El mito del "cifrado roto": Por qué Bitcoin enfrenta un desafío de logaritmo cuántico, no una amenaza inmediata de encriptación

Durante años, la narrativa ha sido alarmista: “Los ordenadores cuánticos romperán el cifrado de Bitcoin”. Pero esta afirmación popular contiene un error conceptual fundamental. Bitcoin nunca ha dependido del cifrado para proteger sus fondos. Lo que realmente está bajo escrutinio son las firmas digitales, y específicamente, la posibilidad de que máquinas cuánticas puedan resolver el problema del logaritmo discreto de curva elíptica mucho más rápido que los ordenadores clásicos.

La confusión terminológica: Cifrado vs. Firmas Digitales

La blockchain de Bitcoin es un libro mayor completamente público. No hay secretos cifrados almacenados en la cadena, no hay información oculta que proteger mediante encriptación. Cada transacción, cada dirección, cada cantidad está visible para todos.

Bitcoin utiliza firmas digitales —específicamente ECDSA y Schnorr— para demostrar el control sobre fondos. Cuando realizas una transacción, no estás descifrando nada; estás produciendo una firma matemática que prueba que posees la clave privada asociada a esa dirección. Esta es una distinción crítica que muchos comentaristas pasan por alto.

Adam Back, desarrollador de Bitcoin e inventor de Hashcash, ha sido claro al respecto. En redes sociales advirtió: “Bitcoin no utiliza cifrado. Asegúrate de conocer lo básico o será evidente que no sabes de qué hablas.” La confusión surge porque la gente equipara “seguridad criptográfica” con “encriptación”, cuando en realidad se refieren a problemas matemáticos completamente diferentes.

El verdadero vector de ataque: La exposición de claves públicas

Si un ordenador cuántico lo suficientemente potente llegara a existir, su arma no sería descifrar mensajes. Sería resolver el logaritmo discreto de la criptografía de curva elíptica, permitiendo que un atacante derive una clave privada a partir de una clave pública expuesta en la cadena.

Aquí está el detalle crucial: no todas las direcciones de Bitcoin exponen sus claves públicas de la misma manera.

Muchas direcciones Bitcoin se comprometen únicamente con un hash de la clave pública. La clave pública raw no se revela hasta que se gasta esa salida. Esto crea una ventana temporal limitada donde un atacante tendría la oportunidad de calcular la clave privada y publicar una transacción conflictiva.

Otros formatos de script, sin embargo, exponen la clave pública más temprano. Y si reutilizas una dirección, esa exposición se convierte en un objetivo permanente. Project Eleven, un análisis de código abierto, identifica y mapea exactamente qué outputs mantienen claves públicas visibles y cuáles están protegidas bajo hashes.

Midiendo el riesgo: 6.7 millones de BTC potencialmente vulnerables

Aunque los ordenadores cuánticos criptográficamente relevantes no existen aún, el riesgo es completamente medible en la actualidad. Project Eleven ejecuta escaneos semanales automatizados identificando todas las direcciones de Bitcoin con claves públicas expuestas en la cadena.

El resultado: aproximadamente 6.7 millones de BTC cumplen los criterios de exposición cuántica. Eso no significa que estos fondos estén en peligro hoy, sino que son susceptibles si la tecnología cuántica evoluciona lo suficiente.

Para poner en perspectiva los requisitos computacionales: resolver el logaritmo discreto de 256 bits (usado en Bitcoin) requiere, según estimaciones académicas, alrededor de 2,330 qubits lógicos. El problema es que convertir qubits lógicos en máquinas que corrijan errores y ejecuten circuitos profundos introduce una sobrecarga masiva de qubits físicos.

Las estimaciones varían según la arquitectura:

• 10 minutos: aproximadamente 6.9 millones de qubits físicos
• 1 día: aproximadamente 13 millones de qubits físicos
• 1 hora: aproximadamente 317 millones de qubits físicos

IBM recientemente comunicó una hoja de ruta hacia un sistema tolerante a fallos alrededor de 2029, aunque los componentes de corrección de errores siguen siendo el principal cuello de botella.

Taproot cambió la ecuación, pero solo para el futuro

La actualización de Taproot (P2TR) modificó cómo se exponen las claves públicas por defecto. Las salidas Taproot incluyen directamente una clave pública de 32 bytes en el programa de salida, en lugar de un hash.

Esto no crea una vulnerabilidad cuántica hoy, pero cambia el panorama de exposición si la recuperación de claves basada en logaritmo cuántico llegara a ser factible. Significa que la población de direcciones “vulnerables a lo cuántico” continuará creciendo automáticamente con cada nueva transacción que use Taproot, a menos que se implemente resistencia cuántica.

El algoritmo de Grover: Una amenaza secundaria

Mientras que el algoritmo de Shor se enfoca en el logaritmo discreto (amenaza primaria), el algoritmo de Grover ofrece una aceleración cuadrática para búsqueda por fuerza bruta. Esto teóricamente afecta al hashing SHA-256.

Sin embargo, la sobrecarga cuántica y los requisitos de corrección de errores hacen que un ataque al estilo Grover contra SHA-256 sea órdenes de magnitud más costoso que resolver el logaritmo de curva elíptica. No es una prioridad de amenaza equivalente.

Las palancas están en las manos de los usuarios y los protocolos

Dado el horizonte temporal realista, el riesgo cuántico es fundamentalmente un desafío de migración, no una emergencia inmediata. Las palancas disponibles están distribuidas entre varios niveles:

A nivel de usuario:

• Evitar reutilizar direcciones reduce la ventana de exposición permanente
• Usar carteras que minimicen la exposición de claves públicas
• Migrar hacia scripts resistentes a lo cuántico cuando estén disponibles

A nivel de protocolo:

• BIP 360 propone un nuevo tipo de output “Pay to Quantum Resistant Hash”
• Propuestas como qbip.org abogan por retiros de firmas heredadas para forzar migración incentivada
• La estandarización NIST de primitivas post-cuánticas (ML-KEM FIPS 203) proporciona componentes de construcción

A nivel de infraestructura: Las firmas post-cuánticas típicamente tienen un tamaño de kilobytes, comparadas con los decenas de bytes de las firmas actuales. Eso cambiaría la economía de peso de transacciones y las comisiones, pero es un problema de ingeniería solucionable, no de seguridad fundamental.

El calendario realista: Infraestructura, no emergencia

La distinción correcta es que Bitcoin no está bajo una amenaza cuántica inmediata, pero tampoco puede ignorar el riesgo indefinidamente. Los elementos que importan hoy son:

1. Cuánta parte del UTXO tiene claves públicas expuestas (medible: 6.7M BTC)
2. Cómo evolucionan los comportamientos de carteras en respuesta a esa exposición
3. Qué tan rápido puede la red adoptar estándares post-cuánticos sin comprometer validación y mercados de comisiones

Reencuadrar “la computación cuántica rompe el cifrado de Bitcoin” como “la computación cuántica podría permitir la falsificación de firmas si es que ocurre, lo cual requiere una migración de protocolo gestionada” es más preciso y útil.

Bitcoin ha enfrentado cambios de protocolo antes. Esta será una migración técnica planificada, no una crisis de seguridad sorpresiva. Y a diferencia de otros sistemas, la exposición es completamente rastreable, cuantificable y mitigable incluso hoy.