Iniciativas clave para blindar la mayor blockchain del mundo contra el quantum

Los ordenadores cuánticos capaces de romper la blockchain de Bitcoin aún no existen, pero los desarrolladores ya están considerando una serie de actualizaciones para construir defensas contra esta amenaza potencial, que ya no es hipotética. Este análisis es urgente, dada la naturaleza de la amenaza.

Esta semana, Google publicó una investigación que sugiere que un ordenador cuántico lo suficientemente poderoso podría descifrar la criptografía central de Bitcoin en menos de nueve minutos, es decir, un minuto más rápido que el tiempo promedio de confirmación de un bloque de Bitcoin. Algunos analistas consideran que esta amenaza podría materializarse para 2029.

Las apuestas son altas: alrededor de 6.5 millones de tokens de bitcoin, que valen cientos de miles de millones de dólares, se encuentran en direcciones que un ordenador cuántico podría atacar directamente. Algunas de estas monedas pertenecen al creador seudoanónimo de Bitcoin, Satoshi Nakamoto. Además, una posible vulneración afectaría a los principios fundamentales de Bitcoin: «confía en el código» y «dinero sólido».

A continuación, exploraremos cómo se presenta esta amenaza y las propuestas que se están considerando para mitigarla.

Dos formas en que una máquina cuántica podría atacar Bitcoin

Antes de analizar las propuestas, es esencial comprender la vulnerabilidad que enfrenta Bitcoin.

La seguridad de Bitcoin se basa en una relación matemática unidireccional. Al crear una billetera, se generan una clave privada y un número secreto, a partir de los cuales se deriva una clave pública.

Para gastar tokens de bitcoin, se necesita demostrar la propiedad de la clave privada, no revelándola, sino utilizandola para generar una firma criptográfica que la red pueda verificar.

Este sistema es infalible porque los ordenadores modernos tardarían miles de millones de años en romper la criptografía de curva elíptica, específicamente el Algoritmo de Firma Digital de Curva Elíptica (ECDSA), para revertir la clave privada desde la clave pública. Por lo tanto, se dice que la blockchain es computacionalmente imposible de comprometer.

Sin embargo, un futuro ordenador cuántico podría cambiar esta vía unidireccional en un camino bidireccional al derivar tu clave privada a partir de la clave pública y vaciar tus monedas.

La clave pública se expone de dos maneras: desde monedas inactivas en la cadena (el ataque de larga exposición) o monedas en movimiento o transacciones que están en el pool de memoria (ataque de corta exposición).

Las direcciones Pay-to-Public-Key (P2PK), utilizadas por Satoshi y los primeros mineros, y Taproot (P2TR), el formato actual de dirección activado en 2021, son vulnerables al ataque de larga exposición. Las monedas en estas direcciones no necesitan mover para revelar sus claves públicas; la exposición ya ha tenido lugar y es legible por cualquier persona en el mundo, incluyendo a un futuro atacante cuántico. Aproximadamente 1.7 millones de BTC están en antiguas direcciones P2PK, incluidas las monedas de Satoshi.

La corta exposición está relacionada con el mempool, donde se encuentran las transacciones no confirmadas. Mientras las transacciones están allí esperando su inclusión en un bloque, tu clave pública y firma son visibles para toda la red.

Un ordenador cuántico podría acceder a esos datos, pero contaría con solo una breve ventana, antes de que la transacción se confirme y se entierre bajo bloques adicionales, para derivar la clave privada correspondiente y actuar sobre ella.

Iniciativas

BIP 360: Eliminación de la clave pública

Como se mencionó anteriormente, cada nueva dirección de Bitcoin creada utilizando Taproot hoy expone permanentemente una clave pública en la cadena, brindando a un futuro ordenador cuántico un objetivo que nunca desaparece.

El Protocolo de Mejora de Bitcoin (BIP) 360 elimina la clave pública permanentemente incrustada en la cadena y visible para todos al introducir un nuevo tipo de salida llamado Pay-to-Merkle-Root (P2MR).

Recuerda que un ordenador cuántico estudia la clave pública, retroingeniera la forma exacta de la clave privada y forja una copia funcional. Si eliminamos la clave pública, el ataque no tiene nada sobre lo que trabajar. Mientras tanto, todo lo demás, incluidos los pagos por Lightning, configuraciones de firma múltiple y otras características de Bitcoin, permanece igual.

