A medida que los avances en computación cuántica obligan a los criptógrafos a replantearse los fundamentos matemáticos de la seguridad digital, la industria de las criptomonedas se enfrenta a una pregunta única y urgente: ¿cómo migrar miles de millones de dólares en activos bloqueados tras criptografía de curva elíptica a esquemas de firma resistentes a cuántica sin romper las redes que los aseguran?
La amenaza cuántica para las criptomonedas: real pero no inminente
Bitcoin (BTC) y Ethereum (ETH) dependen ambos de un algoritmo de firma llamado ECDSA, construido sobre la curva elíptica secp256k1, para demostrar la propiedad de los fondos. La seguridad de cada transacción depende de una única suposición matemática: que derivar una clave privada a partir de su clave pública correspondiente es computacionalmente inviable para los ordenadores clásicos.
El algoritmo de Shor, publicado por primera vez por el matemático Peter Shor en 1994, destruye esa suposición.
Ejecutado en un ordenador cuántico suficientemente potente, reduce el problema del logaritmo discreto sobre curvas elípticas a tiempo polinómico, lo que significa que podría extraer claves privadas lo bastante rápido como para vaciar cualquier monedero cuya clave pública se haya expuesto on-chain.
El hardware para ejecutar ese ataque aún no existe. Las estimaciones actuales sugieren que romper secp256k1 requeriría aproximadamente entre 2.330 y 2.500 cúbits lógicos, lo que se traduce en unos 13 millones de cúbits físicos para un ataque de un día. Los procesadores cuánticos más avanzados de hoy operan con poco más de 100 cúbits.
El algoritmo de Grover, la otra amenaza cuántica citada habitualmente, apunta a las funciones hash en lugar de a las firmas. Solo ofrece una aceleración cuadrática, reduciendo la seguridad de SHA-256 de 256 bits a 128 bits, lo que sigue requiriendo 2 elevado a 128 operaciones, algo que permanece firmemente en el terreno de lo irrompible.
El mecanismo de prueba de trabajo de Bitcoin no está en riesgo por la computación cuántica. Su esquema de firma sí lo está.
El debate sobre los plazos se divide claramente entre optimistas y pesimistas.
Jensen Huang, CEO de Nvidia, sitúa los ordenadores cuánticos útiles «probablemente a veinte años de distancia».
Adam Back, CEO de Blockstream y cypherpunk, ha desestimado las advertencias a corto plazo, argumentando que los plazos de 2028 no son realistas.
En el otro lado, Shohini Ghose, CTO del Quantum Algorithms Institute, ha advertido que la comunidad no está lo bastante alarmada, señalando que en el momento en que se propuso la computación cuántica, toda la criptografía de clave pública existente se volvió conceptualmente vulnerable.
La encuesta de 2024 del Global Risk Institute a 32 expertos situó entre el 19 y el 34 por ciento la probabilidad de que aparezca un ordenador cuántico criptográficamente relevante en diez años, frente al 17 al 31 por ciento en 2023. La mayoría de los especialistas convergen en principios o mediados de la década de 2030 como la ventana más probable.
También lee: Bitcoin Holders Quietly Stack $23B Worth Of BTC In 30 Days
Qué significa realmente la criptografía poscuántica
La criptografía poscuántica, o PQC, se refiere a una familia de algoritmos criptográficos diseñados para resistir ataques tanto de ordenadores clásicos como cuánticos.
A diferencia de la criptografía cuántica, que se basa en la mecánica cuántica para la distribución de claves, la PQC se ejecuta totalmente en hardware convencional. Esta distinción es enormemente importante para las cadenas de bloques, porque significa que los nodos y monederos existentes pueden adoptar estos esquemas sin equipos cuánticos especializados.
Han surgido cinco grandes familias de algoritmos PQC tras décadas de investigación académica.
Cada una adopta un enfoque matemático fundamentalmente distinto para construir problemas que los ordenadores cuánticos no puedan resolver de forma eficiente, y cada una viene con su propio conjunto de compensaciones en tamaño de firma, velocidad de cómputo y suposiciones de seguridad.
También lee: Billion-Dollar Trades Before Iran Announcement Trigger Calls For SEC Investigation
Criptografía basada en retículas: la favorita
Los esquemas basados en retículas dominan el panorama poscuántico. Los dos algoritmos más destacados —CRYSTALS-Kyber (ahora estandarizado como ML-KEM) para encapsulación de claves y CRYSTALS-Dilithium (ahora ML-DSA) para firmas digitales— derivan su seguridad del problema Module Learning With Errors. En términos simplificados, esto implica recuperar un vector secreto a partir de un sistema de ecuaciones lineales ruidosas definidas sobre una retícula matemática estructurada.
