Toda la seguridad digital del mundo —desde las transferencias bancarias hasta las transacciones en criptomonedas— se apoya sobre problemas matemáticos que los ordenadores actuales tardarían miles de millones de años en resolver. Esa fortaleza, hasta ahora considerada prácticamente inexpugnable, podría ser más frágil de lo que se pensaba.
Dos equipos de investigación acaban de publicar estimaciones que reducen drásticamente el número de qubits necesarios para que un ordenador cuántico rompa los principales sistemas de cifrado en uso. Sus conclusiones sugieren que la amenaza cuántica a la criptografía global podría materializarse antes de lo que la mayoría de expertos preveía.
La carrera hacia el ordenador cuántico «criptográficamente relevante»
Un ordenador cuántico «criptográficamente relevante» es aquel capaz de ejecutar el algoritmo de Shor —formulado por Peter Shor en 1994— con potencia suficiente para factorizar números grandes o resolver el problema del logaritmo discreto en curvas elípticas. Estos son los fundamentos matemáticos de RSA y ECC, los dos sistemas de cifrado más extendidos del mundo. Un ordenador clásico tardaría miles de millones de años en resolverlos; uno cuántico suficientemente potente podría hacerlo en minutos.
La pregunta clave siempre ha sido cuántos qubits se necesitan para alcanzar ese umbral. Hace unos años, la estimación rondaba las decenas de millones. Hace apenas un año había bajado a un millón; en febrero de 2026 el listón estaba ya en 100.000 qubits. La tendencia es inequívoca: cada nueva investigación acerca la amenaza.
Oratomic baja el listón a 10.000 qubits
La startup californiana Oratomic ha publicado resultados que reducen ese umbral hasta los 10.000 qubits físicos para romper ECC-256. La cifra llama la atención por su proximidad a lo ya existente: el mayor array de átomos neutros del mundo, construido en el laboratorio del cofundador de Oratomic Manuel Endres, alcanza los 6.100 qubits. Ese array todavía no se ha utilizado para computación, pero la distancia entre lo disponible y lo necesario se ha vuelto incómodamente pequeña.
El precio de operar con tan pocos qubits es el tiempo. Con 10.000 qubits, romper ECC-256 llevaría tres años; atacar RSA-2048, 120 años. La alternativa eficiente en tiempo —capaz de resolver ECC-256 en diez días— requeriría 26.000 qubits. Menos hardware implica más espera.
Conviene, no obstante, tomar estas cifras con cautela. Los resultados de Oratomic aún no han pasado revisión por pares. Maria Violaris, física cuántica de Oxford Quantum Circuits, advierte que la arquitectura eficiente en espacio se basa en supuestos parcialmente demostrados en laboratorio, mientras que la eficiente en tiempo depende de innovaciones que todavía no existen.
Google Quantum AI: 500.000 qubits y nueve minutos para atacar Bitcoin
El mismo día en que Oratomic publicó sus estimaciones, Google Quantum AI difundió un libro blanco propio. Su conclusión: un ordenador de 500.000 qubits superconductores podría resolver ECC-256 en 18 minutos. Pero hay un dato que va más allá de esa cifra.
Los investigadores de Google señalan que la mitad del algoritmo ECC no depende de la transacción concreta, sino únicamente de la curva elíptica empleada. Eso significa que un ordenador cuántico podría precomputar esa mitad con antelación y, en cuanto comenzara una transacción Bitcoin, completar el ataque en apenas nueve minutos. El tiempo medio de confirmación de una transacción en Bitcoin es de diez minutos. El margen es mínimo.
No todas las plataformas cuánticas sirven igual para todos los tipos de ataque. Las basadas en circuitos superconductores, silicio y fotónica son más rápidas, idóneas para ataques en tiempo real. Las de átomos neutros e iones, más lentas, apuntan a ataques sobre datos almacenados, donde el tiempo no es un factor crítico. Google advierte además de que el progreso cuántico no es lineal: los grandes saltos se producen al superar barreras de escala, no mediante mejoras graduales.
Corrección de errores: la clave que lo cambia todo
El motivo por el que se necesitan tantos qubits físicos es la corrección de errores. El método estándar de Google, el código de superficie (surface code), distribuye la información cuántica en una rejilla rectangular donde cada qubit interactúa con sus vecinos inmediatos. Para obtener un único qubit lógico fiable hacen falta entre varios centenares y varios miles de qubits físicos.
Oratomic apuesta por un enfoque diferente: los códigos qLDPC (quantum Low-Density-Parity-Check), que corrigen errores con mayor eficiencia al permitir que los qubits interactúen a larga distancia. La ratio puede bajar hasta 1 a 2, frente a los cientos que exige el código de superficie. Los átomos neutros resultan especialmente aptos para esta arquitectura gracias a su alta reconfigurabilidad.
Hengyun Zhou, del MIT, no descarta que las plataformas superconductoras puedan adoptar también los códigos qLDPC, aunque sitúa ese escenario en un horizonte de más de diez años. La falta de reconfigurabilidad de esos sistemas supone un coste adicional que, por ahora, limita esa posibilidad.
Divulgación responsable y la urgencia de migrar a la criptografía poscuántica
El libro blanco de Google introdujo una novedad metodológica: en lugar de publicar los diseños de circuito con plena transparencia, los autores los protegieron mediante una «prueba de conocimiento cero». Este mecanismo permite verificar las afirmaciones sin revelar los detalles técnicos que podrían servir de guía a actores maliciosos. Es la primera vez que se aplica este enfoque en la comunidad de computación cuántica.
La reacción de los expertos ha sido mixta. Scott Aaronson, de la Universidad de Texas en Austin, reconoció que nunca había visto anunciar un resultado matemático de esa forma, aunque dudó de su eficacia: una vez que otros grupos saben que existe un circuito más pequeño, probablemente no tardarán en encontrarlo. Zhou comparte esa ambivalencia —valora la prudencia, pero reconoce que el conocimiento de lo posible puede acelerar la búsqueda independiente.
La migración a la criptografía poscuántica (PQC) no puede esperar. El NIST publicó en 2024 los tres algoritmos más prometedores para reemplazar RSA y ECC, y Google ha fijado 2029 como fecha límite interna para migrar sus sistemas principales. Lily Chen, experta del NIST, lo formula sin rodeos: «Migrar a la PQC es una tarea enorme que no ocurrirá de la noche a la mañana. Comenzar hoy es una estrategia de gestión de riesgos necesaria».
El propio libro blanco de Google termina con una nota de esperanza relativa: si la transición se acomete con suficiente antelación, es perfectamente realista completarla antes de que los primeros ordenadores cuánticos criptográficamente relevantes entren en funcionamiento. Lo que los nuevos resultados dejan claro es que ese plazo podría ser más corto de lo que se pensaba, y que el momento de actuar es ahora.