En abril de 2026, un investigador logró vulnerar una clave de curva elíptica de 15 bits en un ordenador cuántico real, obteniendo el premio Q-Day de Project Eleven y 1 BTC por la mayor demostración pública de un ataque de este tipo, que afecta a la seguridad de todas las wallets de Bitcoin. Aunque la clave atacada fue pequeña y la ECDSA de 256 bits no está en peligro inmediato, la tendencia es clara. Aproximadamente 6,9 millones de BTC están en direcciones con claves públicas expuestas, incluidas las estimadas 1 millón de monedas de Satoshi, y cada avance en hardware cuántico acorta la distancia entre una "amenaza teórica" y una "posible vulnerabilidad real".
Los desarrolladores de Bitcoin han seguido esta evolución durante años. BIP-360, publicado el 11 de febrero de 2026 e integrado en el repositorio oficial de BIPs, es su respuesta. Propone un nuevo tipo de salida, denominada Pay-to-Merkle-Root (P2MR), que funciona de forma muy similar a Taproot (P2TR) pero elimina el único componente que podría ser vulnerable ante ordenadores cuánticos. BTQ Technologies desplegó la primera implementación funcional en el testnet Bitcoin Quantum v0.3.0 en marzo de 2026.
¿Por qué Taproot presenta un problema cuántico?
Para entender qué soluciona BIP-360, hay que saber qué expone Taproot.
Cuando Bitcoin activó la actualización de Taproot en noviembre de 2021, introdujo las salidas P2TR (Pay-to-Taproot) con dos rutas de gasto. La primera es la vía de clave (keypath), donde una clave pública se muestra directamente en la blockchain y el propietario demuestra poseer su clave privada correspondiente. La segunda es la vía de script (scriptpath), en la que las condiciones de gasto se ocultan en un árbol de Merkle de scripts y solo se revela la rama utilizada al gastar los fondos.
La vía keypath es rápida, eficiente y privada para el uso cotidiano. Sin embargo, expone la clave pública en texto plano en la cadena. Actualmente esto es seguro porque ninguna computadora convencional puede invertir ECDSA (clave pública a privada). Un ordenador cuántico lo suficientemente potente que ejecute el algoritmo de Shor podría hacerlo. El whitepaper de Google de abril de 2026 estima que un ataque completo sobre ECC de 256 bits requeriría menos de 500,000 cúbits físicos, un descenso importante respecto a proyecciones anteriores de millones de cúbits. Un estudio independiente de Caltech y Oratomic reduce la estimación a 10,000 cúbits con una arquitectura de átomos neutros.
Ninguna de esas máquinas existe todavía. Pero las estimaciones siguen bajando, y las direcciones con claves expuestas siguen ahí. Cada gasto por keypath P2TR, cada salida antigua P2PK (Pay-to-Public-Key) y cada dirección que ha realizado una transacción (revelando su clave pública en el proceso) queda en un grupo creciente de monedas potencialmente vulnerables al avance cuántico.
Cómo elimina la vulnerabilidad P2MR
La solución de BIP-360 es elegante porque apenas modifica el funcionamiento del scripting de Bitcoin.
Las salidas P2TR incluyen una clave pública "tweaked" que codifica tanto la vía keypath como la raíz Merkle del árbol de scripts. P2MR elimina por completo la vía keypath. En vez de modificar una clave pública, P2MR se compromete directamente con la raíz Merkle del árbol de scripts. Ninguna clave pública aparece en la cadena hasta que se ejecuta una rama de script y, aun así, la clave solo se expone dentro de esa rama específica.
A modo de analogía: Taproot es una caja fuerte cerrada con una llave colgada fuera de la puerta (cómoda, pero visible) y llaves de respaldo selladas en sobres numerados dentro. P2MR quita la llave exterior. Todas las llaves quedan dentro de la caja y solo se revela la necesaria al abrir un sobre concreto.
La implementación técnica utiliza SegWit versión 2, lo que da a P2MR su propio prefijo de dirección. Las direcciones P2MR de mainnet comienzan con "bc1z", siguiendo el estándar de codificación bech32m donde la versión 2 corresponde a la letra z. Las direcciones P2TR comienzan con "bc1p" (versión 1) y las SegWit legacy con "bc1q" (versión 0). El nuevo prefijo hace que las direcciones P2MR sean fácilmente identificables.
¿Qué incluye la implementación en testnet?
