- Google Quantum AI reduce drásticamente los recursos cuánticos necesarios para romper el cifrado de Bitcoin y otras criptomonedas.
- El riesgo se centra en la criptografía de curva elíptica (ECC) y en carteras con claves públicas expuestas, incluidas direcciones antiguas y Taproot.
- Se abre una posible ventana de ataques de unos 9 minutos, suficiente para secuestrar transacciones antes de ser confirmadas.
- La industria se ve empujada a migrar hacia criptografía post-cuántica (PQC), con propuestas ya sobre la mesa para Bitcoin y Ethereum.
La posibilidad de que la computación cuántica ponga contra las cuerdas el cifrado de Bitcoin ha dejado de ser un argumento de ciencia ficción para pasar a considerarse un escenario a vigilar de cerca. Un reciente paquete de investigaciones y comunicados de Google Quantum AI ha reducido de forma notable las estimaciones de potencia necesaria para vulnerar la seguridad criptográfica de la principal criptomoneda y de buena parte de la infraestructura digital actual.
Este cambio de perspectiva no implica un colapso inminente del sistema, pero sí que el margen para reaccionar es más corto de lo que se pensaba. Los expertos apuntan a un horizonte que se mueve entre finales de esta década y comienzos de la próxima, justo cuando Europa y España están acelerando sus propios programas de computación cuántica y regulación de criptoactivos bajo el paraguas de MiCA.
Cómo la computación cuántica amenaza el cifrado de Bitcoin
En el corazón del problema está la criptografía de curva elíptica (ECC), el sistema matemático que protege las claves privadas de Bitcoin, Ethereum y de una enorme cantidad de servicios digitales: certificados web, banca en línea, mensajería cifrada y más. Hasta hace poco, los cálculos teóricos sugerían que harían falta millones de qubits físicos para romper este esquema con un ordenador cuántico tolerante a fallos.
Google Quantum AI, sin embargo, ha presentado nuevos modelos en los que un ataque viable contra ECC podría ejecutarse con menos de 500.000 qubits físicos y entre unos 1.200 y 1.450 qubits lógicos de alta calidad. Es decir, los recursos necesarios serían unas 20 veces menores de lo estimado por buena parte de la comunidad en los últimos años.
Hasta hace poco, los cálculos teóricos sugerían que harían falta millones de qubits físicos para romper la criptografía subyacente, pero los nuevos modelos recortan esa distancia teórica de forma significativa.
La clave está en el algoritmo de Shor, un procedimiento cuántico capaz de resolver mucho más rápido problemas como el Elliptic Curve Discrete Logarithm Problem (ECDLP), que es precisamente el que garantiza que nadie pueda deducir una clave privada a partir de una clave pública en sistemas como Bitcoin. Si un ordenador cuántico suficientemente potente ejecuta Shor sobre secp256k1 (la curva que usa Bitcoin), el cifrado deja de ser robusto.
Actualmente no existe ningún dispositivo que se acerque a esa escala práctica, pero la investigación de Google rebaja la distancia teórica entre la tecnología disponible y una máquina capaz de ejecutar este tipo de ataques. En la Unión Europea, donde se está impulsando un ecosistema cuántico propio, este tipo de resultados alimenta el debate sobre la urgencia de adoptar estándares criptográficos resistentes a estos futuros equipos.
La ventana de nueve minutos: ataques en tiempo real a transacciones de Bitcoin
Más allá del número de qubits, el dato que ha hecho saltar las alarmas en la industria es el tiempo potencial de ataque. Según el libro blanco de Google Quantum AI, si parte del cálculo de Shor se precomputa, un ordenador cuántico criptográficamente relevante podría romper la seguridad de una transacción de Bitcoin en unos 9 minutos.
En la práctica, esto abre una ventana muy concreta para los llamados ataques “en gasto” (on-spend). Cuando un usuario envía bitcoins, su clave pública pasa a estar expuesta de forma temporal en la red. Un atacante cuántico podría detectar esa transacción en el mempool, aprovechar esa exposición para derivar la clave privada y retransmitir una operación fraudulenta antes de que se confirme el bloque.
Dado que el tiempo medio de confirmación de un bloque en Bitcoin ronda los 10 minutos, Google estima que un ataque de estas características tendría alrededor de un 41 % de probabilidad de adelantarse a la transacción legítima. No se necesitaría romper toda la red ni controlar la minería: bastaría con apuntar a la capa de firmas y a direcciones vulnerables.
