Computación cuántica y criptomonedas: amenazas y soluciones

La computación cuántica representa la amenaza criptográfica de largo plazo más significativa para las criptomonedas. Aunque las computadoras cuánticas actuales son demasiado pequeñas y propensas a errores para romper la criptografía que protege Bitcoin y otras blockchains, la tecnología avanza con rapidez. Comprender la naturaleza de la amenaza, los plazos realistas y las defensas en desarrollo es esencial para cualquiera que tome decisiones de almacenamiento de criptomonedas a largo plazo.

Esta guía ofrece una evaluación técnicamente fundamentada de las implicaciones de la computación cuántica para la seguridad de las criptomonedas: qué está realmente en riesgo, qué no lo está y qué medidas puedes tomar hoy.

Fundamentos de la computación cuántica

Computación clásica vs. cuántica

Las computadoras clásicas procesan información como bits: cada bit es 0 o 1. Las computadoras cuánticas usan qubits, que pueden existir en superposición de 0 y 1 simultáneamente. Cuando los qubits están entrelazados, las operaciones sobre un qubit pueden afectar a otros, lo que permite realizar ciertos cálculos exponencialmente más rápido que cualquier enfoque clásico.

Matiz importante: las computadoras cuánticas no son universalmente más rápidas que las clásicas. Solo ofrecen aceleraciones para tipos específicos de problemas que tienen algoritmos cuánticos. Muchas tareas computacionales no obtienen beneficio de la computación cuántica.

Los problemas que importan para cripto

Dos algoritmos cuánticos son relevantes para las criptomonedas:

1. Algoritmo de Shor — Resuelve eficientemente los problemas de factorización entera y logaritmo discreto. Esto amenaza directamente la criptografía de curva elíptica (ECDSA, Schnorr) usada para firmar transacciones de criptomonedas.

2. Algoritmo de Grover — Proporciona una aceleración cuadrática para buscar en bases de datos no estructuradas. Esto afecta a funciones hash (SHA-256, RIPEMD-160) y al cifrado simétrico, reduciendo efectivamente a la mitad su seguridad en bits.

Qué amenazan las computadoras cuánticas

Firmas digitales de curva elíptica (ECDSA)

Bitcoin, Ethereum y la mayoría de otras criptomonedas usan ECDSA con la curva secp256k1 para firmar transacciones. La seguridad de ECDSA se basa en el problema del logaritmo discreto en curva elíptica (ECDLP): dada una clave pública (un punto de la curva), es computacionalmente inviable derivar la clave privada (el multiplicador escalar).

El algoritmo de Shor puede resolver el ECDLP eficientemente en una computadora cuántica lo suficientemente grande. Esto significa:

• Dada una clave pública, una computadora cuántica podría derivar la clave privada.
• Con la clave privada, el atacante puede falsificar firmas de transacciones y robar fondos.

Esta es la principal amenaza cuántica para las criptomonedas.

¿Cuándo se expone una clave pública?

La amenaza del algoritmo de Shor aplica solo cuando el atacante conoce la clave pública. En Bitcoin, la clave pública se expone en diferentes momentos según el tipo de dirección:

Tipo de dirección	Exposición de clave pública	Riesgo cuántico
P2PKH (Legacy, 1...)	Se expone al gastar	En riesgo después del primer gasto
P2SH (3...)	Se expone al gastar	En riesgo después del primer gasto
P2WPKH (bc1q...)	Se expone al gastar	En riesgo después del primer gasto
P2TR (Taproot, bc1p...)	Se expone en la propia dirección	En riesgo de inmediato
Pay-to-Public-Key (P2PK)	La clave pública es la dirección	En riesgo de inmediato

Idea clave: las direcciones Bitcoin que usan pay-to-public-key-hash (P2PKH, P2SH, P2WPKH) no exponen la clave pública hasta que se firma una transacción desde esa dirección. Hasta ese momento, en la blockchain solo se ve el hash de la clave pública, y el algoritmo de Shor no puede revertir un hash.

