Riesgos cuánticos: en Chaincode Labs evaluaron la amenaza para Bitcoin

Los especialistas de la organización de investigación Chaincode Labs han publicado un informe detallado sobre las amenazas potenciales que representan los computadoras cuánticos para Bitcoin. El documento de 55 páginas fue preparado por los doctores Anthony Milton y Clara Schickelman en mayo de 2025.

Cuántos bitcoins están en peligro

Según las estimaciones de los autores, entre el 20% y el 50% de todos los bitcoins en circulación (4-10 millones de BTC) son potencialmente vulnerables a ataques utilizando computadoras cuánticas criptográficamente relevantes (Computadora cuántica criptográficamente relevante, CRQC).

La estimación más precisa de Project Eleven del 17 de enero de 2025 indica 6 262 905 BTC. Los fondos se distribuyen de la siguiente manera:

• bitcoins de la era de Satoshi — entre 600,000 y 1.1 millones de BTC permanecen en direcciones tipo P2PK con claves públicas completamente reveladas;
• monedas perdidas — de 2 a 3 millones de BTC pertenecen a usuarios que han perdido el acceso a las claves privadas. No todas son vulnerables a la computación cuántica, pero una parte significativa está en riesgo;
• direcciones con claves expuestas — millones de bitcoins se encuentran en direcciones donde las claves públicas han sido expuestas debido a su reutilización.

Los investigadores prestaron especial atención a la concentración de fondos en las direcciones de intercambio. Algunas de ellas contienen cientos de miles de bitcoins, lo que las convierte en objetivos prioritarios para posibles ataques cuánticos.

«En cuanto a los activos con claves públicas abiertas, muchos grandes titulares, incluidas las bolsas y los custodios institucionales, históricamente han gestionado sus almacenes fríos, reutilizando direcciones por razones de simplicidad operativa. […]

Como resultado, se forma una lista de objetivos económicamente prioritaria para posibles atacantes cuánticos: hackear tales direcciones puede proporcionar el máximo retorno por los esfuerzos invertidos», se indica en el informe.

¿Cuándo esperar el «Día Q»?

En 2024, la organización canadiense Global Risk Institute realizó una encuesta a 32 destacados expertos del ámbito académico. Casi un tercio de los encuestados (10 de 32) considera que la probabilidad de que aparezca un CRQC en los próximos 10 años es del 50% o más.

Los autores del informe señalaron las iniciativas gubernamentales que confirman la gravedad de la amenaza:

• EE. UU. La nota nacional de seguridad del presidente Joe Biden de mayo de 2022 establece el objetivo de "mitigar los posibles riesgos cuánticos para 2035". NIST ha establecido el año 2030 como la fecha límite para abandonar RSA-2048 y ECC-256, con una prohibición total para 2035;
• Reino Unido.* El Centro Nacional de Seguridad Cibernética ha publicado un plan de migración en tres fases: identificación de sistemas vulnerables hasta 2028, actualizaciones prioritarias de 2028 a 2031, migración completa de 2031 a 2035;
• Unión Europea. ETSI coordina el enfoque a través del grupo de trabajo de Criptografía Cuántica Segura, aunque aún no se han establecido plazos específicos;
• China. En lugar de adoptar los estándares NIST, China lanzó en febrero de 2025 su propio programa "Algoritmos criptográficos de próxima generación para uso comercial" a través del Instituto de Estándares de Criptografía Comercial. Los plazos específicos para la implementación del programa no se han anunciado públicamente.

Los investigadores también señalaron un avance acelerado en el campo de la computación cuántica. En diciembre de 2024, Google presentó el procesador Willow con 105 qubits físicos, alcanzando un hito importante en la corrección de errores cuánticos. Microsoft presentó en febrero de 2025 el Majorana 1, el primer procesador cuántico basado en qubits topológicos.

Dos tipos de ataques cuánticos

Las computadoras cuánticas amenazan al bitcoin al romper la criptografía elíptica mediante el algoritmo de Shor. Este algoritmo puede calcular la clave privada a partir de la clave pública en cuestión de horas o días, en lugar de los cuatrillones de años que requieren las computadoras clásicas.

Los ataques a largo plazo están dirigidos a tres tipos de scripts con claves públicas conocidas:

• Pay to Public Key (P2PK) — el tipo más antiguo, utilizado para las primeras recompensas por minería. Representa el 0,025% de UTXO, pero contiene el 8,68% de la oferta de bitcoin;
• Pagar a MultiSig (P2MS) — "multifirma cruda", introducida en 2011. Cubre el 1,037% de UTXO con aproximadamente 57 BTC;
• Pay to Taproot (P2TR): introducido en 2021, representa el 32,5% de UTXO con un suministro del 0,74% (146.715 BTC).

Los ataques a corto plazo afectan todas las transacciones, pero ocurren en una ventana de tiempo estrecha, cuando el usuario revela la clave pública en el mempool ( antes de la confirmación ).

Quemar o dejar

La pregunta sobre el destino de los activos cuánticamente vulnerables ya ha dividido a la comunidad en dos campos.

