Saltar al contenido principal

Reloj cuántico de $ 1.3 billones de Bitcoin : La ruptura de ECDSA en 9 minutos y la carrera de BIP-360 para salvar 6.9 millones de BTC

· 14 min de lectura
Dora Noda
Dora Noda
Software Engineer

Nueve minutos. Ese es el margen que, según un artículo de 57 páginas de Google Quantum AI, necesitaría una futura computadora cuántica para realizar ingeniería inversa a una clave privada de Bitcoin a partir de una clave pública expuesta; lo suficientemente corto como para caber dentro de la confirmación de un solo bloque, lo suficientemente largo como para reescribir el perfil de riesgo de toda la red de $ 1.3 billones. El artículo, escrito en colaboración con investigadores de Stanford y la Ethereum Foundation y publicado el 30 de marzo de 2026, hizo algo más sutil que predecir el apocalipsis. Redujo la cifra que importa. Los recursos necesarios para romper ECDSA cayeron por un factor de 20 en comparación con estimaciones anteriores. Google ahora apunta internamente a la migración post - cuántica para el año 2029.

Bitcoin no dispone de tanto tiempo. Al menos no si quiere migrar con elegancia. Y los desarrolladores de la red lo saben, razón por la cual abril de 2026 se ha convertido en el mes más trascendental para la criptografía de Bitcoin desde la activación de SegWit. BIP - 360 ya está en vivo en la red de prueba (testnet). Una propuesta de seguimiento para congelar las direcciones heredadas (legacy) está circulando en formato de borrador. Adam Back, Jameson Lopp y los mantenedores de Bitcoin Core se están dividiendo en bandos que no discrepan sobre si la amenaza es real, sino sobre quién paga cuando el reloj se detenga.

El mapa de exposición: 6.9 millones de BTC, el 34 % del suministro y las monedas de Satoshi

La cifra más citada del artículo de Google es nueve minutos. Su cifra más inquietante es 6.9 millones. Ese es el límite superior del suministro de bitcoin cuyas claves públicas ya son visibles en la cadena, lo que significa que un atacante cuántico no necesita competir con una transacción a través de la mempool. Pueden derivar la clave privada a su ritmo y gastar las monedas cuando lo deseen.

La exposición se presenta en niveles:

  • Direcciones Pay-to-Public-Key (P2PK): Aproximadamente 1.7 millones de BTC, incluidos más de 1.1 millones de BTC atribuidos a las recompensas de bloque (coinbase) minadas inicialmente por Satoshi Nakamoto. Las claves públicas se almacenan directamente en el scriptPubKey. Nada las oculta.
  • Direcciones reutilizadas en todos los tipos de script: Cuando una dirección P2PKH, P2WPKH o Taproot gasta aunque sea una vez, su clave pública se revela en la transacción de gasto. Los investigadores estiman que esto eleva el suministro vulnerable a más de 6 millones de BTC.
  • Direcciones inactivas: A partir del 1 de marzo de 2026, más del 34 % del suministro circulante tiene claves públicas expuestas en algún momento. Las monedas que permanecieron intactas durante una década no están más seguras; están más expuestas, porque no pueden ser rotadas sin revelar la clave de todos modos.

Este es el problema de "cosechar ahora, descifrar después" en su forma más cruda. Cada reutilización de dirección de los últimos 15 años ya está registrada en la blockchain. No hay forma de revocarlo. La única defensa es la migración: mover las monedas a formatos de dirección post - cuánticos antes de que llegue una máquina lo suficientemente potente.

BIP-360: Pay-to-Merkle-Root y los primeros bloques de la testnet

BIP - 360, coescrito por Ethan Heilman y lanzado en febrero de 2026, es la primera Propuesta de Mejora de Bitcoin concreta que ofrece un formato de dirección compatible con el futuro. Introduce Pay-to-Merkle-Root (P2MR), que se compromete con un árbol de Merkle de posibles esquemas de firma en lugar de incrustar una única clave pública en la cadena.

