Rewards Hub 
El 24 de abril de 2026, el investigador independiente Giancarlo Lelli derivó una clave privada a partir de una clave pública en una curva elíptica de 15 bits usando hardware cuántico accesible en la nube. Utilizó una variante del algoritmo de Shor, obteniendo éxito. Project Eleven, una organización de investigación en seguridad cuántica, le otorgó su premio Q-Day de 1 Bitcoin por ejecutar el mayor ataque cuántico público contra la criptografía que protege Bitcoin, Ethereum y prácticamente todas las principales blockchains.
Una clave de 15 bits está muy lejos de las claves de 256 bits que protegen las billeteras reales, y Bitcoin no ha sido vulnerado. Sin embargo, la brecha entre lo que pueden descifrar hoy las computadoras cuánticas y lo necesario para comprometer billeteras reales se está cerrando más rápido de lo que muchos en el sector cripto perciben, y tres artículos de investigación publicados en el primer trimestre de 2026 han cambiado el panorama temporal.
Qué hizo realmente Lelli y su relevancia
El ataque se enfocó en el Problema del Logaritmo Discreto en Curvas Elípticas (ECDLP). Esta es la relación matemática que permite generar una clave pública a partir de una privada, pero que resulta computacionalmente inviable de invertir usando computadoras clásicas. Cada vez que se envía Bitcoin, la billetera firma la transacción con la clave privada y difunde la clave pública correspondiente. Si alguien logra resolver el ECDLP para tu clave pública, obtendría tu clave privada y, por ende, acceso a tus monedas.
La ruptura de 15 bits de Lelli cubrió un espacio de búsqueda de 32,767 valores posibles. Esto es diminuto en comparación con los 2^256 espacios que protegen las claves reales de Bitcoin. Sin embargo, el contexto importa: el récord anterior era una ruptura de 6 bits lograda por Steve Tippeconnic en septiembre de 2025, equivalente a solo 64 posibles valores. El resultado de Lelli supone un salto de 512 veces en un solo paso, logrado además con hardware cuántico en la nube, no en sistemas de laboratorio propietarios.
La importancia reside más en la velocidad del avance que en el tamaño de la clave. Los expertos han pasado de documentos teóricos a demostraciones funcionales en hardware accesible en menos de un año.
¿Qué tan lejos están 15 bits de 256 bits?
La verdad es que la distancia entre 15 y 256 bits es enorme; ninguna computadora cuántica actual puede superar esa brecha. Una clave de curva elíptica de 256 bits tiene alrededor de 10^77 combinaciones posibles. Los procesadores cuánticos actuales alcanzan unos 1,000 a 1,500 cúbits, la mayoría de los cuales son demasiado ruidosos para cálculos criptográficos sostenidos. Romper una clave real de Bitcoin requeriría muchos más cúbits y una calidad mucho mayor con tasas de corrección de errores aún inexistentes.
Sin embargo, en 2026 la conversación cambió: tres investigaciones independientes redujeron drásticamente la cantidad de recursos estimados para atacar ECDLP de 256 bits.
Google Quantum AI publicó un informe técnico de 57 páginas en marzo de 2026, mostrando que dos circuitos cuánticos optimizados podrían resolver ECDLP-256 usando menos de 1,200 a 1,450 cúbits lógicos y entre 70 y 90 millones de compuertas Toffoli. Trasladado al hardware físico con corrección de errores tipo surface-code, esto representa menos de 500,000 cúbits físicos, frente a los 10 millones estimados previamente. Google redujo el requisito en un factor de 20.
Un artículo complementario de Caltech y Oratomic fue más allá: estimó que una arquitectura cuántica de átomos neutros podría realizar el mismo ataque con solo 10,000 cúbits físicos. Aunque aún experimental, las plataformas de átomos neutros son el foco de empresas como QuEra y Pasqal, que invierten miles de millones en su desarrollo.
La proyección ha pasado de "necesitamos 10 millones de cúbits" a "quizá solo 10,000" en solo tres meses. Investigadores de Project Eleven han descrito este trayecto claramente: cerrar la brecha entre 15 y 256 bits se considera ahora un desafío de ingeniería, no de física fundamental.