Las operaciones subyacentes se reducen a aritmética polinómica y evaluaciones de hash, lo que hace que los esquemas de retículas sean rápidos y ampliamente implementables en diferentes plataformas de hardware.
ML-DSA en su nivel de seguridad más bajo produce firmas de aproximadamente 2.420 bytes con claves públicas de 1.312 bytes, unas 38 veces más grandes que las compactas firmas de 64 bytes que ECDSA produce hoy.
Ese aumento de tamaño es manejable para la mayoría de las aplicaciones en internet. Para las cadenas de bloques, donde cada byte en una transacción afecta directamente al rendimiento y a las comisiones, representa una seria limitación de ingeniería.
También lee: Hyperliquid Hits 44% Of All Perp DEX Volume
Firmas basadas en hash: conservadoras pero costosas
La criptografía basada en hash ofrece las garantías de seguridad más conservadoras de cualquier familia de PQC. SPHINCS+, ahora estandarizado como SLH-DSA, se basa únicamente en las propiedades de las funciones hash, sin suposiciones algebraicas que puedan caer ante un futuro avance matemático.
El esquema construye lo que los criptógrafos llaman un «hiperárbol»: una estructura en capas de firmas Winternitz de un solo uso conectadas por árboles de Merkle, lo que permite un número ilimitado de firmas sin estado a partir de un solo par de claves.
La compensación es severa.
Las firmas producidas por SLH-DSA van de aproximadamente 7.856 bytes a 49.856 bytes, según el conjunto de parámetros elegido, y el proceso de firmado es aproximadamente 100 veces más lento que las alternativas basadas en retículas.
XMSS, la variante con estado, genera firmas más compactas, en el rango de 2.500 a 5.000 bytes, pero requiere un seguimiento cuidadoso de qué claves de un solo uso ya se han utilizado. Reutilizar una clave destruye todas las garantías de seguridad.
Para las cadenas de bloques, los esquemas basados en hash presentan una paradoja. Sus suposiciones de seguridad son las más sólidas de cualquier familia PQC, pero sus tamaños de firma podrían hacerlos poco prácticos para cadenas de alto rendimiento.
También lee: Circle Wants The EU To Let Stablecoins Settle Trades
Criptografía basada en códigos y otros enfoques: fortalezas y fallos
La criptografía basada en códigos, ejemplificada por Classic McEliece, se basa en la dificultad de decodificar códigos lineales aleatorios, un problema propuesto por primera vez en 1978 que ha resistido cuatro décadas de criptoanálisis sostenido.
Sus claves públicas son enormes, desde 261 KB hasta 1,3 MB, pero sus cifrados son diminutos, de 128 a 240 bytes. HQC, un esquema más reciente basado en códigos, fue seleccionado por NIST en marzo de 2025 como mecanismo de encapsulación de claves de respaldo.
La criptografía de polinomios multivariantes se basa en la dificultad NP-completa de resolver sistemas de ecuaciones cuadráticas multivariantes sobre cuerpos finitos.
Rainbow, el principal candidato de esta familia, fue roto de forma catastrófica en febrero de 2022 por el investigador Ward Beullens, quien recuperó claves secretas en un portátil corriente en 53 horas.
El esquema fundamental UOV sobrevive, y una derivación compacta llamada MAYO avanzó a la competición adicional de firmas de segunda ronda de NIST en octubre de 2024.
La criptografía basada en isogenias sufrió un colapso aún más dramático. SIKE, que ofrecía los tamaños de clave más pequeños de cualquier candidato PQC con unos 330 bytes, fue destruido en agosto de 2022 cuando Wouter Castryck y Thomas Decru, de la KU Leuven, publicaron un ataque clásico de recuperación de claves que explota un teorema de 1997 del matemático Ernst Kani.
SIKEp434 cayó en una hora en un solo núcleo de CPU. La investigación continúa con nuevos esquemas como SQISign y CSIDH, pero ningún algoritmo basado en isogenias permanece en la competición principal de estandarización de NIST.
También lee: A $30M Pharma Company Just Bought $147M Of One Crypto Token
La maratón de estandarización de ocho años de NIST
NIST lanzó su Proceso de Estandarización de Criptografía Poscuántica en diciembre de 2016, aceptando 69 candidaturas hasta noviembre de 2017. Siguieron tres rondas de criptoanálisis público, que lograron exponer fallos fatales tanto en Rainbow como en SIKE.