La elegancia de P2MR es que permite a la red adoptar firmas resistentes a la computación cuántica sin tener que elegir un ganador hoy mismo. Una salida P2MR puede revelar una ruta de firma SLH-DSA (SPHINCS+) en el momento del gasto, o una ruta Falcon, o una ruta híbrida ECDSA más post - cuántica. La clave pública nunca se escribe en el propio UTXO, solo un compromiso. Los observadores no aprenden nada sobre la clave de firma hasta que la moneda se mueve, e incluso entonces, solo se revela la ruta específica utilizada.

El 20 de marzo de 2026, BTQ Technologies activó el primer despliegue de producción de BIP - 360 v 0.3.0 en una testnet de Bitcoin. Más de 50 mineros se unieron al experimento, produciendo más de 100,000 bloques bajo las nuevas reglas. La testnet no es la red principal (mainnet) de Bitcoin, y la activación no está ni mucho menos cerca. Pero respondió a la pregunta que los críticos plantearon durante años: ¿puede el P2MR manejar realmente el rendimiento y los tamaños de las firmas? Los resultados iniciales dicen que sí, a un coste.

El problema del tamaño: de 64 bytes a 8 kilobytes

Aquí está el coste de ingeniería. Una firma de Bitcoin ECDSA o Schnorr actual tiene 64 bytes. La alternativa post - cuántica estandarizada por el NIST, SLH-DSA (anteriormente SPHINCS+, finalizada como FIPS 205 en agosto de 2024), pesa aproximadamente 8 kilobytes por firma. Eso es un aumento de 125 veces.

El espacio de bloque es un juego de suma cero. El límite de peso de un bloque de Bitcoin no cambia solo porque las firmas crezcan. Si cada firma pasara a ser de 8 KB de la noche a la mañana, el rendimiento efectivo de las transacciones colapsaría en más de dos órdenes de magnitud, y los mercados de tarifas dejarían fuera a todos los traslados, excepto a los de mayor valor. Esto no es un problema menor de experiencia de usuario (UX); es la razón por la cual Bitcoin aún no ha migrado.

Dos direcciones de investigación intentan resolver este coste:

  • SHRIMPS y SHRINCS: Esquemas basados en hashes sin estado que mantienen las garantías de seguridad de SPHINCS+ mientras apuntan a tamaños de firma cercanos a los 2 KB.
  • Firmas de red de la familia Falcon (lattice signatures): Más pequeñas que SPHINCS+ (alrededor de 700 bytes) pero conllevan más suposiciones sobre la dureza de los problemas de red, un perfil de riesgo diferente al de la familia basada puramente en hashes.
  • Esquemas de compromiso/revelación utilizando el script de Bitcoin existente: Codifican ingeniosamente compromisos post - cuánticos hoy a un coste de aproximadamente $ 200 por transacción, sin ninguna actualización de protocolo. Caro, pero disponible ahora mismo para almacenamiento en frío de alto valor.

Ninguna opción es obviamente la correcta. El diseño de compromiso de Merkle de BIP - 360 es una cobertura contra la necesidad de elegir.

BIP-361: La propuesta para congelar las monedas de Satoshi

El 14 de abril de 2026, Jameson Lopp y cinco investigadores coautores presentaron un borrador del BIP-361 — "Post Quantum Migration and Legacy Signature Sunset" (Migración Post-Cuántica y Finalización de Firmas Legadas) — al repositorio de BIPs de Bitcoin. Es la propuesta de Bitcoin políticamente más explosiva desde las guerras por el tamaño del bloque de 2017, y está estructurada en tres fases escalonadas:

  • Fase A (activación + ~3 años): Las nuevas transacciones ya no podrán enviar fondos a tipos de direcciones legadas vulnerables a la computación cuántica. Las monedas aún pueden salir de las direcciones vulnerables, pero las billeteras y los servicios son impulsados hacia P2MR por defecto.
  • Fase B (activación + ~5 años): La capa de consenso invalida todas las firmas legadas. Cualquier moneda que no haya sido migrada para esta altura de bloque se vuelve imposible de gastar. Congelada.
  • Fase C (en investigación): Un mecanismo de recuperación limitado que utiliza pruebas de conocimiento cero (zero-knowledge proofs) vinculadas a frases semilla BIP-39. Los usuarios podrían demostrar la propiedad de los UTXO congelados sin revelar las claves privadas, pero solo si aún controlan la semilla original. Las monedas con semillas perdidas permanecen perdidas.