¿Qué direcciones de Bitcoin son vulnerables realmente?
No todas las direcciones Bitcoin enfrentan el mismo nivel de riesgo. La amenaza cuántica afecta especialmente a aquellas direcciones con claves públicas visibles en la blockchain.
Cuando recibes Bitcoin en una dirección, mientras no gastes desde esa dirección, solo el hash de la clave pública es visible. Este hash añade una capa extra de protección, ya que ni siquiera un ataque ECDLP exitoso puede revertirlo. Tus monedas están protegidas mientras la clave pública permanezca oculta. Pero al gastar desde una dirección, la clave pública completa se transmite a la red como parte de la firma de la transacción, quedando expuesta de forma permanente.
Project Eleven estima que aproximadamente 6.9 millones de BTC están en direcciones con claves públicas visibles, es decir, alrededor de un tercio del suministro total de Bitcoin, valorados en más de 550 mil millones de dólares según el precio actual. Aquí se incluyen los 1.1 millones de BTC estimados de Satoshi Nakamoto, minados en los primeros días cuando el formato original Pay-to-Public-Key hacía públicas las claves por defecto.
La recomendación práctica para los usuarios es clara: si utilizas una billetera moderna y rotas tus direcciones tras cada gasto, tu exposición es considerablemente menor que la de quienes mantienen fondos en direcciones heredadas.
| Tipo de dirección | ¿Clave pública expuesta? | Riesgo cuántico |
|---|---|---|
| Nunca gastada (solo hash) | No | Bajo hasta que se rompa el hash |
| Gastada al menos una vez | Sí | Alto si se resuelve ECDLP |
| Pay-to-Public-Key (BTC temprano) | Sí, por defecto | Alto |
| Taproot (P2TR) | Clave visible en keypath | Moderado |
¿Qué hacen los desarrolladores de Bitcoin para mitigar este riesgo?
La comunidad de desarrolladores de Bitcoin ha tomado medidas. BIP-360, titulado formalmente Pay-to-Merkle-Root (P2MR), propone un nuevo tipo de salida de transacción similar a Taproot pero sin la ruta de clave vulnerable a ataques cuánticos. Bajo BIP-360, la firma de transacciones utilizaría un esquema post-cuántico en vez de la matemática de curva elíptica que Lelli logró vulnerar a pequeña escala. BTQ Technologies implementó BIP-360 en testnet a principios de 2026.
Sobre esa base, BIP-361 fue publicado en el repositorio oficial de Bitcoin el 14 de abril de 2026. Titulado "Migración post-cuántica y retiro de firmas heredadas", BIP-361 propone un plan de migración con fecha límite estricta. Tras un periodo de gracia, los gastos desde direcciones basadas en ECDSA quedarían invalidados en la red. Las monedas que no se trasladen a direcciones resistentes a ataques cuánticos durante ese periodo quedarían congeladas.
Esta última medida genera mucho debate. Congelar fondos heredados implicaría que los 1.1 millones de BTC de Satoshi y otros monederos inactivos con claves públicas expuestas quedarían permanentemente inutilizables si sus propietarios no actúan. Algunos desarrolladores opinan que proteger la red justifica esta acción; otros consideran que sentaría un precedente que afecta los derechos de propiedad. No hay consenso aún y este será probablemente uno de los debates más intensos en la historia de la gobernanza de Bitcoin.
Google sugirió 2029 como fecha objetivo para migrar a estándares criptográficos post-cuánticos, lo que da a Bitcoin unos tres años para desarrollar, probar y activar un soft fork que cambie el esquema de firmas en todas las billeteras de la red. Este es un plazo ambicioso para un protocolo que tardó cuatro años en activar Taproot.