Sin embargo, una vez que gastas desde una dirección (revelando la clave pública en la transacción), la clave pública queda en la blockchain de forma permanente. Un atacante con una computadora cuántica podría entonces derivar la clave privada y robar cualquier fondo restante en esa dirección.

Las direcciones Taproot (P2TR) exponen la clave pública directamente (la dirección codifica una clave pública ajustada, no un hash). Esto significa que las direcciones Taproot son teóricamente más vulnerables al ataque cuántico que los tipos de dirección basados en hash, aunque el ajuste de clave añade una complicación menor.

Direcciones con mayor riesgo

1. Monedas de Satoshi — Bitcoin temprano usaba formato Pay-to-Public-Key (P2PK), donde la clave pública ES la dirección. Aproximadamente 1.1 millones de BTC en monedas presuntamente de Satoshi están en formato P2PK y son directamente vulnerables.

2. Direcciones reutilizadas — Cualquier dirección que se haya usado para enviar una transacción tiene su clave pública expuesta. Los fondos enviados después de ese punto son vulnerables.

3. Direcciones Taproot — La clave pública es visible en la dirección.

4. Transacciones con larga espera — Si una transacción permanece en el mempool durante un período prolongado antes de confirmarse, un atacante cuántico podría extraer la clave pública de la transacción y competir para producir una transacción conflictiva con la clave privada derivada.

Qué NO está amenazado (o está menos amenazado)

Algoritmos hash (SHA-256, RIPEMD-160)

El algoritmo de Grover proporciona una aceleración cuadrática para búsquedas de preimagen hash, reduciendo efectivamente a la mitad la seguridad en bits:

• SHA-256: la seguridad de 256 bits pasa a 128 bits frente a ataque cuántico.
• RIPEMD-160: la seguridad de 160 bits pasa a 80 bits frente a ataque cuántico.

La seguridad de 128 bits todavía se considera fuerte (requiere 2^128 operaciones), y las protecciones actuales basadas en hash no están en peligro inmediato por la computación cuántica.

Minería de Bitcoin (Proof of Work)

El algoritmo de Grover podría teóricamente proporcionar una aceleración para la minería (encontrar un nonce que produzca un hash por debajo del objetivo), pero la ventaja es solo cuadrática (raíz cuadrada), y la economía de la minería cuántica actualmente no justifica el enorme costo del hardware cuántico. El mecanismo de ajuste de dificultad también compensaría cualquier aceleración de minería.

Cifrado simétrico (AES)

El algoritmo de Grover reduce a la mitad la longitud efectiva de clave en cifrados simétricos (AES-256 pasa a ser equivalente a seguridad AES-128). AES-256 con seguridad cuántica de 128 bits sigue siendo fuerte.

Cronograma: ¿cuándo serán una amenaza las computadoras cuánticas?

Estado actual de la computación cuántica (2025)

A 2025, las computadoras cuánticas más grandes tienen aproximadamente 1,000-1,500 qubits físicos. Sin embargo, son qubits “ruidosos” con tasas de error altas. Para ejecutar el algoritmo de Shor contra secp256k1:

• Requisito estimado: aproximadamente 2,500 qubits lógicos.
• Qubits físicos necesarios: debido al sobrecoste de corrección de errores, esto requiere aproximadamente 1-20 millones de qubits físicos (según la calidad de los qubits y el esquema de corrección de errores).
• Brecha actual: estamos aproximadamente a 3-4 órdenes de magnitud de tener suficientes qubits físicos con calidad suficiente.

Estimaciones de expertos sobre plazos

Fuente	Estimación para QC criptográficamente relevante	Año
NIST	"No en la próxima década, posiblemente en las siguientes dos"	2035-2045
IBM Quantum Roadmap	100K+ qubits para 2033 (no suficiente por sí solo)	N/A
Google Quantum AI	Hitos significativos en corrección de errores para 2030	N/A
Varias estimaciones académicas	15-30 años para capacidad de romper ECDSA	2040-2055
Escenario pesimista	Un avance inesperado acelera el cronograma	2030-2035

El consenso entre criptógrafos es que la amenaza es real pero no inminente. La mayoría de estimaciones sugieren 15-30 años antes de que las computadoras cuánticas puedan romper ECDSA. Sin embargo, el progreso en computación cuántica a veces ha superado expectativas, por lo que la complacencia no está justificada.

