El problema real no es Bitcoin: es que los bancos no saben ni lo que tienen que proteger.

El documento de Google que agitó las redes sociales la ultima semana

El 28 de marzo de 2026, Google publicó un documento que concentró más debate en redes sociales que cualquier otra noticia tecnológica de la semana: su equipo de seguridad anunció formalmente que la compañía se fija 2029 como fecha límite para completar la migración de sus servicios de autenticación a criptografía postcuántica (PQC). No como objetivo aspiracional. Como deadline operativo, con el mismo lenguaje con que se gestiona un lanzamiento de producto.

Para entender por qué ese documento importa, hay que retroceder brevemente. En diciembre de 2024, Google presentó el chip cuántico Willow, un procesador superconductor de 105 cúbits que logró por primera vez lo que se denominó corrección de errores cuánticos por debajo del umbral: a medida que se escala el número de cúbits, la tasa de error decrece exponencialmente en lugar de aumentar, lo que había sido el obstáculo fundamental durante décadas. En octubre de 2025, Willow dio un paso más: ejecutó el algoritmo Quantum Echoes —publicado en Nature— 13.000 veces más rápido que el superordenador Frontier, el más potente del mundo en computación clásica en ese momento, sobre una tarea verificable y con aplicaciones reales en química molecular.

En mayo de 2025, investigadores de Google publicaron un preprint con una estimación que comprimió drásticamente el horizonte temporal del riesgo: según sus cálculos, el RSA de 2048 bits podría ser roto teóricamente por un ordenador cuántico con tan solo un millón de cúbits ruidosos operando durante una semana. Eso supone una reducción de 20 veces respecto a su estimación anterior de 20 millones de cúbits. Y el objetivo de Google para 2029 es construir precisamente esa clase de máquina.

El equipo de seguridad de Google escribió que los ordenadores cuánticos "representarán una amenaza significativa para los estándares criptográficos actuales, y específicamente para el cifrado y las firmas digitales", y que la amenaza a las firmas digitales "requiere la transición a PQC antes de la llegada de un ordenador cuántico criptográficamente relevante." Esto no lo dice un académico. Lo dice la empresa que construye los ordenadores cuánticos y que tiene más información sobre la trayectoria de ese hardware que ninguna otra organización privada en el planeta.

La reacción en redes fue predecible: titulares sobre el fin de Bitcoin, el fin del cifrado bancario, el fin de la privacidad digital. La mayoría de esos titulares confunden el problema real con el problema que genera más clics. Vamos por partes.

El primer objetivo no es Bitcoin: es la criptografía de clave pública que sostiene todo lo demás

Antes de hablar de Bitcoin, hay que entender qué es lo que un ordenador cuántico rompería primero —y por qué eso afecta a infraestructuras mucho más grandes y menos ágiles que una red de criptomonedas.

Criptografía de Curva Elíptica (ECC)

La Criptografía de Curva Elíptica es el sistema que protege la mayoría de las comunicaciones seguras modernas: HTTPS, las firmas digitales de los certificados SSL/TLS, los sistemas de pago con tarjeta, las VPN corporativas, y sí, también Bitcoin. La idea central es matemáticamente elegante: dada una curva elíptica sobre un campo finito, multiplicar un punto base G por un número K es computacionalmente sencillo, pero invertir la operación —es decir, encontrar K conociendo solo el punto resultante— es prácticamente imposible para un ordenador clásico.

Bitcoin, en concreto, usa la curva SECP256k1 con el algoritmo ECDSA para las firmas de transacciones. Cada dirección de Bitcoin es esencialmente la clave pública generada mediante ECC; la clave privada correspondiente es el secreto que permite firmar transacciones. Un ordenador cuántico suficientemente potente ejecutando el algoritmo de Shor podría invertir esa relación matemática: dada una clave pública expuesta, derivar la clave privada. El ataque requeriría que la clave pública estuviera visible, lo que ocurre en el momento en que se difunde una transacción y antes de que se confirme, o en las llamadas "direcciones de pago a clave pública" directas (P2PK), más antiguas.

Rivest-Shamir-Adleman (RSA): el algoritmo que protege más dinero que ningún otro

Si ECC es el sistema que más se usa en el entorno moderno, RSA es el que más dinero protege en el mundo heredado. Creado en 1977 por Ron Rivest, Adi Shamir y Leonard Adleman en el MIT, RSA basa su seguridad en un problema matemático diferente: la dificultad de factorizar el producto de dos números primos grandes. Multiplicar dos primos enormes —digamos, de 1.024 dígitos cada uno— es trivial. Pero dado solo el producto, encontrar los factores originales es computacionalmente prohibitivo para cualquier ordenador clásico, incluso con toda la potencia de cómputo del mundo trabajando en paralelo durante siglos.

