Nueve minutos. Eso necesitaría una computadora cuántica para derivar una clave privada de Bitcoin desde una clave pública expuesta. No en un paper especulativo de 2019. En un white paper de 57 páginas publicado el 31 de marzo de 2026 por Google Quantum AI — co-autorado con la Ethereum Foundation y Stanford, verificado con prueba de cero conocimiento, coordinado con el gobierno de Estados Unidos.
6.9 millones de BTC expuestos. Cinco vectores de ataque contra Ethereum. $200 mil millones en stablecoins con admin keys vulnerables. Seiscientos mil millones de dólares dependiendo de criptografía que Google demostró se rompe con veinte veces menos recursos de lo que la industria asumía.
Google compiló los circuitos de ataque. Los verificó. Se negó a publicarlos.
El cerrajero que fabrica cerraduras
El paper lleva las firmas de Ryan Babbush y Hartmut Neven de Google Quantum AI, Craig Gidney — el investigador que en mayo de 2025 redujo 20x la estimación para romper RSA-2048 — junto con Justin Drake de la Ethereum Foundation y Dan Boneh de Stanford.
Google compiló dos circuitos cuánticos que implementan el algoritmo de Shor sobre secp256k1, la curva que protege Bitcoin y Ethereum. El primero: menos de 1,200 qubits lógicos y 90 millones de compuertas Toffoli. El segundo: menos de 1,450 qubits lógicos y 70 millones. Ambos requieren menos de 500,000 qubits físicos.
En 2019, la estimación era 20 millones de qubits físicos. En 2023, Litinski la bajó a 9 millones. Google: menos de medio millón. Una reducción de 20x en tres años.
El chip Willow de Google tiene 105 qubits — faltan ~4,700x. Pero Willow demostró que la corrección de errores cuánticos funciona a escala. El paper de marzo no es sobre hardware. Es sobre eficiencia algorítmica. Necesitas menos qubits. Y los que construyas funcionarán mejor de lo esperado.
Google fijó su migración post-cuántica interna para 2029. Eso dice más que las 57 páginas.
Anatomía de los nueve minutos
El escenario central del paper es el ataque "on-spend". Cuando alguien envía Bitcoin, la red expone brevemente la clave pública del remitente en el mempool. Un atacante cuántico con el algoritmo de Shor precomputado podría derivar la clave privada en 9 a 12 minutos. Bitcoin confirma bloques cada 10 minutos. El ataque gana la carrera el 41% de las veces.
Pero eso es solo Bitcoin en tránsito. El paper documenta cinco vectores:
At-rest: 6.9 millones de BTC en direcciones con claves permanentemente expuestas — incluyendo ~1.1 millones de Satoshi Nakamoto en formato P2PK legacy. Una computadora cuántica podría trabajarlas sin prisa. Las monedas no se van a mover solas.
On-stake: 37 millones de ETH apostados con firmas BLS vulnerables. Comprometer un tercio de los validadores detiene la finalización de la red. Dos tercios permite reescribir la historia de la cadena.
On-setup: El vector más perturbador. La ceremonia KZG de Ethereum — 2023, 141,000 participantes — generó un secreto que supuestamente fue destruido. Google demostró que una computadora cuántica podría reconstruirlo desde datos públicos. Un exploit permanente y reutilizable: una vez recuperado el secreto, se forjan pruebas de disponibilidad de datos sin necesidad de acceso cuántico adicional. Para siempre.
L2 y bridges: Arbitrum, Optimism, y bridges cross-chain heredan la vulnerabilidad de Ethereum. Quince millones de ETH expuestos.
Admin keys de stablecoins: Las claves ECDSA que gobiernan la acuñación de USDT y USDC. Un atacante que rompa una podría imprimir tokens ilimitados. Doscientos mil millones de dólares.
Los top 1,000 wallets de Ethereum — 20.5 millones de ETH — podrían comprometerse en menos de nueve días. Una clave cada nueve minutos.
Saber sin mostrar
Google compiló los circuitos cuánticos. Los ejecutó en simulación clásica. Verificó que el output correcto emerge de los inputs correctos. Y se negó a publicar los circuitos.
En cambio, publicaron una prueba de cero conocimiento — un protocolo criptográfico que permite demostrar que una afirmación es verdadera sin revelar la información que la respalda. Es la misma matemática que usan los rollups de Ethereum para comprimir miles de transacciones en una sola prueba verificable. Google la usó al revés: para comprimir la prueba de que Ethereum se puede destruir.
El mecanismo funciona así: Google genera un "witness" — los circuitos de Shor compilados para secp256k1, con su estructura de compuertas, profundidad, y conteo de qubits. Luego ejecuta un protocolo que produce una prueba compacta verificable por cualquiera, sin necesidad de acceder al witness original. Los reviewers — incluyendo a Boneh de Stanford y Drake de la Ethereum Foundation — verificaron que los circuitos producen el resultado correcto sin ver los circuitos mismos.
Es disclosure responsable llevado al extremo matemático. Google no confió en la buena voluntad de sus pares. Confió en la criptografía. Usó la misma familia de herramientas que protege a Ethereum para probar que Ethereum se rompe. La prueba de que la cerradura se abre está construida con la cerradura misma.
