¿Qué es el día Q? Explicación de la amenaza cuántica a Bitcoin

Las computadoras cuánticas no pueden romper el cifrado de Bitcoin hoy en día, pero nuevos avances de Google e IBM sugieren que la brecha se está cerrando más rápido de lo esperado. Su progreso hacia sistemas cuánticos tolerantes a fallas aumenta las apuestas para el “Día Q”, el momento en que una máquina lo suficientemente poderosa podría descifrar direcciones de Bitcoin más antiguas y exponer más de $711 mil millones en carteras vulnerables.

Actualizar Bitcoin a un estado poscuántico llevará años, lo que significa que el trabajo debe comenzar mucho antes de que llegue la amenaza. El desafío, dicen los expertos, es que nadie sabe cuándo será eso, y la comunidad ha luchado por ponerse de acuerdo sobre la mejor manera de seguir adelante con un plan.

Esta incertidumbre ha llevado a un temor persistente de que una computadora cuántica que pueda atacar Bitcoin pueda conectarse antes de que la red esté lista.

En este artículo, analizaremos la amenaza cuántica para Bitcoin y lo que debe cambiar para que la cadena de bloques número uno esté lista.

Cómo funcionaría un ataque cuántico

Un ataque exitoso no parecería dramático. Un ladrón con capacidad cuántica comenzaría escaneando la cadena de bloques en busca de cualquier dirección que alguna vez haya revelado una clave pública. Las billeteras viejas, las direcciones reutilizadas, los primeros resultados de los mineros y muchas cuentas inactivas entran en esa categoría.

El atacante copia una clave pública y la ejecuta a través de una computadora cuántica utilizando el algoritmo de Shor. Desarrollado en 1994 por el matemático Peter Shor, el algoritmo le da a una máquina cuántica la capacidad de factorizar números grandes y resolver el problema de logaritmos discretos de manera mucho más eficiente que cualquier computadora clásica. Bitcoins curva elíptica las firmas dependen de la dificultad de esos problemas. Con suficientes qubits con corrección de errores, una computadora cuántica podría usar el método de Shor para calcular la clave privada vinculada a la clave pública expuesta.

Como dijo Justin Thaler, socio de investigación de Andreessen Horowitz y profesor asociado de la Universidad de Georgetown Descifraruna vez recuperada la clave privada, el atacante puede mover las monedas.

“Lo que una computadora cuántica podría hacer, y esto es lo relevante para Bitcoin, es falsificar las firmas digitales que Bitcoin usa hoy”, dijo Thaler. “Alguien con una computadora cuántica podría autorizar una transacción sacando todo el Bitcoin de sus cuentas, o como quiera pensarlo, cuando usted no lo autorizó. Esa es la preocupación”.

La firma falsificada parecería real para la red Bitcoin. Los nodos lo aceptarían, los mineros lo incluirían en un bloque y nada en la cadena marcaría la transacción como sospechosa. Si un atacante ataca a un gran grupo de direcciones expuestas a la vez, miles de millones de dólares podrían moverse en cuestión de minutos. Los mercados empezarían a reaccionar antes de que alguien confirmara que se estaba produciendo un ataque cuántico.

Cuál será la situación de la computación cuántica en 2025

En 2025, la computación cuántica finalmente comenzó a parecer menos teórica y más práctica.

• Enero de 2025: el chip Willow de 105 qubits de Google mostró una fuerte reducción de errores y un punto de referencia más allá de las supercomputadoras clásicas.
• Febrero de 2025: Microsoft lanzó su Mayorana 1 plataforma e informó un entrelazamiento récord de qubits lógicos con Atom Computing.
• Abril de 2025: NIST amplió la coherencia del qubit superconductor a 0,6 milisegundos.
• Junio ​​de 2025: IBM fijó objetivos de 200 qubits lógicos para 2029 y más de 1.000 a principios de la década de 2030.
• Octubre de 2025: IBM entrelazó 120 qubits; Google confirmó una aceleración cuántica verificada.
• Noviembre de 2025: IBM anunció nuevos chips y software destinados a lograr una ventaja cuántica en 2026 y sistemas tolerantes a fallas para 2029.

Por qué Bitcoin se ha vuelto vulnerable

Las firmas de Bitcoin utilizan criptografía de curva elíptica. El gasto desde una dirección revela la clave pública detrás de ella, y esa exposición es permanente. En el formato inicial de pago por clave pública de Bitcoin, muchas direcciones publicaban sus claves públicas en la cadena incluso antes del primer gasto. Los formatos posteriores de hash de clave pública mantuvieron la clave oculta hasta el primer uso.

Debido a que sus claves públicas nunca estuvieron ocultas, estas monedas más antiguas, incluido aproximadamente 1 millón de Bitcoin de la era Satoshi, están expuestas a futuros ataques cuánticos. El cambio a firmas digitales poscuánticas, afirmó Thaler, requiere una participación activa.

“Para que Satoshi proteja sus monedas, tendrían que trasladarlas a nuevas carteras post-cuánticas seguras”, dijo. “La mayor preocupación son las monedas abandonadas, con un valor aproximado de 180 mil millones de dólares, incluidos aproximadamente 100 mil millones de dólares que se cree que son de Satoshi. Esas son sumas enormes, pero están abandonadas, y ese es el riesgo real”.