La amenaza de “almacenar ahora, descifrar después”

Aunque hoy las computadoras cuánticas no pueden romper ECDSA, un adversario podría estar registrando todos los datos de blockchain ahora con la intención de explotarlos cuando exista capacidad cuántica. En Bitcoin, todas las claves públicas que se han expuesto alguna vez (en transacciones) quedan registradas permanentemente en la blockchain. Estos datos no pueden protegerse de forma retroactiva.

Esta estrategia de “cosechar ahora, descifrar después” significa que cualquier clave pública expuesta hoy puede ser vulnerable en 15-30 años. Para tenencias a largo plazo, esta es una amenaza relevante.

Criptografía poscuántica (PQC)

Estándares poscuánticos de NIST

NIST ha liderado un proceso de varios años para estandarizar algoritmos criptográficos poscuánticos. Los primeros estándares se finalizaron en 2024:

ML-KEM (antes CRYSTALS-Kyber)

Un mecanismo de encapsulación de claves basado en retículas (para cifrado/intercambio de claves):

• Basado en el problema Module Learning With Errors (MLWE).
• No se conoce un algoritmo cuántico eficiente para este problema.
• Tamaños de clave relativamente pequeños y operaciones rápidas.

ML-DSA (antes CRYSTALS-Dilithium)

Un esquema de firma digital basado en retículas:

• Basado en los problemas Module Learning With Errors y Short Integer Solution.
• Potencial reemplazo de ECDSA en criptomonedas.
• Los tamaños de firma son mayores que ECDSA (~2,400 bytes vs. ~72 bytes).

SLH-DSA (antes SPHINCS+)

Un esquema de firma digital basado en hash:

• Seguridad basada completamente en propiedades de funciones hash.
• Sin dependencia de estructuras matemáticas que puedan ser vulnerables a cuántica.
• Firmas muy grandes (~17,000-49,000 bytes) pero con supuestos de seguridad extremadamente conservadores.
• Útil como respaldo si se rompen los supuestos basados en retículas.

Firmas poscuánticas vs. ECDSA

Propiedad	ECDSA (secp256k1)	ML-DSA (Dilithium)	SLH-DSA (SPHINCS+)
Resistente a cuántica	No	Sí	Sí
Tamaño de clave pública	33 bytes	~1,312 bytes	~32-64 bytes
Tamaño de firma	~72 bytes	~2,420 bytes	~17,000-49,000 bytes
Velocidad de verificación	Rápida	Rápida	Más lenta
Velocidad de generación de claves	Rápida	Rápida	Moderada
Base matemática	DLP de curva elíptica	Problemas de retículas	Funciones hash

El aumento significativo del tamaño de firma es el principal desafío para su adopción en blockchain. Los bloques de Bitcoin tienen tamaño limitado, y firmas más grandes implican menos transacciones por bloque.

Implicaciones para criptomonedas específicas

Bitcoin

La respuesta de Bitcoin a la computación cuántica probablemente implicará:

1. Nuevos tipos de dirección — Un soft fork que introduzca un nuevo tipo de dirección usando firmas poscuánticas (similar a las actualizaciones SegWit o Taproot).
2. Período de migración — Los usuarios tendrían que mover fondos de direcciones antiguas (vulnerables a cuántica) a direcciones nuevas (resistentes a cuántica).
3. Agregación de firmas — Investigación para agregar firmas poscuánticas y reducir su huella en blockchain.
4. Las direcciones basadas en hash siguen siendo útiles — Direcciones P2PKH no usadas (donde la clave pública nunca se reveló) ofrecen resistencia cuántica mediante protección hash.

La comunidad de Bitcoin está debatiendo activamente propuestas poscuánticas, aunque aún no se ha fijado un cronograma de implementación específico.