La aritmética es cruda. La Fase B congelaría 170,000 BTC bloqueados en scripts P2PK y aproximadamente 1.1 millones de BTC atribuidos a Satoshi. A 95,000 $ por BTC, eso representa más de 120,000 millones de dólares en monedas retiradas por consenso — la mayor expropiación forzada de propiedad privada en la historia de cualquier red digital.

La división: Adam Back frente a Lopp, pureza ideológica frente a pensamiento adversarial

La respuesta de la comunidad llegó a las pocas horas y se dividió siguiendo líneas de fractura predecibles.

En contra de la congelación:

  • Adam Back abogó públicamente por actualizaciones post-cuánticas opcionales sin una finalización forzada, argumentando que congelar monedas viola la promesa central de Bitcoin de posesión sin permisos (permissionless).
  • Marty Bent (TFTC) calificó la propuesta de "ridícula".
  • Brian Trollz de Bitcoin Magazine la rechazó de plano.
  • Phil Geiger (Metaplanet) resumió la oposición: "Tenemos que robar el dinero de la gente para evitar que su dinero sea robado".

A favor de la congelación:

  • Lopp enmarcó el borrador como "pensamiento adversarial sobre posibles amenazas futuras", señalando que actualmente no cree que las medidas necesiten una activación inmediata.
  • Los custodios institucionales apoyan silenciosamente la finalización, porque cualquier reserva de monedas pre-cuánticas que sobreviva se convierte en un riesgo sistémico permanente — un honeypot gigante que los atacantes cuánticos pueden atacar sin presión de tiempo.

El desacuerdo filosófico es real. La promesa de Bitcoin era que las monedas no pueden ser confiscadas por decreto (fiat). El BIP-361 invierte eso: las monedas pueden ser confiscadas por inacción. Los oponentes argumentan que permitir que las monedas perdidas o inactivas sean robadas por un futuro atacante cuántico es simplemente el costo de la promesa original. Los defensores argumentan que esperar al robo legitimaría un precedente al que Bitcoin no podría sobrevivir.

El cronograma de 7 años y qué sucede si la migración se estanca

Ethan Heilman, coautor del BIP-360, estima que una migración completa toma al menos siete años incluso si se inicia de inmediato. El cronograma se desglosa aproximadamente así:

  • Año 1: Activación del BIP-360 en la red principal (mainnet) y despliegue del soporte para billeteras.
  • Años 2–3: Integración de exchanges, custodios y comerciantes. Actualizaciones de firmware de billeteras de hardware con rutas de firma post-cuántica.
  • Años 4–5: Aplicación a nivel de consenso de las restricciones de la Fase A, si se adopta el BIP-361 o un sucesor.
  • Años 6–7: Finalización de firmas legadas, resolución de direcciones congeladas, despliegue del mecanismo de recuperación.

La fecha límite interna de Google para 2029 se encuentra dentro de esa ventana. Los analistas de Bernstein esperan una transición de 3 a 5 años antes de que lo cuántico sea operativamente relevante. Ark Invest argumenta que la amenaza es a largo plazo, no inminente. La brecha entre "no inminente" y una "migración de 7 años" es donde la gobernanza de Bitcoin pasará el resto de la década.

Comparación entre cadenas: Ethereum, Solana y los recién llegados nativos cuánticos

Bitcoin no es la única cadena que corre contra el mismo reloj, pero es la que tiene la gobernanza más restringida.

