tarifas de transacción aumentan a medida que cada firma consume más espacio en bloque.
La parte difícil es la gobernancia. Bitcoin no tiene una autoridad central para exigir actualizaciones. Una bifurcación suave poscuántica requeriría un consenso abrumador entre desarrolladores, mineros, intercambios y grandes tenedores, todos ellos moviéndose antes de que aparezca una computadora cuántica criptográficamente relevante.
El reciente análisis de A16z enfatiza que la coordinación y el tiempo plantean mayores riesgos que la criptografía misma.
Las monedas expuestas se convierten en objetivos, no en activos congelados
La afirmación de Saylor de que “las monedas activas migran, las monedas perdidas permanecen congeladas” simplifica demasiado la realidad en la cadena. La vulnerabilidad depende completamente del tipo de dirección y de si la clave pública ya es visible.
Las primeras salidas de pago a clave pública colocan la clave pública sin procesar directamente en la cadena y la exponen permanentemente.
Las direcciones estándar P2PKH y SegWit P2WPKH ocultan la clave pública detrás de hashes hasta que se gastan las monedas, momento en el que la clave se vuelve visible y robable cuánticamente.
Las salidas de Taproot P2TR codifican una clave pública en la salida desde el primer día, lo que hace que esos UTXO queden expuestos incluso antes de que se muevan.
Los análisis estiman que aproximadamente el 25% de todo Bitcoin ya se encuentra en salidas con claves reveladas públicamente. El desglose de Deloitte y el trabajo reciente centrado en Bitcoin convergen en esta cifra, que abarca grandes saldos iniciales de P2PK, actividad de custodio y uso moderno de Taproot.
La investigación en cadena sugiere aproximadamente 1,7 millones de BTC en salidas P2PK de la “era Satoshi” y cientos de miles más en salidas Taproot con claves expuestas.
Algunas monedas “perdidas” no están congeladas, sino que no tienen dueño y podrían convertirse en una recompensa para el primer atacante con una máquina capaz.
Las monedas que nunca han revelado una clave pública (P2PKH o P2WPKH de un solo uso) están protegidas por direcciones hash, para las cuales el algoritmo de Grover proporciona sólo una aceleración de raíz cuadrada, que los ajustes de parámetros pueden compensar.
La porción de suministro que corre mayor riesgo son precisamente las monedas inactivas bloqueadas con claves públicas ya expuestas.
Los efectos de la oferta son inciertos, no automáticos
La afirmación de Saylor de que “la seguridad aumenta, la oferta disminuye” separa claramente la mecánica y la especulación.
Las firmas poscuánticas, como ML-DSA y SLH-DSA, están diseñadas para permanecer seguras contra computadoras cuánticas grandes y tolerantes a fallas y ahora forman parte de los estándares oficiales.
Las ideas de migración específicas de Bitcoin incluyen resultados híbridos que requieren firmas tanto clásicas como poscuánticas, así como propuestas de agregación de firmas para reducir la inflación de la cadena.
Pero la dinámica de la oferta no es automática y existen tres escenarios opuestos.
El primero es la “reducción de la oferta a través del abandono”, donde las monedas en productos vulnerables cuyos propietarios nunca actualizan se tratan como perdidas o se incluyen explícitamente en la lista de bloqueo. El segundo es la “distorsión del suministro a través del robo”, donde los atacantes cuánticos vacían las carteras expuestas.
El escenario restante es el de “pánico antes de la física”, donde la percepción de una capacidad cuántica inminente desencadena ventas masivas o divisiones de cadenas antes de que exista una máquina real.
Ninguno de estos garantiza una reducción neta de la oferta circulante que sea claramente alcista. Con la misma facilidad podrían producir cambios de precios desordenados, bifurcaciones polémicas y una ola única de ataques a billeteras heredadas.
Que la oferta “disminuya” depende de las decisiones políticas, las tasas de aceptación y las capacidades del atacante.
La prueba de trabajo basada en SHA-256 es relativamente sólida porque el algoritmo de Grover solo proporciona una aceleración cuadrática.
El riesgo más sutil reside en el mempool, donde una transacción realizada desde una dirección de clave hash revela su clave pública mientras espera ser extraída.
Análisis recientes describen un hipotético ataque de “firma y robo” en el que un atacante cuántico observa el mempool, recupera rápidamente una clave privada y ejecuta una transacción conflictiva con una tarifa más alta.
Lo que realmente dicen las matemáticas
La hoja de ruta de la física y los estándares coinciden en que la tecnología cuántica no rompe automáticamente a Bitcoin de la noche a la mañana.
Hay una ventana, posiblemente de una década o más, para una migración poscuántica deliberada. Sin embargo, esa migración es costosa y políticamente difícil, y una parte no trivial de la oferta actual ya se encuentra en productos expuestos a la tecnología cuántica.
Saylor tiene razón en que Bitcoin puede endurecerse. La red puede adoptar firmas poscuánticas, actualizar resultados vulnerables y emerger con garantías criptográficas más sólidas.
Sin embargo, la afirmación de que “las monedas perdidas permanecen congeladas” y “la oferta disminuye” supone una transición limpia en la que la gobernanza coopera, los propietarios migran con el tiempo y los atacantes nunca aprovechan el retraso.
Bitcoin puede salir más fuerte, con firmas mejoradas y posiblemente algo de suministro efectivamente quemado, pero sólo si los desarrolladores y los grandes tenedores actúan temprano, coordinan la gobernanza y gestionan la transición sin provocar pánico o robos a gran escala.
Que Bitcoin se fortalezca depende menos de los plazos de la capacidad cuántica que de si la red puede ejecutar una actualización complicada, costosa y políticamente complicada antes de que la física se ponga al día. La confianza de Saylor es una apuesta por la coordinación, no por la criptografía.
