La respuesta corta es no, al menos no de la forma en que suele plantearse. Bitcoin no tiene mensajes secretos que descifrar, y esa confusión conceptual ha alimentado buena parte del miedo en torno a la computación cuántica. El verdadero debate técnico es otro: la posible falsificación de firmas digitales a partir de claves públicas ya expuestas.
Bitcoin no usa encriptación
Uno de los errores más repetidos es afirmar que la computación cuántica podría desencriptar Bitcoin. En términos estrictos, eso es incorrecto. La blockchain no almacena información cifrada. Todas las transacciones, montos y direcciones son públicas y verificables por cualquier nodo.
La propiedad de los fondos no se basa en ocultar datos, sino en firmas digitales y hashes criptográficos. Adam Back, desarrollador histórico de Bitcoin y creador de Hashcash, lo resumió con ironía en redes sociales: “Bitcoin no usa encriptación. Si confundes eso, ya es una señal de alerta”.
El riesgo, por tanto, no está en leer información oculta, sino en autorizar gastos sin permiso.
El verdadero vector de ataque: firmas y claves públicas
Bitcoin utiliza ECDSA y Schnorr para demostrar el control de una clave privada asociada a un UTXO. Si una computadora cuántica suficientemente potente pudiera ejecutar el algoritmo de Shor, sería teóricamente capaz de derivar una clave privada a partir de una clave pública expuesta, y luego firmar una transacción válida que la red aceptaría.
Esto solo es posible cuando la clave pública está visible en la blockchain. En muchos formatos de dirección, lo que aparece inicialmente es un hash de la clave pública, que solo se revela al gastar el output. Ese diseño reduce la ventana de ataque a un solo gasto.
Otros tipos de scripts, y especialmente la reutilización de direcciones, convierten una revelación puntual en un objetivo permanente.
Exposición medible, no amenaza inmediata
Aquí es donde el riesgo cuántico deja de ser abstracto. La exposición puede medirse hoy, incluso si la amenaza no es inminente. El proyecto open source Project Eleven mantiene la llamada Bitcoin Risq List, que identifica direcciones con claves públicas ya visibles en cadena.
Según su rastreador público, alrededor de 6,7 millones de BTC cumplen criterios de exposición cuántica, considerando scripts pay-to-pubkey, ciertos esquemas multisig y salidas Taproot (P2TR), introducidas con BIP-341, que incluyen directamente una clave pública ajustada en el output.
Esto no crea una vulnerabilidad nueva hoy, pero sí redefine qué quedaría expuesto por defecto si la recuperación de claves se volviera viable en el futuro.
Cuántos qubits serían necesarios
En el plano computacional, la discusión se divide entre qubits lógicos y qubits físicos. El trabajo de Roetteler et al. estima que romper un esquema ECC de 256 bits requeriría del orden de 2.330 qubits lógicos.
El salto crítico está en la corrección de errores. Traducir eso a una máquina tolerante a fallos implica millones de qubits físicos:
~6,9 millones de qubits físicos para recuperar una clave en unos 10 minutos (estimación de Litinski).
~13 millones para lograrlo en un día (recogido por Schneier on Security).
Hasta cientos de millones para reducir el tiempo a una hora.
Estas cifras están muy por encima de la capacidad actual de la computación cuántica.
Hashing, Grover y otro mito común
El hashing suele mezclarse en el debate, pero el impacto cuántico ahí es distinto. El algoritmo de Grover ofrece solo una aceleración cuadrática, no exponencial. En términos prácticos, SHA-256 seguiría requiriendo un trabajo del orden de 2¹²⁸, incluso bajo un modelo cuántico ideal. No es comparable al quiebre de logaritmos discretos que habilita Shor.
El problema real: migración, no colapso
Si alguna vez la recuperación de claves privadas entrara en la escala de minutos u horas, el escenario no sería un colapso de consenso, sino una carrera de gastos desde outputs con claves públicas expuestas. Ahí entran en juego factores más inmediatos: reutilización de direcciones, diseño de wallets y políticas de gasto.
La discusión relevante ya no es si Bitcoin “sobrevive”, sino cómo migra. Fuera del ecosistema, NIST ya estandarizó primitivas post-cuánticas como ML-KEM (FIPS 203). Dentro de Bitcoin, propuestas como BIP-360 (Pay to Quantum Resistant Hash) plantean rutas de transición, mientras otros debates apuntan a desincentivar firmas legacy para reducir la cola de riesgo.
En ese contexto, la narrativa de que “la computación cuántica romperá la encriptación de Bitcoin” falla tanto en terminología como en mecánica. Lo medible hoy es la exposición de claves, el comportamiento de las wallets y la capacidad del protocolo para migrar gradualmente, manteniendo costos, validación y experiencia de usuario bajo control.