El paper no tiene peer review tradicional. No lo necesita. La prueba de cero conocimiento reemplaza la confianza institucional con certeza matemática. Si la prueba verifica, el resultado es correcto — independientemente de quién la generó. Los circuitos podrían estar en una bóveda en Mountain View o en un servidor en Shenzhen. La matemática no distingue.
El patrón de los dieciséis años
Satoshi Nakamoto advirtió sobre esto en 2010. Recomendó migrar a algoritmos más fuertes si SHA-256 se comprometía. Dieciséis años después, la industria no migró nada.
Tres papers en tres meses reescribieron el timeline de amenaza cuántica. Gidney en mayo de 2025: RSA-2048 de 20 millones a menos de un millón de qubits. Iceberg Quantum en febrero de 2026: menos de 100,000. Google en marzo: curva elíptica con aún menos recursos que RSA. Cada paper redujo la estimación en un orden de magnitud. La industria descartó cada uno.
NIST publicó estándares de criptografía post-cuántica en agosto de 2024: ML-KEM, ML-DSA, SLH-DSA. Diecinueve meses después, la adopción en blockchains es exactamente cero.
BlackRock agregó silenciosamente el riesgo cuántico al prospecto de su ETF de Bitcoin en junio de 2025. Enterrado entre las páginas 16 y 65 de divulgaciones de riesgo. Los analistas de Bloomberg lo descartaron como "divulgaciones básicas". El dinero inteligente ya hedgeó. Bitcoin cerró a $66,565 el día del paper — su peor trimestre en la historia con -23%.
El patrón es el mismo que documentamos en Nobody Scans the Scanner: la industria que debería protegerse a sí misma no puede proteger sus propios fundamentos. Las "mejoras" de seguridad — como vimos con cli.js.map — terminan exponiendo exactamente lo que deberían proteger.
La ironía cuántica
Taproot. La actualización de 2021 que Bitcoin debatió durante años, implementó con fanfarria, y celebró como avance en privacidad y eficiencia. Taproot expone claves públicas por defecto mediante firmas Schnorr. Google señaló específicamente que Taproot amplía el pool de wallets vulnerables. La mejora de privacidad que hizo a Bitcoin más atacable.
Justin Drake, investigador de la Ethereum Foundation, co-autoró el paper que documenta cinco formas de destruir su plataforma. Su respuesta: un "Strawmap" de siete hard forks hasta 2029. El médico que diagnostica su enfermedad terminal y prescribe una cura que tardará tres años.
Google construye Willow. Publica el paper demostrando que Willow eventualmente romperá crypto. Ofrece sus propios estándares de migración como solución. Juez, jurado, y proveedor del veredicto.
QRL — el token "resistente a ataques cuánticos" — subió 41% el día del paper. Con $242,549 en volumen diario. Un market cap de $127 millones celebrando el apocalipsis criptográfico en un mercado fantasma. El bote salvavidas tiene asientos de cuero. No tiene motor.
Samson Mow, CEO de Jan3, se burló: "La computación cuántica ni puede factorizar 21, y la gente vende en pánico". Mientras tanto, BIP-360 lleva meses en testnet con 50 mineros y 100,000 bloques procesados. Pero la comunidad Bitcoin no se pone de acuerdo. La migración es "más política que técnica". Como siempre.
Google abrió acceso temprano a Willow tres días antes de publicar el paper.
Atribución
Perpetrador: Google Quantum AI. Publicaron 57 páginas demostrando que la criptografía que protege $600 mil millones en activos se rompe con 20x menos recursos — usando una prueba de cero conocimiento para que nadie replique el ataque. Noblesse oblige cuántica. La responsabilidad del disclosure no borra que construyen activamente la herramienta que lo hace posible. El paper no tiene peer review.
Cómplices: Bitcoin Core, sin plan coordinado, financiamiento, ni timeline para migración post-cuántica. Un desarrollador lo resumió: "piezas aisladas de investigación presentadas como progreso" sin "estrategia coherente, ni roadmap". La Ethereum Foundation, por co-autorar su propio diagnóstico terminal sin un fix en producción. Los maximistas que descartan cada warning como FUD mientras BlackRock ya hedgeó en las letras pequeñas.
Falla sistémica: Una industria de dos billones de dólares construida sobre criptografía de curva elíptica de los años 2000, que ignoró advertencias durante dieciséis años, tiene estándares post-cuánticos disponibles desde hace diecinueve meses sin adoptar ninguno, y celebra "mejoras" que amplifican las vulnerabilidades que pretenden mitigar.
El cerrajero publicó una prueba matemática de que puede abrir cada cerradura de la ciudad. Se negó a compartir la técnica. Fijó 2029 como fecha límite para cambiar todas las cerraduras. Y tres días antes del anuncio, abrió su laboratorio para que cualquier investigador experimente con el mecanismo. La pregunta no es si alguien va a replicar los circuitos que Google se negó a publicar. La pregunta es quién ya lo hizo — sin escribir un paper al respecto.