En redes con bloques más rápidos, como Ethereum, la ventana de ataque sería menor, lo que reduce este riesgo concreto, aunque no elimina el problema de fondo, ya que la misma criptografía ECC protege gran parte de la infraestructura de contratos inteligentes, validadores y capas de escalado.
Carteras antiguas y Taproot: un enorme bote de recompensa cuántica
El impacto potencial no es homogéneo: no todas las direcciones de Bitcoin están igual de expuestas. Los análisis citados por Google y otros investigadores apuntan a que alrededor de un tercio del suministro total de BTC podría considerarse especialmente sensible frente a un futuro ataque cuántico.
Según estas estimaciones, unos 6,9 millones de bitcoins se encuentran ya en carteras cuya clave pública ha sido revelada de alguna manera, por ejemplo a través de formatos antiguos o de reutilización de direcciones. Dentro de ese subconjunto, en torno a 1,7 millones de BTC pertenecerían a direcciones de la llamada “era Satoshi” y a monederos inactivos desde hace años, cuya seguridad no se ha actualizado y que, en muchos casos, ni siquiera pueden ser modificados porque se han perdido las claves.
La actualización Taproot (P2TR), incorporada a la red de Bitcoin en 2021 para mejorar la privacidad y eficiencia de las transacciones, también ha entrado en el foco. Los investigadores de Google señalan que, aunque Taproot aporta ventajas evidentes, su diseño hace que las claves públicas queden visibles en la cadena con mayor frecuencia, eliminando la práctica anterior de ocultarlas detrás de hashes en ciertos formatos de dirección.
Esta combinación de carteras heredadas, claves expuestas y cambios de formato ha creado lo que algunos analistas describen como un “pool fijo de recompensa” para futuros atacantes cuánticos. En el momento en que exista hardware suficientemente avanzado, esos bitcoins “dormidos” podrían ser blanco de ataques en reposo, sin que sus legítimos propietarios puedan reaccionar.
Tipos de ataques cuánticos y superficie de riesgo
En los documentos publicados, Google y otros grupos de investigación distinguen tres grandes familias de amenazas para Bitcoin y otras cadenas basadas en ECC: ataques en reposo, en gasto y en configuración. Cada uno de ellos impacta en un punto distinto del ciclo de vida de los activos.
Los ataques en reposo (at-rest) apuntan a carteras inactivas o direcciones en las que la clave pública lleva tiempo expuesta en la cadena. Son el principal riesgo para las grandes reservas de BTC antiguos y para direcciones reutilizadas, que ya no pueden “ocultar” de nuevo su clave.
Los ataques en gasto (on-spend) son los ya mencionados secuestros de transacciones en tiempo real, aprovechando la ventana de exposición entre que se firma y se confirma un bloque. Este modelo preocupa especialmente a quienes gestionan grandes flujos de fondos, exchanges y servicios de custodia, tanto en Europa como a nivel global.
Por último, los ataques en configuración (on-setup) se centran en introducir puertas traseras o supuestos parámetros débiles en protocolos, bibliotecas criptográficas o implementaciones de hardware. Aunque este vector no es exclusivo de Bitcoin, la creciente complejidad de las soluciones de capa 2, puentes y contratos puede facilitar errores de diseño que un adversario cuántico aproveche en el futuro.
Más allá de Bitcoin: Ethereum y el resto del ecosistema
Aunque Bitcoin es el ejemplo más mediático, el mismo fundamento matemático —la criptografía de curva elíptica— protege a Ethereum y a una gran variedad de redes públicas y privadas. Google advierte de que los riesgos cuánticos se extienden a todo el ecosistema blockchain, incluidas aplicaciones financieras descentralizadas, stablecoins y sistemas de tokenización.
En el caso de Ethereum, los documentos técnicos citan un conjunto de vulnerabilidades relacionadas con la exposición de claves públicas en cuentas y contratos inteligentes, la lógica de los validadores en el sistema de prueba de participación (Proof-of-Stake) y ciertos esquemas criptográficos usados en soluciones de escalado, como los compromisos KZG.