BTQ Technologies lanzó Bitcoin Quantum testnet v0.3.0 en marzo de 2026 con una implementación funcional completa de BIP-360. Ya no es un concepto teórico: usuarios están creando y gastando transacciones P2MR en una red de pruebas activa.
El testnet incluye cinco opcodes de firma post-cuántica Dilithium habilitados en el contexto de tapscript P2MR. Dilithium (ahora estandarizado por NIST como ML-DSA) es un esquema de firma basado en retículas que no puede ser vulnerado por ordenadores cuánticos con los algoritmos conocidos. Bitcoin actualmente utiliza firmas ECDSA y Schnorr, ambas susceptibles al algoritmo de Shor, pero Dilithium es resistente porque se basa en problemas matemáticos (problemas de módulos de retículas) difíciles incluso para hardware cuántico.
La implementación también incluye validación de consenso completa para P2MR, verificación de compromiso de raíz Merkle, validación de bloques de control y herramientas CLI para crear y gastar transacciones resistentes a la computación cuántica. Los desarrolladores pueden probar todo el flujo hoy mismo.
Un aspecto importante de BIP-360 es la compatibilidad hacia atrás. P2MR aprovecha el código existente de tapleaf y tapscript de P2TR en Bitcoin Core, lo que permite a wallets, exchanges y bibliotecas que ya soportan Taproot reutilizar gran parte del código para agregar soporte P2MR. Esto facilita su adopción futura si se activa en mainnet.
¿Qué significa realmente que haya 6,9 millones de BTC vulnerables?
La cifra es relevante y debe considerarse, pero el contexto es fundamental.
Project Eleven estima que cerca de un tercio del suministro total (6,9 millones de BTC) está en direcciones donde la clave pública ya es visible en la cadena. Esto incluye todas las salidas P2PK de los primeros años de Bitcoin (incluidas las monedas de Satoshi), cada dirección que ha realizado una transacción y cada gasto por keypath P2TR.
Si algún día surge un ordenador cuántico capaz de ejecutar el algoritmo de Shor sobre ECC de 256 bits, estas monedas podrían ser vulneradas teóricamente: un atacante podría derivar claves privadas de las públicas expuestas y barrer los fondos.
Sin embargo, "teóricamente" es la palabra clave. La hazaña de abril de 2026 logró romper una clave de 15 bits; Bitcoin usa claves de 256 bits. Esa diferencia representa un salto computacional descomunal, no lineal. El logro de 15 bits multiplica el récord anterior por 512, un avance relevante para la academia, pero pasar de 15 a 256 bits requiere mejoras en número de cúbits, corrección de errores y tiempo de coherencia que ningún roadmap actual prevé para los próximos años.
De forma objetiva: la amenaza existe, el plazo es incierto y Bitcoin dispone de una ventana de preparación. BIP-360 es esa preparación.
Lo que BIP-360 NO hace
BIP-360 es una propuesta, no un cambio de protocolo activo. Antes de afectar a los usuarios, deben ocurrir varios pasos.
No está activado en mainnet. La implementación en testnet prueba que el concepto funciona, pero su activación en la red principal de Bitcoin requeriría consenso comunitario mediante soft fork. Históricamente, los soft forks de Bitcoin tardan años desde la propuesta hasta la activación. SegWit tardó unos cuatro años, Taproot unos tres desde las primeras discusiones.
No protege automáticamente las direcciones existentes. Si se activa BIP-360, los usuarios deberán trasladar sus monedas a nuevas direcciones P2MR (bc1z) para obtener protección cuántica. Las monedas en tipos de dirección antiguos seguirán siendo vulnerables hasta que se muevan. Es una migración voluntaria, no una actualización automática; quien se sienta cómodo con su tipo de dirección actual puede mantener sus fondos ahí.
No hace que Bitcoin sea "a prueba de cuántica" en sentido absoluto. BIP-360 protege frente al algoritmo de Shor sobre claves de curva elíptica. Si surgen futuros vectores de ataque cuántico contra funciones hash o criptografía de retículas, se requerirían actualizaciones adicionales. La propuesta aborda la amenaza cuántica más inminente y comprendida, no todas las posibles.
Tampoco afecta a la minería proof-of-work de Bitcoin. La minería de Bitcoin utiliza funciones hash SHA-256, resistentes al algoritmo de Shor. Los ordenadores cuánticos podrían obtener una ventaja moderada con el algoritmo de Grover, pero esto solo reduciría la seguridad hash efectiva a la mitad (128 bits), nivel aún considerado seguro.
Calendario relevante para los traders
Si posees BTC y te preguntas qué hacer ahora, la respuesta es que, por el momento, nada cambia. Sin embargo, conviene seguir el calendario.
