El Whitepaper de IA Cuántica de Google mapea cinco rutas de ataque que ponen en riesgo $100 mil millones de Ethereum

Una clave descifrada cada nueve minutos. Las 1.000 carteras de Ethereum más importantes vaciadas en menos de nueve días. Un colapso de 20 veces en el recuento de qubits necesario para romper la criptografía que asegura más de $ 100 mil millones de valor on-chain. Estas no son las proyecciones de un hilo apocalíptico de Twitter — provienen de un libro blanco de 57 páginas que Google Quantum AI publicó el 30 de marzo de 2026, en coautoría con el investigador de la Fundación Ethereum Justin Drake y el criptógrafo de Stanford Dan Boneh.

Durante una década, el "riesgo cuántico" vivió en el mismo vecindario intelectual que los impactos de asteroides — real, catastrófico, pero lo suficientemente distante como para que nadie tuviera que actuar. El documento de Google reubicó la amenaza. Mapeó cinco rutas de ataque concretas contra Ethereum, nombró las carteras, nombró los contratos y dio a los ingenieros un número — menos de 500.000 qubits físicos — que se ajusta directamente a las hojas de ruta publicadas de IBM, Google y media docena de startups bien financiadas. El Q-Day, en otras palabras, acaba de adquirir una invitación en el calendario.

Un documento de 57 páginas que cambia el modelo de amenaza

El documento, titulado "Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities" (Asegurando las criptomonedas de curva elíptica contra las vulnerabilidades cuánticas), es la primera vez que un importante laboratorio de hardware cuántico realiza el trabajo de ingeniería poco glamoroso de traducir el algoritmo de Shor de un ataque teórico de 1994 a un plano paso a paso contra el problema del logaritmo discreto de curva elíptica (ECDLP) que asegura Bitcoin, Ethereum y prácticamente todas las cadenas que firman transacciones con secp256k1 o secp256r1.

Tres cosas hacen que el documento impacte con más fuerza que las estimaciones anteriores.

Primero, el recuento de qubits. Trabajos académicos anteriores situaban el requerimiento de recursos para romper el ECDLP de 256 bits en varios millones de qubits físicos. Los autores de Google reducen esa cifra a menos de 500.000 — una reducción de 20 veces impulsada por una síntesis de circuitos mejorada, un mejor gasto general de corrección de errores y un enrutamiento más ajustado de los estados mágicos. IBM se ha comprometido públicamente a tener una máquina de 100.000 qubits para 2029. Google no ha publicado un objetivo comparable, pero se entiende que su hoja de ruta interna tiene una pendiente similar. Medio millón de qubits ya no es un número que requiera gestos vagos hacia la década de 2050.

Segundo, el tiempo de ejecución. El documento estima que una vez que exista una máquina suficiente, recuperar una sola clave privada a partir de una clave pública toma alrededor de nueve minutos de tiempo de ejecución cuántico — no días, ni horas. Ese número importa enormemente, porque determina cuántos objetivos de alto valor puede drenar un atacante dentro de la ventana entre la detección y la respuesta.

Tercero, y lo más trascendental para Ethereum específicamente, los autores no se detienen en "ECDSA está roto". Recorren la pila de protocolos e identifican cinco superficies de ataque distintas, cada una con víctimas nombradas.

Las cinco rutas de ataque contra Ethereum

El documento organiza la exposición cuántica de Ethereum en cinco vectores, evitando deliberadamente el enfoque perezoso de "todo el cripto muere el mismo día".

1. Compromiso de Cuentas de Propiedad Externa (EOA). Una vez que una dirección de Ethereum ha firmado incluso una sola transacción, su clave pública es permanente y visible on-chain. Un atacante cuántico deriva la clave privada en aproximadamente nueve minutos y luego vacía la cartera. El análisis de Google identifica las 1.000 carteras principales por saldo de ETH — que poseen colectivamente unos 20,5 millones de ETH — como los objetivos económicamente más racionales. Al ritmo de nueve minutos por clave, un atacante despeja la lista completa en menos de nueve días.