Implicaciones para Ethereum y otras cadenas
Si bien Bitcoin acapara titulares, la amenaza cuántica afecta igualmente a Ethereum y a cualquier cadena que use ECDSA u otros esquemas de firma de curva elíptica. En Ethereum, el modelo de cuentas agrava el problema: cada dirección que haya enviado una transacción tiene su clave pública expuesta de forma permanente y, a diferencia de Bitcoin, las direcciones suelen reutilizarse. Se estima que el porcentaje de ETH en direcciones vulnerables es incluso mayor que en el caso de Bitcoin.
El roadmap de Ethereum contempla una migración post-cuántica en la categoría "Splurge" de actualizaciones a largo plazo propuesta por Vitalik Buterin, aunque aún no existe un EIP concreto con cronograma definido. El equipo de investigación de la Fundación Ethereum ha publicado estudios exploratorios sobre firmas basadas en retículas, pero su implementación tomará años.
Las cadenas más pequeñas enfrentan mayores desafíos. Redes como Solana o Avalanche, que utilizan ECDSA o EdDSA para firmar billeteras, comparten la misma vulnerabilidad fundamental, pero podría faltarles capacidad de desarrollo para ejecutar una migración. Paradójicamente, algunas de las cadenas que se promocionan como más modernas y rápidas se basan en supuestos criptográficos de los años 90, que Lelli ya demostró pueden ser atacados con hardware cuántico real.
Preguntas frecuentes
¿Puede una computadora cuántica robar mi Bitcoin ahora mismo?
No. La clave de 15 bits vulnerada por Lelli es unas 10^72 veces menor que las claves de 256 bits que protegen las billeteras reales. No existe ningún computador cuántico público con la cantidad de cúbits ni la corrección de errores necesarias para atacar claves en producción. El riesgo existe, pero no es inminente.
¿Cuántos cúbits serían necesarios para romper la encriptación de Bitcoin?
El informe de Google de marzo de 2026 estimó menos de 500,000 cúbits físicos con arquitectura superconductora y corrección de errores tipo surface-code. El artículo de Caltech y Oratomic redujo esa cifra potencialmente a 10,000 cúbits en una plataforma de átomos neutros. Las computadoras cuánticas actuales llegan a 1,000-1,500 cúbits; aún hay una brecha importante.
¿Qué es BIP-360 y protegerá a Bitcoin de ataques cuánticos?
BIP-360 introduce un tipo de salida llamada Pay-to-Merkle-Root que elimina la ruta de clave de curva elíptica vulnerable a ataques cuánticos en las transacciones Bitcoin. Ya está en testnet y BIP-361 propone una migración que congelaría las direcciones heredadas. Si se activa, haría Bitcoin resistente a ataques cuánticos, pero requiere un soft fork y amplio consenso de la comunidad.
¿Debería mover mis Bitcoin a una nueva dirección para protegerlos?
Si tus monedas están en una dirección nunca usada, la clave pública no está expuesta y el riesgo cuántico es menor. Si has gastado desde una dirección, la clave pública está presente en la blockchain. Utilizar una billetera moderna que genere una nueva dirección por cada transacción es una precaución razonable, aunque hoy no existe amenaza práctica de explotación.
Conclusión
La ruptura ECC de 15 bits no supone una crisis para Bitcoin, pero sí demuestra que la amenaza cuántica es concreta. Las estimaciones de recursos necesarios para atacar claves de 256 bits descendieron 20 veces en un solo trimestre de 2026, y la tendencia apunta a más reducciones conforme mejora el hardware cuántico y se optimizan algoritmos. Los desarrolladores de Bitcoin trabajan en BIP-360 y BIP-361, pero el desafío es activar un cambio de esquema de firmas antes de que el hardware cuántico avance lo suficiente. Los 6.9 millones de BTC en direcciones con claves públicas expuestas constituyen el riesgo más tangible, y quienes desean anticiparse al cambio deben seguir de cerca el debate de BIP-361. Migrar toda la red monetaria a nueva criptografía en solo tres años es un reto considerable: el cronómetro comenzó en marzo.
Este artículo es solo para fines informativos y no constituye asesoramiento financiero o de inversión. El comercio de criptomonedas implica riesgos. Investigue siempre antes de tomar decisiones de trading.