Algunos análisis apuntan a que más de 20 millones de ETH podrían encontrarse en situaciones de riesgo si un atacante cuántico lograra comprometer suficientes actores críticos dentro de la red. Esto incluiría tanto fondos en cuentas con claves expuestas como posiciones vinculadas a contratos que no se puedan actualizar fácilmente.
Para proyectos centrados en la privacidad —como ciertas monedas anónimas— la amenaza tiene un matiz añadido: un adversario suficientemente potente podría intentar reconstruir el historial de transacciones pasadas, rompiendo garantías de anonimato que se daban por supuestas y generando un problema legal y regulatorio de envergadura en jurisdicciones como la Unión Europea.
Un riesgo sistémico para la seguridad digital… y para las finanzas
La advertencia de Google va mucho más allá de las criptomonedas. La misma ECC que protege carteras digitales y firmas de transacciones asegura hoy sistemas bancarios, comunicaciones cifradas, certificados TLS/SSL y buena parte de la infraestructura financiera global. Un ordenador cuántico capaz de romper secp256k1 o curvas similares no distinguiría entre una billetera de Bitcoin y un servidor de banca online.
En Europa, donde se está impulsando la digitalización a gran escala —identidad digital, pagos instantáneos, registros electrónicos—, el riesgo cuántico se percibe como un desafío de ciberseguridad transversal. Los organismos de estandarización, como NIST a nivel internacional, ya llevan años trabajando en algoritmos post-cuánticos que sustituyan gradualmente a los actuales.
La expansión de la tokenización de activos del mundo real (RWA) en redes públicas y consorciadas —bonos, inmuebles, participaciones de fondos— añade otra capa de complejidad. Con proyecciones que sitúan el volumen tokenizado en billones de euros hacia el final de la década, una ruptura del cifrado de base se convertiría en un riesgo sistémico para el sistema financiero.
Los analistas consultados por distintos medios coinciden en que no tiene sentido hablar de pánico inmediato, pero sí de la necesidad de tratar el Q-Day —el momento en el que un ordenador cuántico pueda romper la criptografía actual— como un problema real de planificación y no como una curiosidad académica.
Plazos: de un futuro lejano a un horizonte 2029-2032
Hasta hace poco, la percepción generalizada en el sector era que la computación cuántica utilizable para romper ECC estaba a décadas de distancia. El nuevo análisis de Google cambia el tono: sin asegurar fechas concretas, la compañía sitúa un primer hito de sistemas cuánticos útiles alrededor de 2029, subrayando que cualquier migración de gran escala debe completarse antes.
Voces relevantes del ecosistema cripto, como el investigador Justin Drake, han señalado públicamente que la probabilidad de que el Q-Day llegue antes de 2032 ya no puede descartarse. Se manejan cifras como un 10 % de probabilidad de que para esa fecha exista una máquina capaz de recuperar una clave privada a partir de una clave pública expuesta en secp256k1.
Otros analistas son mucho más agresivos en sus estimaciones, llegando a plantear escenarios en los que las probabilidades de un Q-Day antes de 2032 rondan el 80 %. Frente a estas visiones, instituciones financieras y plataformas de negociación recuerdan que la brecha entre los prototipos de laboratorio y un dispositivo operativo sigue siendo enorme.
En todo caso, el consenso técnico que se va consolidando es que, incluso si la llegada de un CRQC (Computadora Cuántica Relevante Criptográficamente) antes de 2030 sigue siendo poco probable, esperar a que exista para empezar la transición no es una opción. La experiencia con grandes cambios en redes como Ethereum, o incluso con actualizaciones de protocolos de internet, demuestra que estos procesos llevan años.
Respuestas propuestas: criptografía post-cuántica para Bitcoin y Ethereum
Los informes de Google y la reacción de la comunidad apuntan a una salida principal: migrar hacia criptografía post-cuántica (PQC), es decir, algoritmos que se consideren resistentes frente a ataques de ordenadores cuánticos. Esta transición no se limita a cambiar “un algoritmo por otro”, sino que requiere rediseñar parte de la lógica de las redes.
En el caso de Bitcoin, una de las propuestas destacadas es BIP-360, que plantea sustituir la ruta de clave de Taproot por un esquema conocido como Pay-to-Merkle-Root (P2MR). El objetivo es reducir al mínimo la exposición de claves públicas visibles en la cadena, como paso previo a una renovación más profunda de la base criptográfica.