El algoritmo de Shor, diseñado teóricamente en 1994 por Peter Shor para computadoras cuánticas, resuelve el problema de la factorización de forma eficiente. Mientras que el mejor algoritmo clásico para factorizar un número de n bits requiere tiempo sub-exponencial —del orden de exp(n^1/3)—, Shor lo hace en tiempo polinómico, del orden de n³. Para RSA-2048, el estándar más común hoy en día, eso significa que un ordenador cuántico suficientemente grande podría factorizar la clave en minutos u horas en lugar de los millones de años que requeriría un sistema clásico.

RSA-2048: ~$10+ T en exposición potencial protege conexiones TLS bancarias, certificados de firma, autenticación de mainframes, PKI global

ECC (SECP256k1): Bitcoin + DeFi + pagos móviles también vulnerable a Shor | más eficiente que RSA pero mismo problema matemático de fondo

Cúbits necesarios (estimación): ~1 M para romper RSA-2048 en 1 semana | reducción 20x vs estimación anterior de 20M cúbits | Google, mayo 2025

El punto crucial es este: RSA no está solo en las criptomonedas. Está en los certificados que autentican cada conexión HTTPS, en las firmas digitales que validan documentos legales y transacciones financieras, en los sistemas de autenticación de los mainframes de los bancos, en los protocolos de intercambio de claves de las VPN corporativas, en los módulos de seguridad hardware (HSM) que custodian las claves maestras de toda la infraestructura de pagos global. RSA-2048 es literalmente el candado de la mayor parte del sistema financiero digital del mundo.

La diferencia entre ECC y RSA en términos de urgencia es de escala, no de naturaleza. ECC con claves de 256 bits ofrece un nivel de seguridad equivalente al RSA de 3.072 bits contra ataques clásicos, por lo que es más eficiente. Pero frente a Shor, ambos caen. La distinción relevante es otra: ECC domina la infraestructura moderna y relativamente ágil —apps, TLS, blockchain—. RSA domina la infraestructura heredada y extremadamente rígida: mainframes bancarios, sistemas SWIFT, autenticación de redes SCADA industriales, certificados raíz de las PKI gubernamentales. Romper ECC afecta primero a Bitcoin. Romper RSA afecta primero a la banca global.

El problema que nadie quiere discutir: los bancos no saben lo que tienen que proteger.

La narrativa más compartida en redes esta semana fue la del Bitcoin de Satoshi: si un ordenador cuántico pudiera derivar la clave privada a partir de la clave pública visible en las primeras direcciones de Bitcoin —aquellas que usan el formato P2PK más antiguo y tienen la clave pública expuesta permanentemente—, el atacante podría mover el millón de BTC que se estima que Satoshi nunca ha movido. Es una historia perfecta para redes sociales: misterio, dinero, tecnología del futuro. Y es, comparada con el problema real, casi anecdótica.

El problema real es este: los mayores bancos del mundo operan infraestructuras criptográficas fragmentadas en capas acumuladas durante décadas. Un banco global de primer nivel típico gestiona simultáneamente mainframes de los años 70 y 80 ejecutando COBOL con implementaciones propietarias, módulos HSM de distintas generaciones con firmware diferente, redes VPN corporativas con IPsec configuradas hace quince años, sistemas SCADA que controlan infraestructura física que nunca fueron diseñados para actualizaciones criptográficas y docenas de proveedores externos —procesadores de pagos, cámaras de compensación, proveedores de certificados, plataformas de trading— cada uno con su propia cadena criptográfica.

El problema de gobernanza que esto genera es específico: ninguno de esos bancos tiene un inventario criptográfico completo. El NIST (Instituto Nacional de Estándares y Tecnología) lo dijo con brutal claridad en su guía de migración:

"La mayoría de los sistemas de tecnología de la información nunca fueron diseñados para soportar una sustitución criptográfica rápida. Migraciones anteriores, como el abandono de SHA-1, llevaron años y en algunos casos más de una década."

La analogía del Y2K es imprecisa: en Y2K, el problema era buscar fechas de dos dígitos en el código. Era doloroso pero localizable. Aquí el problema es inventariar cada fragmento de criptografía de clave pública en todos los sistemas, incluyendo los que llevan años sin que nadie los toque porque "funcionan bien".

NIST: "Las organizaciones deben comenzar ahora a planificar la migración a PQC para proteger sus datos sensibles de alto valor y larga vida. Históricamente, ha llevado mucho tiempo desde que se estandariza un nuevo algoritmo hasta que se integra plenamente en los sistemas de información."

El BIS ha publicado una hoja de ruta específica para la preparación cuántica del sistema financiero. La UE exige estrategias nacionales de inventario antes de finales de 2026 y sistemas críticos migrados antes de 2030. El mandato NSM-10 de EE.UU. establece 2035 como límite para todas las agencias federales. Ninguno de estos plazos incluye la frase "cuando lo decida el mercado".