2. Toma de control de contratos inteligentes controlados por administradores. La economía de las monedas estables de Ethereum y la mayoría de los protocolos DeFi de producción dependen de multisigs, claves de actualización y roles de acuñador controlados por EOA. El documento enumera más de 70 contratos controlados por administradores, incluidas las claves de actualización o de acuñador detrás de las principales monedas estables. Comprometer esas claves no solo roba un saldo — permite al atacante acuñar, congelar o reescribir la lógica del contrato. Google estima que aproximadamente $ 200 mil millones en monedas estables y activos tokenizados dependen de estas claves vulnerables.

3. Compromiso de las claves de validadores de Proof-of-Stake. La capa de consenso de Ethereum utiliza firmas BLS, que también se basan en suposiciones de curva elíptica y se rompen igualmente con el algoritmo de Shor. Un atacante que recupere suficientes claves privadas de validadores puede, en principio, equivocar, finalizar bloques en conflicto o detener la finalidad (finality). El riesgo aquí no es el ETH robado — es la integridad de la cadena misma.

4. Compromiso de la liquidación de Capa 2. El documento extiende el análisis a los principales rollups. Los rollups optimistas dependen de claves de proponente y desafiante firmadas por EOA; los rollups ZK dependen de claves de operador para el secuenciamiento y la generación de pruebas. Comprometer esas claves no rompe las pruebas de validez subyacentes, pero sí permite a un atacante robar las tarifas del secuenciador, censurar salidas o — en el peor de los casos — comprometer el puente que contiene los depósitos canónicos de la L2.

5. Falsificación permanente de la disponibilidad de datos históricos. Esta es la ruta que los criptógrafos encuentran más inquietante. El trusted setup original de Ethereum (y la ceremonia KZG que impulsa los blobs de la EIP-4844) se basa en suposiciones que una máquina cuántica suficientemente potente puede romper reconstruyendo los secretos del setup a partir de artefactos públicos. El resultado no es el robo — es una capacidad permanente para falsificar pruebas de estado históricas que parezcan válidas para siempre. No hay rotación que solucione los datos ya publicados.

Las cinco rutas ponen colectivamente en riesgo inmediato más de $ 100 mil millones, y un orden de magnitud más en riesgo estructural si colapsa la confianza en la integridad de la cadena.

Ethereum está más expuesto que Bitcoin

Una conclusión sutil pero importante del artículo : la exposición cuántica de Ethereum es más profunda que la de Bitcoin , a pesar de que ambas cadenas utilizan la misma curva secp256k1 .

La razón es la abstracción de cuentas a la inversa . El modelo UTXO de Bitcoin , particularmente después de Taproot , admite direcciones derivadas de un hash de la clave pública — lo que significa que la clave pública solo se revela al momento de gastar . Un usuario que nunca reutiliza una dirección tiene una ventana de exposición de un solo intento medida en los segundos transcurridos entre la difusión y la confirmación . Los fondos depositados en direcciones no gastadas e intocadas son seguros desde el punto de vista cuántico por construcción .

Ethereum no tiene tal propiedad . En el momento en que una EOA firma su primera transacción , su clave pública queda en la cadena para siempre . No existe un patrón de " dirección fresca " que la oculte . Una billetera que ha transaccionado incluso una sola vez es un objetivo estático cuya vulnerabilidad no disminuye con el tiempo . Los 20,5 millones de ETH en las 1.000 billeteras principales no solo están teóricamente expuestos — están marcados permanentemente en un libro mayor público a la espera de una máquina lo suficientemente potente .

Peor aún , Ethereum no puede rotar claves sin abandonar la cuenta . Enviar fondos a una nueva dirección crea una nueva cuenta con una nueva clave pública , pero cualquier cosa asociada con la dirección antigua — nombres ENS , permisos de contratos , posiciones de adquisición de derechos ( vesting ) , listas de permitidos de gobernanza — no se mueve con los fondos . El costo de la migración no es solo el gas para mover los tokens ; es el costo de deshacer cada relación que la dirección antigua ha acumulado .

El plazo de 2029 y la hoja de ruta multi - fork de Ethereum

En paralelo con el artículo de Google , la Fundación Ethereum lanzó pq.ethereum.org en marzo de 2026 como el centro canónico para la investigación post - cuántica , la hoja de ruta , los repositorios de clientes de código abierto y los resultados semanales de la red de desarrollo ( devnet ) . Más de 10 equipos de clientes están ejecutando actualmente redes de desarrollo de interoperabilidad enfocadas en primitivas post - cuánticas , y la comunidad ha convergido en el objetivo de completar las actualizaciones de la capa del protocolo L1 para 2029 — el mismo año que Google ha fijado para migrar sus propios servicios de autenticación fuera de ECDSA .