El proceso culminó el 13 de agosto de 2024 con la publicación de los tres primeros estándares finalizados.
El FIPS 203, basado en Kyber, gestiona la encapsulación de claves bajo el nombre ML-KEM. El FIPS 204, basado en Dilithium, cubre las firmas digitales como ML-DSA. El FIPS 205, basado en SPHINCS+, proporciona un estándar alternativo de firma basada en hash llamado SLH-DSA.
Un cuarto estándar, FIPS 206, basado en el algoritmo FALCON, entró en fase de borrador para aprobación en agosto de 2025 y se espera que se finalice a finales de 2026 o principios de 2027.
FALCON produce firmas de aproximadamente 666 bytes, unas diez veces el tamaño de ECDSA en lugar de las 38 veces que requiere Dilithium. — convirtiéndolo en el esquema de firma poscuántico más compacto y el candidato más sólido para aplicaciones en blockchain.
El líder del proyecto de NIST, Dustin Moody, instó a las organizaciones a comenzar la transición lo antes posible.
El marco CNSA 2.0 de la NSA exige el uso exclusivo de algoritmos poscuánticos para la firma de software para 2030 y para la infraestructura web para 2033. El propio NIST planea desaprobar por completo la criptografía de curvas elípticas para 2035. El gobierno de EE. UU. estima el costo total de esta migración en aproximadamente 7.100 millones de dólares.
También lee: Polymarket Bans Insider Trading
BIP-360 de Bitcoin: Un escudo cuántico con obstáculos de gobernanza
La propuesta de resistencia cuántica más significativa de Bitcoin es BIP-360, coautoría de Hunter Beast de MARA, Ethan Heilman e Isabel Foxen Duke.
Presentada en junio de 2024 e incorporada al repositorio oficial de BIP a principios de 2025, crea un nuevo tipo de salida llamado Pay-to-Merkle-Root, o P2MR, usando salidas SegWit de la versión 2 con direcciones bc1z. P2MR elimina el gasto por ruta de clave vulnerable a lo cuántico de Taproot, estableciendo una base modular para futuras bifurcaciones suaves que añadirían esquemas de firma PQC específicos como ML-DSA o SLH-DSA.
El 20 de marzo de 2026, BTQ Technologies implementó la primera implementación funcional de BIP-360 en su Bitcoin Quantum Testnet v0.3.0, con reglas de consenso P2MR completas, cinco opcodes de firmas poscuánticas Dilithium y herramientas de monedero de extremo a extremo.
La testnet atrajo a más de 50 mineros y procesó más de 100.000 bloques.
Chaincode Labs señaló en un análisis de mayo de 2025 que las iniciativas de PQC en Bitcoin siguen en una fase temprana y exploratoria.
El problema del tamaño de las firmas es enorme. Una transacción típica de Bitcoin utiliza aproximadamente 225 bytes con ECDSA. Sustituir la firma de unos 72 bytes por los 2.420 bytes de Dilithium2 más su clave pública de 1.312 bytes añade aproximadamente 3.700 bytes por entrada, es decir, unas 16 veces el tamaño de la transacción actual completa.
Los investigadores proyectan una degradación del rendimiento de entre el 52 y el 57 por ciento en redes de prueba permisionadas y posiblemente entre el 60 y el 70 por ciento en redes sin permisos, con aumentos en las comisiones de entre dos y tres veces. Las firmas más compactas de FALCON-512 reducirían el impacto a aproximadamente siete veces por transacción, convirtiéndolo en el candidato más sólido para su despliegue en blockchain.
La cultura de gobernanza conservadora de Bitcoin agrava el desafío. SegWit tardó aproximadamente 8,5 años en lograr una adopción generalizada, y Taproot tardó 7,5 años.
La controvertida propuesta QRAMP, que establecería una fecha límite después de la cual las monedas en formatos de direcciones antiguos se volverían imposible de gastar, ilustra el campo minado de gobernanza que se avecina.
Mientras tanto, aproximadamente 6,5 millones de BTC se encuentran en direcciones vulnerables a lo cuántico, incluidas las estimadas 1,1 millones de BTC en direcciones P2PK expuestas de Satoshi.