Al riesgo se suman las monedas vinculadas a claves privadas perdidas. Muchos han permanecido intactos durante más de una década, y sin esas claves, nunca podrán trasladarse a billeteras resistentes a los cuánticos, lo que los convierte en objetivos viables para una futura computadora cuántica.

Nadie puede congelar Bitcoin directamente en la cadena. Las defensas prácticas contra futuras amenazas cuánticas se centran en migrar fondos vulnerables, adoptar direcciones poscuánticas o gestionar los riesgos existentes.

Sin embargo, Thaler señaló que los esquemas de firma digital y cifrado poscuántico conllevan costos de rendimiento elevados, ya que son mucho más grandes y consumen más recursos que las firmas ligeras de 64 bytes actuales.

“Las firmas digitales actuales tienen alrededor de 64 bytes. Las versiones poscuánticas pueden ser de 10 a 100 veces más grandes”, afirmó. “En una cadena de bloques, ese aumento de tamaño es un problema mucho mayor porque cada nodo debe almacenar esas firmas para siempre. Administrar ese costo, el tamaño literal de los datos, es mucho más difícil aquí que en otros sistemas”.

Caminos hacia la protección

Los desarrolladores han presentado varias propuestas de mejora de Bitcoin para prepararse para futuros ataques cuánticos. Toman diferentes caminos, desde protecciones opcionales ligeras hasta migraciones completas de red.

• BIP-360 (P2QRH): Crea nuevas direcciones “bc1r…” que combinan las firmas de curva elíptica actuales con esquemas poscuánticos como ML-DSA o SLH-DSA. Ofrece seguridad híbrida sin bifurcación, pero las firmas más grandes significan tarifas más altas.
• Raíz principal segura cuántica: Agrega una rama post-cuántica oculta a Taproot. Si los ataques cuánticos se vuelven realistas, los mineros podrían realizar una bifurcación suave para requerir la rama poscuántica, mientras que los usuarios operan normalmente hasta entonces.
• Protocolo de migración de direcciones resistente a Quantum (QRAMP): un plan de migración obligatorio que traslada los UTXO vulnerables a direcciones cuánticas seguras, probablemente a través de una bifurcación dura.
• Pagar para Taproot Hash (P2TRH): reemplaza las claves Taproot visibles con versiones con doble hash, lo que limita la ventana de exposición sin nueva criptografía ni romper la compatibilidad.
• Compresión de transacciones no interactivas (NTC) a través de STARK: Utiliza pruebas de conocimiento cero para comprimir grandes firmas poscuánticas en una única prueba por bloque, lo que reduce los costos de almacenamiento y tarifas.
• Esquemas de compromiso-revelación: Confíe en los compromisos hash publicados antes de cualquier amenaza cuántica.
  • Los UTXO auxiliares adjuntan pequeñas salidas poscuánticas para proteger los gastos.
  • Las transacciones de “píldora venenosa” permiten a los usuarios publicar previamente rutas de recuperación.
  • Las variantes del estilo Fawkescoin permanecen inactivas hasta que se demuestre una computadora cuántica real.

En conjunto, estas propuestas esbozan un camino paso a paso hacia la seguridad cuántica: soluciones rápidas y de bajo impacto como P2TRH ahora, y actualizaciones más importantes como BIP-360 o compresión basada en STARK a medida que crece el riesgo. Todos ellos necesitarían una amplia coordinación, y muchos de los formatos de direcciones y esquemas de firma poscuánticos aún se encuentran en las primeras etapas de discusión.

Thaler señaló que la descentralización de Bitcoin, su mayor fortaleza, también hace que las actualizaciones importantes sean lentas y difíciles, ya que cualquier nuevo esquema de firma necesitaría un amplio acuerdo entre mineros, desarrolladores y usuarios.

“Dos problemas importantes se destacan para Bitcoin. Primero, las actualizaciones toman mucho tiempo, si es que suceden. Segundo, están las monedas abandonadas. Cualquier migración a firmas poscuánticas tiene que estar activa, y los propietarios de esas viejas billeteras ya no están”, dijo Thaler. “La comunidad debe decidir qué les sucede: aceptar retirarlas de la circulación o no hacer nada y dejar que los atacantes equipados con tecnología cuántica se las lleven. Ese segundo camino sería legalmente gris, y a quienes se apoderen de las monedas probablemente no les importaría”.

La mayoría de los poseedores de Bitcoin no necesitan hacer nada de inmediato. Algunos hábitos contribuyen en gran medida a reducir el riesgo a largo plazo, incluido evitar la reutilización de direcciones para que su clave pública permanezca oculta hasta que gaste y seguir con formatos de billetera modernos.

Las computadoras cuánticas de hoy no están ni cerca de romper Bitcoin, y las predicciones sobre cuándo variarán enormemente. Algunos investigadores ven una amenaza en el próximo cinco añosotros lo empujan hacia el 2030pero las inversiones continuas podrían acelerar el cronograma.