La escasez de talento que convierte el problema matemático en un problema de gobernanza

A todo lo anterior se suma una restricción que no aparece en los papers técnicos pero que domina las conversaciones privadas de los CISOs bancarios: no hay suficientes ingenieros que sepan cómo hacer esto. Los matemáticos que lo dominan se cuentan en miles, no en decenas de miles. Las empresas que pueden implementar migraciones en mainframes IBM z con soporte PQC son un puñado. La escasez de talento en tecnología postcuántica es, a juicio de múltiples organismos reguladores, uno de los tres principales cuellos de botella del proceso junto con la falta de inventarios criptográficos y la fragmentación de proveedores.

La migración postcuántica para la infraestructura heredada es, por todo esto, un proyecto a largo plazo y un enorme problema de gobernanza antes que un problema matemático. El NIST ha resuelto la parte matemática: los algoritmos postcuánticos están estandarizados desde agosto de 2024 —FIPS 203, 204 y 205— y en marzo de 2025 añadió HQC como quinto estándar. Nadie está esperando que alguien invente los algoritmos. Lo que falta es la capacidad de ejecutar la migración a la escala y velocidad que el calendario exige.

Por qué el Bitcoin de Satoshi es el problema más pequeño de la sala

Las direcciones de Bitcoin que Satoshi usó en 2009 y 2010 son, en su mayoría, del tipo P2PK: la clave pública está permanentemente visible en la blockchain. Un ordenador cuántico suficientemente potente podría, en teoría, derivar la clave privada a partir de ella. Se estima que aproximadamente un millón de BTC están en esas direcciones antiguas, lo que al precio actual representa unos 68.000 millones de dólares.

Es una cantidad enorme. Y es, en términos comparativos, una fracción marginal del problema. RSA protege decenas de billones de dólares en transacciones diarias. Las claves de autenticación de los sistemas de liquidación interbancaria global —SWIFT, Fedwire, TARGET2— están basadas en infraestructura criptográfica que ningún regulador ha terminado de inventariar completamente. Si un actor hostil con acceso a un ordenador cuántico criptográficamente relevante (CRQC) tiene que elegir entre intentar acceder a los BTC de Satoshi —que la comunidad Bitcoin ya tiene mecanismos técnicos (y la toma de decisión) para migrar preventivamente— o atacar la PKI raíz que autentica las conexiones de un banco central, la elección racional no es la que domina los titulares de Twitter.

La amenaza "harvest now, decrypt later" (HNDL) —recopila ahora datos cifrados para descifrarlos cuando existan CRQCs— ya es operativa según la Reserva Federal, que en un documento de investigación de febrero de 2025 calificó el HNDL como un riesgo sistémico para la infraestructura financiera, incluidos los sistemas de liquidación on-chain. Un adversario con los recursos para construir o acceder a un CRQC ya está recogiendo tráfico cifrado hoy. Los datos más valiosos a capturar no son transacciones en Bitcoin: son las claves de sesión de las comunicaciones entre bancos centrales, los certificados de autenticación de infraestructuras críticas y los registros de pagos institucionales de los próximos cinco años.

La razón por la que el debate en redes se centra en Bitcoin no es técnica: es narrativa. Bitcoin es concreto, el personaje de Satoshi es misterioso, el dinero es visible.

La vulnerabilidad del SWIFT o de los certificados X.509 de los mainframes bancarios genera menos engagement. Pero si tuviera que elegir qué me preocupa más como problema de seguridad sistémica para la próxima década, no elegiría la billetera de Satoshi.

Google ha dicho que necesita hasta 2029 para migrar su propia infraestructura, y Google tiene un punto de partida excepcional: arquitectura nativa en la nube, décadas de trabajo en agilidad criptográfica, y los mejores ingenieros del mundo. Un banco europeo con mainframes de los años 80, treinta proveedores de software heredado y un equipo de ciberseguridad que todavía está terminando de implementar los estándares FIPS 204 tiene un problema mucho más complejo. Y muchos de esos bancos todavía no han terminado el inventario.

"El desafío no son los algoritmos. El NIST lo ha resuelto. El desafío es la ejecución: inventariar cada dependencia criptográfica en toda una organización, evaluar la exposición al riesgo, planificar la secuencia de migración, gestionar la gobernanza y el cumplimiento, y hacer seguimiento del progreso en miles de sistemas." — Análisis publicado en PRNewswire el 31 de marzo de 2026, referenciando proyecciones de BCG y el marco NIST.

La migración postcuántica será el mayor ciclo de actualización de infraestructura desde Y2K. Excepto que esta vez, las consecuencias de llegar tarde no son relojes marcando la hora equivocada. Son claves privadas en manos equivocadas.

Artículo de opinión. No constituye asesoramiento financiero ni de ciberseguridad.

Fuentes: Google Security Blog · Google Quantum AI (blog.google) · CoinDesk · postquantum.com · NIST NCCoE · BIS (Quantum-readiness for the financial system) · Encryption Consulting · PRNewswire / QSE · Federal Reserve research paper on HNDL (febrero 2025) · NSA CNSA 2.0 · Nature (Quantum Echoes, octubre 2025) · BlockEden.