También lee: Larry Fink Says Tokenization Is Where The Internet Was In 1996
La abstracción de cuentas de Ethereum ofrece un camino más limpio
Ethereum actuó de forma decisiva a principios de 2026.
El 23 de enero, la Fundación Ethereum elevó formalmente la seguridad poscuántica a máxima prioridad estratégica, creando un equipo PQ dedicado dirigido por el ingeniero criptográfico Thomas Coratger.
El investigador sénior Justin Drake anunció que, tras años de investigación y desarrollo discretos, la dirección había declarado oficialmente la seguridad PQ como la máxima prioridad estratégica de la Fundación, añadiendo que los plazos se estaban acelerando y que era momento de ir “full PQ”. La Fundación respaldó el esfuerzo con 2 millones de dólares en financiación divididos entre el Poseidon Prize y el Proximity Prize para investigación en PQC.
Vitalik Buterin presentó una hoja de ruta integral de resistencia cuántica el 26 de febrero de 2026, dirigida a cuatro áreas de vulnerabilidad en la pila de Ethereum: sustituir las firmas BLS de la capa de consenso por firmas basadas en hashes con agregación STARK; reemplazar los compromisos KZG por STARKs resistentes a lo cuántico; abordar las firmas ECDSA de las cuentas externas mediante abstracción nativa de cuentas; y migrar las pruebas de conocimiento cero de la capa de aplicación de Groth16 a STARKs.
El mecanismo habilitador crítico es el EIP-8141, conocido como “Frame Transactions”, coautoría de Buterin y otros. Desacopla las cuentas de Ethereum de las firmas ECDSA fijas, permitiendo que cada cuenta defina su propia lógica de validación, ya sean firmas resistentes a lo cuántico, multifirmas o rotación de claves.
A diferencia del posible requisito de hard fork de Bitcoin, el EIP-8141 logra esto mediante abstracción nativa de cuentas, proporcionando una vía de salida desde la criptografía de curvas elípticas hacia sistemas seguros poscuánticos sin obligar a una migración de toda la red a la vez. La propuesta está prevista para la bifurcación dura Hegotá a finales de 2026.
También lee: Strategy Opens $44B In New ATM Capacity
Algorand y QRL lideran entre las blockchains preparadas para lo cuántico
Algorand (ALGO) ejecutó la primera transacción poscuántica en una blockchain pública en funcionamiento el 3 de noviembre de 2025, utilizando firmas FALCON-1024 seleccionadas por NIST en mainnet.
Fundada por el ganador del Premio Turing Silvio Micali, el equipo de Algorand incluye a Chris Peikert, coautor del marco GPV que sustenta FALCON, y Zhenfei Zhang, contribuyente directo a la propuesta FALCON de NIST. Las State Proofs de la cadena utilizan firmas FALCON desde 2022, haciendo que toda la historia de la blockchain sea cuánticamente segura para la verificación entre cadenas.
Algorand demuestra que 10.000 transacciones por segundo con tiempos de bloque de 2,8 segundos pueden coexistir con firmas poscuánticas.
QRL (Quantum Resistant Ledger), lanzada en junio de 2018, ha sido resistente a lo cuántico desde su bloque génesis mediante firmas basadas en hashes XMSS.
Tras siete años de operación sin incidentes de seguridad, QRL 2.0 (Project Zond) está migrando a SPHINCS+ sin estado y añadiendo compatibilidad con la EVM.
Solana (SOL) introdujo una bóveda Winternitz opcional en enero de 2025, y la Solana Foundation se asoció con Project Eleven en diciembre de 2025 para abrir una testnet pública que sustituye Ed25519 por Dilithium. IOTA se alejó notablemente de la resistencia cuántica en 2021, pasando de firmas Winternitz a Ed25519 por razones de rendimiento, una decisión que ilustra la tensión práctica entre la preparación cuántica y las demandas actuales de rendimiento.
También lee: Core Scientific Raises $1B From JPMorgan, Morgan Stanley For AI Pivot
“Cosechar ahora, descifrar después” es real, pero matizado para blockchain
La estrategia de “cosechar ahora, descifrar después”, en la que los adversarios recopilan datos cifrados hoy con la intención de descifrarlos cuando las computadoras cuánticas sean lo bastante potentes, es una amenaza reconocida que impulsa la urgencia en gobiernos y agencias de inteligencia. Rob Joyce, director de ciberseguridad de la NSA, ha advertido que la transición a un cifrado seguro frente a lo cuántico será un esfuerzo comunitario largo e intenso.