Ethereum

Ethereum enfrenta desafíos similares:

• Las cuentas de Ethereum siempre exponen su clave pública tras la primera transacción (la clave pública se recupera de firmas ECDSA vía ecrecover).
• El modelo basado en cuentas de Ethereum y el patrón de reutilización de direcciones implican que la mayoría de cuentas activas tienen claves públicas expuestas.
• El mecanismo de actualización más flexible de Ethereum (hard forks) puede permitir una adopción más rápida de firmas poscuánticas.
• Los tamaños mayores de firma de PQC están menos limitados en Ethereum debido a su estructura de bloque y modelo de gas diferentes.

Vitalik Buterin ha hablado de la resistencia cuántica como una prioridad de largo plazo para Ethereum, y la abstracción de cuentas (ERC-4337) ofrece una vía para soportar esquemas de firma arbitrarios.

Otras blockchains

Algunas blockchains están abordando de forma proactiva la resistencia cuántica:

• QRL (Quantum Resistant Ledger) — Diseñada desde cero con firmas basadas en hash (XMSS).
• Algorand — Ha publicado investigación sobre integración de firmas poscuánticas.
• IOTA — Usa Winternitz One-Time Signatures (basadas en hash y resistentes a cuántica), pero con limitaciones prácticas.

Qué puedes hacer hoy

1. Usa tipos de dirección protegidos por hash

En Bitcoin, usa direcciones P2PKH, P2SH o P2WPKH (que solo exponen un hash de la clave pública) en lugar de P2TR (Taproot) si la resistencia cuántica es una prioridad. Sin embargo, una vez que gastas desde cualquier dirección, la clave pública se expone.

2. Nunca reutilices direcciones

Usa una dirección nueva para cada transacción. Una vez que gastes desde una dirección, mueve cualquier fondo restante a una dirección nueva y no usada. Esto garantiza que tu clave pública esté expuesta el menor tiempo posible. Las HD wallets (BIP-44) facilitan esto generando direcciones nuevas automáticamente.

3. Minimiza el tiempo de exposición de la clave pública

Para grandes tenencias en almacenamiento en frío, considera un flujo de trabajo donde:

1. Los fondos se reciben en una dirección cuya clave pública nunca se ha expuesto.
2. Cuando necesites gastar, mueves todos los fondos en una sola transacción (sin dejar remanente en la dirección expuesta).
3. El cambio se envía a una dirección nueva, no expuesta.

Esto minimiza la ventana durante la cual un atacante podría explotar una clave pública conocida.

4. Monitorea avances poscuánticos

Mantente informado sobre:

• El progreso de la estandarización poscuántica de NIST.
• Propuestas de actualización de protocolo de Bitcoin y Ethereum relacionadas con resistencia cuántica.
• Avances en hardware cuántico y corrección de errores.
• Posibles soft forks o hard forks que introduzcan tipos de dirección resistentes a cuántica.

Cuando haya disponibles tipos de dirección resistentes a cuántica, migra tus fondos rápidamente.

5. Considera la seguridad poscuántica de la seed phrase

Tu seed phrase en sí está protegida por hashing PBKDF2 y SHA-512, que las computadoras cuánticas no rompen eficientemente (el algoritmo de Grover solo ofrece aceleración cuadrática en hashing). Una seed phrase de 256 bits conserva seguridad de 128 bits frente a ataque cuántico, considerada suficiente.

SafeSeed Tool

El SafeSeed Seed Phrase Generator genera seed phrases de entropía de 256 bits que mantienen seguridad sólida incluso ante futuras amenazas cuánticas al hashing. Combinado con una gestión adecuada de direcciones (evitar reutilización, usar direcciones protegidas por hash), tu almacenamiento en frío basado en seed phrase puede prepararse para la era cuántica.

Conceptos erróneos comunes

“Las computadoras cuánticas romperán Bitcoin de la noche a la mañana”

Falso. Incluso cuando las computadoras cuánticas sean lo bastante potentes para ejecutar el algoritmo de Shor contra ECDSA, el ataque requiere un tiempo de cómputo significativo por clave pública y apunta a direcciones específicas vulnerables. La red Bitcoin tendría aviso previo (los hitos de computación cuántica se siguen públicamente) e implementaría actualizaciones poscuánticas antes de que la amenaza se materialice.