Los defensores de la "quema" liderados por Jameson Lopp afirman que la eliminación de monedas vulnerables preservará la integridad del bitcoin. Según ellos, permitir que las computadoras cuánticas tomen fondos es equivalente a redistribuir la riqueza de aquellos que han perdido el acceso a los bitcoins hacia aquellos que ganen la carrera tecnológica por las computadoras cuánticas.

Lopp comparó la vulnerabilidad cuántica con un error a nivel de protocolo que necesita ser corregido. La quema asegurará certeza y limitará la volatilidad del mercado.

Los opositores ven en la quema una confiscación y una violación del derecho de propiedad de los propietarios de monedas. En su opinión, el bitcoin fue creado como un sistema donde los usuarios mantienen plena soberanía sobre sus fondos con la posibilidad de acceder a ellos en cualquier momento.

Un cambio que hace que ciertos UTXO sean permanentemente inaccesibles representa una intervención de un tercero, contra la cual se creó Bitcoin. Esto se convertirá en una confiscación de hecho para los propietarios que, por alguna razón, simplemente no conocen la amenaza cuántica o no podrán transferir sus monedas a direcciones resistentes a la cuántica a tiempo.

La decisión afectará el suministro total de bitcoin (в caso de сжигания) o conducirá a una redistribución masiva de la riqueza (в caso de "robo cuántico ) También hay preguntas legales sobre la posible responsabilidad de los desarrolladores y los miembros de la comunidad por cualquier decisión que tomen.

Soluciones sugeridas

Los desarrolladores están considerando varios enfoques para la protección cuántica, cada uno con sus propias ventajas y compromisos.

OP_CAT en Tapscript (BIP-347). Ethan Heilman y Armin Saburi propusieron devolver el opcode OP_CAT, deshabilitado por Satoshi en 2010. Esto permitirá crear firmas de Lamport: firmas basadas en hash, resistentes a ataques cuánticos.

QuBit (BIP-360). El desarrollador bajo el seudónimo de Hunter Beast presentó la propuesta más elaborada después de meses de discusiones. P2QRH introduce un nuevo tipo de salidas utilizando el algoritmo FALCON aprobado por NIST, así como CRYSTALS-Dilithium y SPHINCS+.

Scripts Taproot protegidos cuánticamente. Matt Corallo propuso agregar el opcode OP_SPHINCS para la verificación de firmas postcuánticas. Esto permitirá a las billeteras crear salidas Taproot con un camino de gasto protegido cuánticamente. Luke Dash - Junior señaló que las billeteras pueden comenzar la implementación tan pronto como se finalice la especificación, sin esperar la activación de la bifurcación suave.

Compresión de firmas a través de STARK. Ethan Heilman propuso agregar firmas postcuánticas en una única prueba STARK compacta. Esto puede aumentar la capacidad de Bitcoin mientras mejora la privacidad.

Estrategia de transición

Los autores del informe propusieron un enfoque de dos etapas, reconociendo la incertidumbre en los plazos de la amenaza cuántica.

• medidas a corto plazo (dos años) — creación de una solución mínima viable para uso de emergencia;
• El plan a largo plazo (семь лет) es desarrollar un protocolo óptimo resistente a la cuántica. Basado en precedentes históricos: SegWit (8.5 años desde el concepto hasta принятия) y Taproot (7.5 лет).

Según sus estimaciones, la migración de todos los UTXO a direcciones cuánticamente seguras tomará entre 76 y 568 días, dependiendo del espacio disponible en los bloques.

Minería protegida

Las computadoras cuánticas probablemente no interrumpirán la minería de bitcoin en un futuro cercano debido a limitaciones fundamentales.

«A diferencia de los ataques cuánticos a las firmas digitales, la minería cuántica se ve obligada a competir con la minería clásica. En el caso de las firmas de Bitcoin basadas en curvas elípticas, cuando las computadoras cuánticas alcancen un nivel de desarrollo suficiente, una máquina (CRQC) podrá comprometer los fondos al romper la criptografía utilizada. La minería cuántica, por el contrario, requerirá una gran cantidad de máquinas cuánticas rápidas para igualar el rendimiento de los modernos ASIC. A diferencia de la minería clásica, la minería cuántica es difícil de paralelizar, lo que dificulta significativamente su escalabilidad y la hace mucho menos eficiente en la práctica», dice el informe.

Qué hacer con los tenedores

Los investigadores recomiendan:

• dejar de reutilizar direcciones;
• transferir fondos de tipos de scripts vulnerables (P2PK, P2MS, P2TR) a tipos más seguros (P2PKH, P2SH, P2WPKH, P2WSH);
• las bolsas deben modificar sus enfoques para la gestión de billeteras frías para minimizar los riesgos cuánticos.

El informe destaca: aunque la amenaza cuántica no es relevante en este momento, la ventana para la preparación se estrechará a medida que avance la tecnología. Las acciones proactivas hoy son necesarias para la supervivencia a largo plazo de Bitcoin.

Anteriormente, Project Eleven ofreció 1 BTC por un hackeo cuántico de la criptografía de Bitcoin.