La calma en el mundo de la ciberseguridad desde hace unos días para acá se ha roto oficialmente. Durante años, la llegada del “Q-Day” —el momento en que una computadora cuántica sea capaz de pulverizar los estándares de cifrado actuales— se veía como una preocupación puramente teórica para la década de 2030 o 2040.
Sin embargo, en los últimos días, el tono de la conversación ha cambiado drásticamente y ahora mismo, lo que antes eran simples advertencias académicas se han convertido en hojas de ruta de emergencia por lo cerca que estamos de esa fatídica fecha.
A finales de marzo, Google Quantum AI, la división de investigación de élite del gigante tecnológico, publicó un informe técnico que causó pánico a través de Silicon Valley y los mercados de activos digitales.
La conclusión es tan clara como alarmante, porque básicamente advertía que las futuras computadoras cuánticas podrían romper la criptografía de curva elíptica (ECC, «por sus siglas en inglés») mucho antes y con menos recursos de lo que se creía. Esto es —la columna vertebral que protege desde tus mensajes de WhatsApp hasta los millones de dólares en Bitcoin—.
El documento de Google, titulado “Salvaguardando las criptomonedas mediante la divulgación responsable de vulnerabilidades cuánticas”, no solo advierte sobre el peligro, sino que redefine el costo de ejecución del ataque.
Según sus investigadores, gracias a avances en la corrección de errores y optimización de algoritmos, el umbral de cúbits necesarios para descifrar una clave privada de Bitcoin se ha reducido drásticamente.
Esta revelación ha forzado a otros gigantes de la infraestructura a mover ficha y este martes, Cloudflare, la empresa que gestiona una parte masiva del tráfico global de la Web, informó que aceleró su propia hoja de ruta post-cuántica.
En una entrada de blog que ya es tendencia, la firma fijó el 2029 como el año límite para que toda su infraestructura sea resistente a ataques cuánticos y eso sí, no se trata solo de encriptar datos, sino de algo mucho más difícil, la autenticación de sistemas.
Sin embargo, el problema del Q-day va más allá porque la llamada vulnerabilidad de Satoshi es literalmente el “Tesoro de los Faraones” por el que actores indiscriminados se dedicarán a robarlo apenas descifren las claves privadas de esas direcciones vulnerables.
El debate ha puesto el foco en la mayor reserva de valor del mundo digital, porque los aproximadamente 1.1 millones de Bitcoins minados por Satoshi Nakamoto y que nunca reclamó, es donde la amenaza cuántica se vuelve personal y casi arqueológica.
A diferencia de las direcciones modernas de Bitcoin, que ocultan su clave pública tras capas de hashing, las primeras direcciones creadas por el misterioso creador de esta criptomoneda fueron hechas usando el (formato P2PK), las cuales tienen su clave pública expuesta directamente en la cadena de bloques desde 2009.
Para un atacante con una computadora cuántica de 10.000 cúbits, estas direcciones son como cajas fuertes de cristal, por lo que podría vulnerarlas todas y apropiarse con todos esos fondos en BTC, lo que ha hecho que el debate recrudezca. Además, a esto se suma un componente místico, porque muchos expertos recuerdan que el patrón de minado de Satoshi (conocido como el patrón «Patoshi») era extraño e irregular.
Este patrón sugiere que Nakamoto no utilizó simples CPU domésticas de la época, sino que se especula que pudo haber empleado supercomputadoras o entornos de computación paralela de vanguardia para asegurar la red en sus inicios.
Si la seguridad de esas monedas depende de un generador de números aleatorios de 2009, una máquina cuántica podría no solo usar el Algoritmo de Shor para derivar las claves, sino también explotar debilidades de entropía que ya eran vulnerables entonces.
“El Día Q amenaza a todos los sistemas. Por lo tanto, es importante comprender el impacto de un posible Día Q en las dependencias de terceros, tanto directas como indirectas”, explica Cloudflare en su entrada del Blog.