Para Ethereum, la Fundación ha dibujado una hoja de ruta de varios forks —indicados de momento con letras I, J, L y M— que, a partir de finales de esta década, irían incorporando elementos como claves públicas post-cuánticas, firmas resistentes a ataques cuánticos y pruebas de conocimiento cero rediseñadas para soportar este nuevo escenario. Estas medidas se extenderían también a soluciones de capa 2.
Otros proyectos ya han hecho pruebas o implementaciones piloto con PQC. Redes como Solana, Algorand o XRP Ledger han experimentado con esquemas alternativos, aunque las dificultades para actualizarlos en carteras antiguas y sistemas heredados siguen siendo uno de los principales escollos técnicos y organizativos.
Qué puede hacer hoy la industria cripto (y qué se espera en Europa)
Mientras se discuten grandes cambios de protocolo, los investigadores recomiendan adoptar desde ya una serie de buenas prácticas de mitigación que no requieren esperar a nuevas hard forks. Entre ellas se incluyen medidas que cualquier usuario avanzado o empresa puede valorar.
En primer lugar, se insiste en evitar la reutilización de direcciones y reducir la exposición innecesaria de claves públicas. Generar nuevas direcciones con regularidad y utilizar monederos que gestionen automáticamente este aspecto puede rebajar el riesgo, sobre todo pensando en un futuro en el que los datos de hoy puedan ser descifrados.
También se apunta a la conveniencia de rotar claves en determinados contextos —por ejemplo, para entidades financieras, custodios y proveedores de servicios en la UE—, así como de revisar contratos inteligentes y sistemas multi-firma con vistas a futuras migraciones post-cuánticas.
En el ámbito europeo, la regulación sobre criptoactivos (MiCA) y las estrategias de ciberseguridad de la Comisión y de los Estados miembros empiezan a incorporar el riesgo cuántico como un apartado específico. Esto puede traducirse, a medio plazo, en requisitos adicionales para proveedores de servicios de criptoactivos autorizados en España y en el resto de la UE, por ejemplo en forma de obligaciones de planificación de migración criptográfica.
Las grandes plataformas de intercambio y custodios regulados en Europa, así como los bancos que experimentan con tokenización, están siguiendo de cerca estos debates. Para ellos, adoptar tempranamente estrategias de transición a PQC no solo es una cuestión de seguridad, sino también de cumplimiento normativo y de confianza del cliente.
Entre el aviso serio y el rechazo al pánico: qué opinan los expertos
Las reacciones dentro de la comunidad cripto y del sector tecnológico oscilan entre la preocupación y la llamada a la calma. Figuras como Justin Drake consideran los resultados de Google un “avance” en el análisis del riesgo cuántico y un motivo para acelerar la preparación de la industria ante un posible Q-Day en la próxima década.
Otros actores, incluidos analistas de exchanges y firmas de inversión, recuerdan que no existe todavía un ordenador cuántico con capacidades prácticas para llevar a cabo los ataques descritos, y que el desafío de ingeniería para llegar hasta ahí sigue siendo enorme. Según esta visión, la amenaza es real pero de largo plazo, por lo que debe tratarse como un proyecto estratégico, no como un motivo de venta masiva o pánico de mercado.
Empresarios del sector tecnológico señalan además que el riesgo cuántico no es exclusivo de blockchain. Si se llega a construir un CRQC capaz de romper ECC en minutos, todo el internet cifrado, la banca electrónica y la administración digital se verán igualmente afectados, por lo que cabe esperar una respuesta coordinada a nivel global que incluya tanto a instituciones públicas como a grandes empresas.
En este contexto, el consenso emergente se sitúa en un punto intermedio: tomar en serio las advertencias, iniciar ya la planificación y las primeras migraciones, pero evitar caer en un relato catastrofista que ignore los enormes avances paralelos en criptografía post-cuántica y en diseño de nuevas defensas.
La fotografía que dibujan los últimos informes es la de un equilibrio delicado: por un lado, avances cuánticos que recortan décadas al calendario previsto y, por otro, una industria que aún está a tiempo de reforzar sus cimientos criptográficos si actúa con suficiente antelación. El futuro de la seguridad de Bitcoin —y del conjunto de la infraestructura digital— pasa por cómo se gestione esta transición en los próximos años, tanto desde el plano técnico como desde el regulatorio y organizativo.