Hito | Estado | Significado |
BIP-360 publicado e integrado | Hecho (Feb 2026) | Propuesta oficial y revisada |
Primera implementación en testnet | Hecho (Mar 2026) | El código es funcional, se puede probar |
Premio Q-Day (ECC de 15 bits vulnerada) | Hecho (Abr 2026) | La amenaza cuántica avanza |
Activación del soft fork en mainnet | No iniciado | Requiere consenso, posiblemente años |
Soporte P2MR en wallets y exchanges | No iniciado | Infraestructura debe adoptar bc1z |
Migración de usuarios a direcciones bc1z | No aplica aún | Las monedas deberán moverse manualmente |
Este patrón se repite en cada gran actualización de Bitcoin: el desarrollo técnico precede en años a la activación. Taproot se propuso en 2018 y se activó en 2021. BIP-360 está en una fase inicial y, siendo optimistas, su activación en mainnet será en varios años.
Para los traders, la señal relevante no es BIP-360 como tal sino el ritmo de los avances en computación cuántica. Cada récord, cada hito en cúbits de IBM, Google o Caltech, y cada revisión de plazos para "computadoras cuánticas relevantes" puede impactar el mercado. El resultado del premio Q-Day de Giancarlo Lelli ya generó cobertura y una presión temporal en el precio de BTC antes de que el mercado asimilara el contexto.
Preguntas frecuentes
¿Está Bitcoin protegido frente a la computación cuántica actualmente?
Sí. El mayor ataque cuántico público sobre criptografía de curva elíptica logró vulnerar una clave de 15 bits en abril de 2026. Bitcoin utiliza claves de 256 bits, y la diferencia computacional es inmensa para el hardware cuántico actual. La mayoría de expertos calcula que faltan años o más de una década para ordenadores cuánticos relevantes.
¿Qué es una dirección bc1z?
Es el formato de dirección propuesto por BIP-360 para salidas Pay-to-Merkle-Root (P2MR). El prefijo bc1z identifica la versión 2 de SegWit bajo el estándar bech32m, similar a bc1p (Taproot, versión 1) y bc1q (SegWit nativo, versión 0). Estas direcciones ocultan completamente las claves públicas en la cadena.
¿Debo mover mi Bitcoin a una dirección resistente a la cuántica ahora?
No. BIP-360 no se ha activado en la red principal de Bitcoin, por lo que las direcciones P2MR aún no existen en producción. Si llega a activarse, será necesario enviar las monedas a una nueva dirección bc1z para obtener protección cuántica. Hasta entonces, aplica lo habitual: usa, cuando sea posible, direcciones cuyos claves públicas no hayan sido expuestas previamente.
¿Qué pasaría con los Bitcoin de Satoshi si avanzan los ordenadores cuánticos?
Se estima que 1 millón de BTC de Satoshi están en salidas antiguas P2PK, donde la clave pública está permanentemente expuesta. Si un ordenador cuántico logra vulnerar ECDSA de 256 bits, cualquier persona con acceso a tal máquina podría tomar esas monedas. BIP-360 no puede protegerlas, ya que no es posible moverlos a un nuevo tipo de dirección. Este es uno de los debates más relevantes en la seguridad a largo plazo de Bitcoin.
Conclusión
BIP-360 no es un parche de emergencia. Es la comunidad de desarrolladores de Bitcoin construyendo una salida de emergencia antes de que haya humo. La amenaza cuántica para la criptografía de curva elíptica es real, pero no inminente, aunque los plazos se acortan a medida que aumentan los cúbits y disminuyen los errores. P2MR ofrece una vía de migración que preserva el poder del scripting de Taproot y elimina la vulnerabilidad keypath que pone en riesgo teórico a 6,9 millones de BTC.
La cuestión para los próximos años no es "¿debo preocuparme ya?" sino "¿a qué ritmo avanza la computación cuántica?". Cada nuevo hito, desde el premio Q-Day de 15 bits hasta las proyecciones de Google por debajo de 500.000 cúbits, ajusta la sensación de urgencia. Cuando BIP-360 avance hacia mainnet, los wallets y exchanges que se hayan preparado tendrán ventaja. Los que no, irán a contrarreloj. Esa diferencia será donde surjan oportunidades.
Este artículo es solo informativo y no constituye asesoramiento financiero o de inversión. El trading de criptomonedas implica riesgos significativos. Realiza tu propia investigación antes de tomar decisiones.