La hoja de ruta se divide en cuatro próximas bifurcaciones ( hard forks ) en lugar de una única gran bifurcación . Aproximadamente :

• Fork 1 — Registro de claves post - cuánticas . Un registro nativo que permite a las cuentas publicar una clave pública post - cuántica junto con su clave ECDSA , lo que permite la co - firma PQ opcional sin romper las herramientas existentes .
• Fork 2 — Hooks de abstracción de cuentas . Basándose en la abstracción " Frame Transaction " de EIP - 8141 , las cuentas pueden especificar una lógica de validación que ya no asuma ECDSA , proporcionando una rampa de salida nativa hacia esquemas basados en redes ( lattice - based ) como ML - DSA ( Dilithium ) o SLH - DSA ( SPHINCS+ ) basado en hash .
• Fork 3 — Consenso PQ . Las firmas BLS de los validadores se reemplazan por un esquema de agregación post - cuántico , el mayor esfuerzo de ingeniería en toda la hoja de ruta debido a las implicaciones del tamaño de la firma para la propagación de bloques .
• Fork 4 — Disponibilidad de datos PQ . Una nueva configuración de confianza ( trusted setup ) o configuración transparente para compromisos de blobs que no dependa de suposiciones de ECC , cerrando el vector de falsificación histórica .

Vitalik Buterin señaló la urgencia a finales de febrero de 2026 cuando escribió que " las firmas de los validadores , el almacenamiento de datos , las cuentas y las pruebas deben actualizarse " — nombrando las cuatro bifurcaciones en una sola oración y admitiendo implícitamente que las actualizaciones fragmentadas no serán suficientes .

El desafío no es la criptografía . El NIST ya ha estandarizado ML - KEM , ML - DSA y SLH - DSA . El desafío es implementar esas primitivas en una red en vivo de más de $ 300B + sin romper miles de dapps que tienen codificadas las suposiciones de ECDSA , y sin dejar miles de millones de dólares de ETH inactivo varados en billeteras cuyos propietarios nunca migren .

El dilema de congelar o ser robado

Tanto Ethereum como Bitcoin se enfrentan a una cuestión de gobernanza que ninguna hoja de ruta puramente técnica resuelve : ¿ qué sucede con las monedas en direcciones vulnerables cuyos propietarios nunca migran ?

Las propias preguntas frecuentes ( FAQ ) de la Fundación Ethereum plantean la elección en términos claros : no hacer nada o congelar . No hacer nada significa que en el Día Q , un atacante vaciará cada dirección inactiva con una clave pública conocida — incluidas las billeteras de la era del génesis , los compradores de la ICO heredada , los poseedores de claves perdidas y una parte significativa de las propias contribuciones históricas de Vitalik a la financiación de bienes públicos . Congelar significa una acción de consenso social para invalidar los retiros de cualquier dirección que no haya migrado antes de una fecha límite .

El BIP 361 de Bitcoin , " Post Quantum Migration and Legacy Signature Sunset " , presenta el mismo trilema en un marco de tres fases . El coautor Ethan Heilman ha estimado públicamente que una migración completa de Bitcoin a un esquema de firma resistente al cuanto tomaría siete años desde el día en que se forme un consenso general — lo que significa que el BIP 361 debe fusionarse sustancialmente en 2026 para alcanzar el horizonte de 2033 , y probablemente mucho antes para alcanzar 2029 .

Ninguna de las dos cadenas tiene precedentes de invalidación masiva de monedas . Ethereum sí revirtió el hack de la DAO en 2016 , pero fue una reversión de un solo evento , no la congelación deliberada de millones de billeteras no relacionadas basada en su postura criptográfica . La decisión se leerá inevitablemente como un referéndum sobre si el compromiso más profundo de la cadena es la inmutabilidad o la solvencia .

Lo que esto significa para los desarrolladores en este momento

La fecha límite de 2029 puede parecer cómodamente lejana, pero las decisiones que determinan si un proyecto está preparado o en apuros se toman en 2026 y 2027. Algunas implicaciones prácticas surgen de inmediato.