  • Ethereum: Vitalik Buterin publicó una hoja de ruta post-cuántica en febrero de 2026. El EIP-8141 introduce un sobre de "transacción marco" que transporta firmas ECDSA y post-cuánticas simultáneamente, lo que permite que las cuentas migren tipos de firma sin cambiar de dirección. Las firmas resistentes a la computación cuántica cuestan hasta 66 veces más gas, lo que requiere soluciones de procesamiento por lotes para seguir siendo económicamente viables. La Fundación Ethereum apunta a una resistencia cuántica total antes de 2030.
  • Solana: En diciembre de 2025, la Fundación Solana se asoció con Project Eleven para lanzar una red de prueba que reemplaza cada firma Ed25519 con CRYSTALS-Dilithium. Las mediciones iniciales mantuvieron aproximadamente 3,000 TPS, aunque pruebas independientes anteriores habían reportado una degradación del rendimiento de hasta el 90 % con firmas 40 veces más grandes. Firedancer, el cliente de validador alternativo de Jump Crypto, admite múltiples backends de firma, lo que hace que Solana sea capaz de realizar la migración cuántica antes de que Ethereum finalice el EIP-8141.
  • L1s nativas cuánticas: Circle Arc, Algorand y varias cadenas más nuevas se lanzaron con primitivas post-cuánticas desde su génesis, saltándose por completo el problema de la migración. Su argumento de marketing en 2027 se escribirá solo.

La desventaja de Bitcoin no es técnica — es política. Ethereum tiene una Fundación. Solana tiene a Anza y al equipo de Firedancer. Bitcoin tiene a los mantenedores de Core y un modelo de consenso aproximado que tardó casi cuatro años en implementar Taproot, una actualización mucho menos controvertida.

Qué significa esto para constructores y holders

Tres implicaciones prácticas destacan para cualquier persona que esté construyendo sobre Bitcoin o haciendo holding hoy en día:

  1. Las prácticas de almacenamiento en frío (cold storage) importan más que nunca. La reutilización de direcciones siempre ha sido un antipatrón de privacidad. Ahora es un riesgo criptográfico. El uso de direcciones nuevas por transacción gana tiempo incluso antes de que se active el BIP-360, ya que los outputs P2WPKH y Taproot no gastados con claves públicas nunca reveladas permanecen seguros bajo el modelo de "cosechar ahora, descifrar después" hasta que se gastan.
  2. Las rutas de scripts multifirma (multi-sig) y Taproot también necesitarán planes de migración. Los scripts complejos con rutas de gasto reveladas tienen el mismo problema de exposición que las direcciones de una sola clave. Los servicios de custodia deberían empezar a auditar cuáles de sus construcciones de almacenamiento en frío sobreviven a un mundo post-cuántico y cuáles requerirán una migración forzada durante la fecha límite de la Fase A.
  3. Los proveedores de infraestructura asumirán la carga operativa. Cuando se active el BIP-360, las billeteras (wallets), los exchanges y los proveedores de RPC pasarán dos años realizando un trabajo de infraestructura poco glamuroso: dar soporte a nuevos formatos de dirección, gestionar la verificación de firmas híbridas y ayudar a los usuarios a migrar sus UTXO sin perder fondos debido a picos en las comisiones o errores. La calidad de esa infraestructura determinará si la migración es fluida o caótica.

El reloj cuántico no avanza a la velocidad de los titulares. Avanza a la velocidad de los comités de estándares, los despliegues en redes de prueba (testnet) y las activaciones de BIP — que es precisamente por lo que abril de 2026 es importante. El primer BIP ya está activo en testnet. El segundo está redactado. La comunidad está debatiendo. Así es exactamente como se ve una migración funcional en el año cero.

La alternativa — esperar hasta que realmente exista una máquina de 500.000 qubits — es la opción que no funciona.

BlockEden.xyz proporciona infraestructura de nodos y API de grado empresarial para Bitcoin, Ethereum, Solana y más de 20 cadenas que se enfrentan a decisiones de migración post-cuántica. Explore nuestro marketplace de API para construir sobre una infraestructura diseñada para evolucionar con la frontera criptográfica.

Fuentes

Share on Twitter