Mientras que el 65% del tráfico que pasa por sus servidores ya está encriptado con métodos híbridos post-cuánticos, el verdadero reto es la autenticación, ya que si un atacante cuántico puede suplantar la identidad de un servidor de actualizaciones de software o de un nodo de validación de criptomonedas, el sistema entero colapsa, aunque los datos viajen cifrados.
Es por ello, que la hoja de ruta de Cloudflare es agresiva: En 2026: Implementación de autenticación post-cuántica (PQC) para conexiones de origen, en 2027: Despliegue de nuevos certificados para visitantes y en 2029: Seguridad post-cuántica total y por defecto.
Para el ecosistema blockchain, el reto es aún mayor que para Cloudflare, porque una empresa puede actualizar sus servidores de forma centralizada, pero en el caso de Bitcoin se requiere un consenso global, por lo que la comunidad se enfrenta a un dilema ético y técnico sin precedentes.
Para proteger la red, sería necesario migrar hacia firmas resistentes a la computación cuántica (como las basadas en redes o lattices), pero, ¿qué ocurre con los fondos de Satoshi o de usuarios que han perdido sus claves privadas y no pueden realizar la migración manualmente?
Si la comunidad decide “congelar” o “quemar” esas monedas para evitar que un hacker las robe y hunda el precio del mercado, estarían rompiendo la promesa fundamental de Bitcoin que es la inmutabilidad, lo que de plano dañaría la reputación de Bitcoin.
De hecho, la Tabla de Riesgo por Tipo de Dirección en Bitcoin ha sido actualizada y de acuerdo al tipo de Dirección, el Estado de la Clave Pública, se determinó su nivel de Riesgo ante Q-Day, quedando de la siguiente manera:
Las direcciones iniciales P2PK (Satoshi), con un estatus de Clave Pública Expuesta (En el script), por lo que poseen un nivel Extremo de Riesgo ante el Q-Day y cuyos ataques, pueden ser ejecutados mediante ataques offline, por lo que el hacker tiene años para calcular la clave privada tranquilamente con ataques de fuerza bruta hasta que rompa la seguridad.
Las direcciones P2PKH (Legacy) y las direcciones SegWit/Taproot, consideradas modernas cuentan con un estatus de Clave Pública Oculta detrás de una función Hash (específicamente SHA-256 y RIPEMD-160), por lo que poseen un nivel Bajo de Riesgo ante el Q-Day en ataques offline pero no a los ataques en tránsito.
Estos ataques en tránsito, se refieren al momento exacto en que decides gastar tus Bitcoins, por lo que para que los mineros validen que tú eres el dueño, el protocolo te obliga a revelar dos cosas al enviar la transacción: 1) Tu Clave Pública (que hasta ese momento era secreta) y Tu Firma Digital, por lo que allí es donde se abre la ventana de ataque.
Desde que tú haces clic en “Enviar” y tu transacción llega a la Mempool (la sala de espera de la red) hasta que un minero la incluye en un bloque (unos 10 minutos de media), tu Clave Pública es totalmente visible para todo el mundo, incluido el hacker cuántico, permitiendo que allí se pueda en teoría, robar el resto de los BTC en dicha cuenta.
Y por último, las direcciones Reutilizadas, también están muy Expuestas al Riesgo ante el Q-Day, debido al uso previo, lo que las lleva a ser vulneradas mediante ataques offline. Así que el debate reabierto por Google no es un ejercicio de miedo, sino un llamado a la “cripto-agilidad”, esto también aplica a exchanges y bancos con fondos en moneda fiduciaria y en cripto, porque todos deben trabajar para blindar el sistema financiero de la exposición a las Computadoras Cuánticas.
De hecho, la llegada de máquinas como la Quantum Starling de IBM, prevista también para finales de la década, confirma que el margen de error se ha evaporado y la seguridad de la economía digital del siglo XXI depende de que logremos cambiar los cimientos de la casa mientras aún vivimos en ella.
Como advierte Cloudflare, no podemos esperar a que el primer gran ataque ocurra, porque para cuando veamos la luz de la computadora cuántica, el pasado ya habrá sido descifrado. El 2029 no es solo una fecha; es la nueva frontera de la supervivencia digital.