“Todas las criptomonedas son igual de vulnerables”

Falso. La vulnerabilidad depende de si la clave pública está expuesta. Los fondos en direcciones P2PKH no usadas están protegidos por funciones hash resistentes a ataques cuánticos. Los fondos en direcciones que ya transaccionaron (clave pública visible) son más vulnerables.

“Debemos cambiar a criptografía resistente a cuántica ahora”

No de forma urgente. Según la mayoría de estimaciones, la amenaza está a 15-30 años. Los estándares criptográficos poscuánticos aún están madurando, y una adopción prematura podría introducir nuevas vulnerabilidades (por algoritmos insuficientemente analizados). Sin embargo, la conciencia y la planificación deben empezar ahora.

“La computación cuántica vuelve inútiles las criptomonedas”

Falso. La computación cuántica es un desafío criptográfico, no una amenaza existencial. Los mismos algoritmos resistentes a cuántica que protegerán banca, comunicaciones militares y seguridad en internet protegerán las criptomonedas. Las blockchains actualizarán sus esquemas de firma, igual que han actualizado tipos de dirección y capacidades de scripting en el pasado.

“128 bits de seguridad contra cuántica no es suficiente”

Para el futuro previsible, la comunidad criptográfica considera que 128 bits de seguridad es más que suficiente. Los estándares poscuánticos de NIST están diseñados alrededor de niveles de seguridad de 128 bits. Romper 128 bits de seguridad requiere 2^128 operaciones, muy por encima de cualquier capacidad computacional proyectada.

El desafío de la migración

El desafío práctico más significativo no es el algoritmo criptográfico en sí, sino el proceso de migración:

1. Wallets inactivas — Los fondos en wallets cuyos dueños perdieron sus claves, fallecieron o abandonaron sus monedas (estimados en 3-4 millones de BTC) no pueden migrarse. Estos se vuelven vulnerables cuando maduren las computadoras cuánticas.

2. Monedas de Satoshi — Los ~1.1 millones de BTC en direcciones P2PK presuntamente de Satoshi no pueden moverse a direcciones resistentes a cuántica a menos que Satoshi (quienquiera que sea) siga activo.

3. Coordinación — Un soft fork o hard fork que requiera que todos los usuarios migren sus fondos a nuevos tipos de dirección es un desafío masivo de coordinación.

4. Presión de tiempo — Si la computación cuántica avanza más rápido de lo esperado, la ventana de migración podría ser incómodamente corta.

Algunas propuestas sugieren implementar un período de “cuarentena”: después de cierta altura de bloque, las transacciones desde tipos de dirección vulnerables a cuántica se restringirían o requerirían prueba adicional de propiedad. Esto es muy controvertido y probablemente enfrentaría fuerte resistencia de la comunidad.

Investigación y direcciones futuras

Agregación de firmas para PQC

Un área activa de investigación es agregar múltiples firmas poscuánticas para reducir su huella on-chain. Se exploran técnicas similares a cómo las firmas Schnorr permiten agregación de claves (MuSig2), aplicadas a firmas basadas en retículas.

Distribución cuántica de claves (QKD)

Algunos investigadores han propuesto usar distribución cuántica de claves para criptomonedas, pero esto en general se considera impráctico para redes descentralizadas (QKD requiere canales ópticos directos entre partes).

Esquemas híbridos

Los esquemas de firma híbridos que combinan ECDSA con un algoritmo poscuántico brindan seguridad frente a ataques clásicos y cuánticos. Si cualquiera de los dos algoritmos sigue siendo seguro, el esquema híbrido es seguro. Esto permite una transición gradual sin apostar por completo a la seguridad de algoritmos poscuánticos relativamente nuevos.