No obstante, si se implementa, esta propuesta solo protege las nuevas monedas en adelante. Los 1.7 millones de BTC que ya se encuentran en antiguas direcciones expuestas plantean un problema diferente, que se aborda en otras propuestas a continuación.

SPHINCS+ / SLH-DSA: Firmas post-cuánticas basadas en hash

SPHINCS+ es un esquema de firma post-cuántico basado en funciones hash, evitando los riesgos cuánticos que enfrenta la criptografía de curva elíptica usada por Bitcoin. Mientras que el algoritmo de Shor amenaza al ECDSA, los diseños basados en hashes como SPHINCS+ no se consideran igualmente vulnerables.

Este esquema fue estandarizado por el Instituto Nacional de Estándares y Tecnología (NIST) en agosto de 2024 como FIPS 205 (SLH-DSA) tras años de revisión pública.

El trade-off por la seguridad es el tamaño. Mientras que las firmas actuales de bitcoin son de 64 bytes, las SLH-DSA son de 8 kilobytes (KB) o más. Como resultado, la adopción de SLH-DSA aumentaría drásticamente la demanda de espacio en los bloques y elevaría las tarifas de transacción.

Por ello, propuestas como SHRIMPS (otro esquema de firma post-cuántica basado en hash) y SHRINCS ya se han introducido para reducir el tamaño de las firmas sin comprometer la seguridad post-cuántica. Ambos se basan en SPHINCS+ mientras buscan mantener sus garantías de seguridad en una forma más práctica y eficiente en términos de espacio, adecuada para su uso en blockchain.

Esquema Commit/Reveal de Tadge Dryja: Un freno de emergencia para el Mempool

Esta propuesta, un soft fork sugerido por Tadge Dryja, co-creador de Lightning Network, tiene como objetivo proteger las transacciones en el mempool de un posible atacante cuántico. Lo logra separando la ejecución de transacciones en dos fases: Commit y Reveal.

Imagina avisar a una contraparte que les enviarás un correo electrónico, para luego enviar realmente ese correo. La primera fase es el commit y la segunda es el reveal.

En la blockchain, esto significa que primero publicas una huella digital sellada de tu intención —solo un hash, que no revela nada sobre la transacción. La blockchain marca esa huella permanentemente. Luego, cuando broadcastas la transacción real, tu clave pública se hace visible —y sí, un ordenador cuántico vigilando la red podría derivar tu clave privada a partir de ella y forjar una transacción competidora para robar tus fondos.

Sin embargo, esa transacción forjada se rechaza de inmediato. La red comprueba: ¿tiene este gasto un compromiso previo registrado en la cadena? El tuyo sí. El del atacante no, ya que lo creó momentos atrás. Tu huella pre-registrada es tu coartada.

El problema, sin embargo, es el costo adicional debido a que la transacción se descompone en dos fases. Por lo tanto, se describe como un puente temporal, práctico de desplegar mientras la comunidad trabaja en la construcción de defensas cuánticas.

Hourglass V2: Lentificando el gasto de monedas antiguas

Propuesta por el desarrollador Hunter Beast, Hourglass V2 busca mitigar la vulnerabilidad cuántica ligada a aproximadamente 1.7 millones de BTC que se encuentran en direcciones antiguas ya expuestas.

La propuesta acepta que estas monedas podrían ser robadas en un futuro ataque cuántico y busca frenar la hemorragia limitando las ventas a un bitcoin por bloque, para evitar una liquidación masiva catastrófica que podría desplomar el mercado.

La analogía es un «bank run»: no puedes detener a la gente de retirar, pero puedes limitar la velocidad de los retiros para evitar que el sistema colapse de la noche a la mañana. La propuesta es controvertida porque incluso esta restricción limitada es vista por algunos en la comunidad de Bitcoin como una violación del principio de que ninguna parte externa puede interferir en tu derecho a gastar tus monedas.

Conclusión

Estas propuestas aún no están activadas, y la gobernanza descentralizada de Bitcoin, que abarca a desarrolladores, mineros y operadores de nodos, implica que cualquier actualización probablemente tomará tiempo en materializarse.

Aun así, el constante flujo de propuestas que precedieron al informe de Google de esta semana sugiere que el tema ha estado en la mira de los desarrolladores por mucho tiempo, lo que podría ayudar a calmar las preocupaciones del mercado.