Los arquitectos de contratos inteligentes deben auditar las suposiciones de ECDSA. Cualquier contrato que codifique de forma fija ecrecover, incluya una dirección de firmante inmutable o dependa de claves de proponente firmadas por EOA necesita una vía de actualización. Los contratos desplegados sin claves de administrador hoy parecen elegantes; en un mundo post - cuántico, podrían parecer irrecuperables.

Los custodios deben comenzar con la higiene de rotación de claves ahora. Un proveedor de custodia con miles de millones bajo gestión no puede rotar cada billetera en un solo fin de semana del Día Q. La rotación, la segregación por nivel de exposición y el almacenamiento en frío preparado para PQ preposicionado son problemas de 2026, no de 2028.

Los operadores de puentes (bridges) enfrentan la mayor urgencia. Los puentes concentran el valor detrás de un pequeño número de claves multisig. El primer ataque cuántico económicamente racional no tendrá como objetivo una billetera elegida al azar; tendrá como objetivo la clave individual más valiosa del ecosistema. Los puentes deberían ser los primeros en implementar la firma híbrida PQ + ECDSA.

Los equipos de aplicaciones deben seguir la hoja de ruta de las cuatro bifurcaciones. Cada hard fork de Ethereum en la secuencia PQ introducirá nuevos tipos de transacciones y semánticas de validación. Las billeteras, indexadores, exploradores de bloques y operadores de nodos que se queden atrás en la ventana de actualización se degradarán con elegancia si lo planearon y fallarán catastróficamente si no lo hicieron.

BlockEden.xyz opera infraestructura de indexación y RPC de producción en Ethereum, Sui, Aptos y una docena de otras cadenas, y realiza un seguimiento de la hoja de ruta de migración post - cuántica de cada red para que los desarrolladores de aplicaciones no tengan que hacerlo. Explore nuestro mercado de APIs para construir sobre una infraestructura diseñada para sobrevivir a la próxima década de transiciones criptográficas, no solo a la actual.

La revolución silenciosa en el modelado de amenazas

La contribución más profunda del documento de Google puede ser sociológica más que técnica. Durante diez años, "resistente a la computación cuántica" fue una afirmación de marketing que se aplicaba principalmente a proyectos que nadie utilizaba. Las cadenas serias trataron la migración PQ como un problema para la próxima generación de investigadores. Las 57 páginas de Google, Justin Drake y Dan Boneh cambiaron esa postura en una sola publicación.

Tres artículos sobre criptografía cuántica han aterrizado en tres meses. Se ha formado un consenso de que la brecha de recursos entre el hardware cuántico actual y una máquina criptográficamente relevante se está cerrando más rápido que la brecha entre los protocolos de cadena actuales y la preparación post - cuántica. La intersección de esas dos curvas — en algún momento entre 2029 y 2032, dependiendo de qué estimación resulte correcta — es la fecha límite más importante a la que se ha enfrentado jamás la infraestructura cripto.

Las cadenas que traten 2026 como un año para el trabajo de ingeniería serio, y no para una vaga tranquilidad, seguirán en pie al otro lado. Las que esperen al primer titular sobre una billetera de Vitalik robada no tendrán tiempo de reaccionar.

Fuentes

• Google advierte que cinco rutas de ataque cuántico podrían poner en riesgo $ 100 mil millones en Ethereum — CoinDesk
• Protección de las criptomonedas de curva elíptica contra las vulnerabilidades cuánticas — Google Quantum AI
• El Día Q está más cerca: tres artículos en tres meses están reescribiendo la línea de tiempo de la amenaza cuántica — The Quantum Insider
• El libro blanco de Google revela que la exposición cuántica de Ethereum es más profunda que la de Bitcoin — Unchained
• Atención desarrolladores de Bitcoin. Google dice que la migración post - cuántica debe ocurrir para 2029 — CoinDesk
• El plan de migración cuántica de Bitcoin obliga a la red a elegir entre monedas congeladas y robadas — CryptoSlate
• Salvaguardar las criptomonedas mediante la divulgación responsable de las vulnerabilidades cuánticas — Google Research
• Google: La computación cuántica podría vulnerar las 1,000 billeteras principales de ETH en días — CryptoPotato