Pruebas de conocimiento cero

Los sistemas de pruebas de conocimiento cero (como STARKs) que dependen de funciones hash en lugar de criptografía de curva elíptica son inherentemente resistentes a cuántica. Su uso creciente en escalado de blockchain (zkRollups) también contribuye a la resiliencia cuántica.

FAQ

¿Pueden las computadoras cuánticas romper Bitcoin?

Hoy no. Las computadoras cuánticas actuales son demasiado pequeñas y ruidosas para ejecutar los algoritmos necesarios para romper la criptografía de Bitcoin. Las estimaciones más optimistas sugieren que las computadoras cuánticas criptográficamente relevantes están a 15-30 años. Cuando lleguen, es probable que Bitcoin ya haya actualizado a esquemas de firma resistentes a cuántica.

¿Cuántos qubits se necesitan para romper Bitcoin?

Las estimaciones varían, pero romper ECDSA secp256k1 requeriría aproximadamente 2,500 qubits lógicos, lo que se traduce en aproximadamente 1-20 millones de qubits físicos con la tecnología actual de corrección de errores. Las computadoras cuánticas más grandes en 2025 tienen aproximadamente 1,000-1,500 qubits físicos.

¿Mi criptomoneda está a salvo de las computadoras cuánticas?

En el futuro previsible (10-20+ años), sí. Si sigues buenas prácticas (usar tipos de dirección protegidos por hash, evitar reutilizar direcciones y mantener segura tu seed phrase), tus fondos tienen protección sólida. Cuando haya disponibles tipos de dirección resistentes a cuántica, migra tus fondos.

¿Qué es la criptografía poscuántica?

La criptografía poscuántica se refiere a algoritmos criptográficos diseñados para resistir ataques tanto de computadoras clásicas como cuánticas. NIST ha estandarizado varios algoritmos PQC (ML-KEM, ML-DSA, SLH-DSA) basados en problemas matemáticos que las computadoras cuánticas no pueden resolver eficientemente, como problemas de retículas y propiedades de funciones hash.

¿Debería dejar de usar direcciones Taproot por el riesgo cuántico?

El riesgo cuántico para direcciones Taproot es teórico y está a décadas de distancia. Los beneficios prácticos de Taproot (comisiones más bajas, mejor privacidad, scripting avanzado) superan el riesgo cuántico para uso actual. Sin embargo, para almacenamiento en frío de muy largo plazo (20+ años), los tipos de dirección protegidos por hash (P2WPKH) ofrecen una capa adicional de resistencia cuántica.

¿Ethereum se verá afectado por la computación cuántica?

Sí, Ethereum usa la misma criptografía ECDSA que Bitcoin y enfrenta amenazas cuánticas similares. El modelo de cuentas de Ethereum implica que la mayoría de cuentas activas tienen claves públicas expuestas. Sin embargo, los mecanismos de actualización de Ethereum (hard forks, abstracción de cuentas) ofrecen vías para adoptar firmas poscuánticas. La Ethereum Foundation ha reconocido la resistencia cuántica como prioridad de largo plazo.

¿SHA-256 es seguro ante cuántica?

SHA-256 es significativamente más resistente a ataques cuánticos que ECDSA. El algoritmo de Grover reduce la seguridad efectiva de SHA-256 de 256 bits a 128 bits, que sigue siendo extremadamente fuerte. SHA-256 se considera seguro ante cuántica en el futuro previsible.

¿Qué pasa con los Bitcoin perdidos/abandonados cuando lleguen las computadoras cuánticas?

Los fondos en direcciones con claves públicas expuestas (por transacciones pasadas) que no puedan ser migrados por sus dueños se volverían vulnerables a ataques cuánticos. Esto incluye los ~1.1 millones de BTC estimados de Satoshi y un estimado de 3-4 millones de BTC en wallets perdidas. Cómo manejará la comunidad de Bitcoin esas monedas (si lo hace) es una cuestión abierta y polémica.

Guías relacionadas

• Guía de seguridad de clave privada
• Tipos de dirección de criptomonedas explicados
• Entropía y aleatoriedad en criptomonedas
• Seed Phrase: la guía completa
• Rutas de derivación BIP-44