Chris Ware, de la Iniciativa de Seguridad Cuántica del Foro Económico Mundial, ha identificado a China como un Estado nación con capacidad para emprender este tipo de ataques a escala.
Para blockchain, sin embargo, el marco de “cosechar ahora” requiere un matiz cuidadoso. Como Justin Thaler, de a16z crypto, argumentó en un análisis de diciembre de 2025, la amenaza cuántica para las blockchains públicas es la falsificación de firmas más que el descifrado.
El libro mayor de Bitcoin ya es público. No hay datos cifrados que cosechar.
El peligro real es la derivación directa de claves: una vez que exista una computadora cuántica criptográficamente relevante, cualquier dirección cuya clave pública haya sido expuesta on-chain se vuelve inmediatamente vulnerable, independientemente de cuándo se haya producido la exposición.
El registro permanente e inmutable de la blockchain hace que esa exposición sea irrevocable. Las monedas centradas en la privacidad como Monero (XMR) y Zcash (ZEC), que cifran los detalles de las transacciones, sí se enfrentan al riesgo más tradicional de cosechar-ahora.
También lee: Fed Hawkish Tone Triggers $405M Crypto Outflows
El hardware cuántico actual sigue muy lejos de romper la criptografía
El chip Willow de Google, presentado en diciembre de 2024 con 105 qubits, logró la primera demostración de corrección de errores cuánticos por debajo del umbral, reduciendo exponencialmente los errores a medida que se añaden más qubits al sistema. Completó un cálculo de referencia específico en menos de cinco minutos que llevaría a los superordenadores clásicos unos 10 a la potencia de 25 años.
Sin embargo, como señaló Winfried Hensinger, de la Universidad de Sussex, el chip sigue siendo demasiado pequeño para realizar cálculos útiles del tipo necesario para amenazar a los sistemas criptográficos.
La hoja de ruta de IBMtargets 200 qubits lógicos para 2029 con su procesador Starling. El chip Majorana 1 topológico de Microsoft, presentado en febrero de 2025, promete una corrección de errores radicalmente más eficiente gracias a una nueva arquitectura de qubits.
Pero incluso las proyecciones más optimistas sitúan estos hitos muy por debajo de los millones de qubits físicos necesarios para ejecutar el algoritmo de Shor contra ECDSA a escala.
Un artículo de mayo de 2025 de Craig Gidney de Google compressed los requisitos de recursos estimados para factorizar RSA-2048 de 20 millones a menos de 1 millón de qubits ruidosos, una reducción de un factor de veinte que afinó considerablemente las estimaciones de los plazos. Metaculus, la plataforma de predicciones, cambió su pronóstico de 2052 a 2034 para el momento en que el algoritmo de Shor podría factorizar RSA a escala práctica.
El concepto de "Día-Q" —el momento en que una computadora cuántica rompa con éxito la criptografía de clave pública actual— sigue siendo un objetivo móvil. El teorema del matemático Michele Mosca captures la urgencia de forma sencilla: si el tiempo necesario para migrar más la vida útil de tus datos supera el tiempo que queda hasta el Día-Q, ya es demasiado tarde.
Also Read: What Will It Take For Solana To Reclaim $90?
Closing Thoughts
Los algoritmos poscuánticos funcionan. Las normas del NIST están publicadas, FALCON ofrece tamaños de firma prácticos para el despliegue en blockchain y Algorand ha demostrado transacciones PQC a escala en una red en funcionamiento. El problema difícil no es criptográfico, sino social y estructural: la gobernanza descentralizada de Bitcoin hace que los cambios rápidos de protocolo sean extraordinariamente difíciles, las firmas entre 10 y 38 veces más grandes que ECDSA reducirán el rendimiento y aumentarán las comisiones, y los aproximadamente 6,5 millones de BTC en direcciones vulnerables a la computación cuántica crean un desafío de coordinación sin precedentes.
La ventana de acción no viene definida por cuándo llegarán las computadoras cuánticas criptográficamente relevantes, sino por cuánto tiempo lleva la propia migración.
Dado que las actualizaciones de Bitcoin históricamente requieren entre siete y ocho años y que los mandatos gubernamentales apuntan a 2030–2035, el calendario de la industria de las criptomonedas para estar preparada frente a la computación cuántica ya es incómodamente ajustado. Los proyectos que empiecen a migrar ahora estarán seguros cuando llegue el Día-Q. Los que esperen, no lo estarán.
Read Next: Resolv USR Crashes 72% After $25M Exploit