Una explicación completa sobre BIP-361, ¿de qué está discutiendo realmente la comunidad de Bitcoin?

Esta semana, hubo muchas discusiones y controversias en la comunidad de BTC sobre BIP-361, aquí hago un resumen según mi comprensión.
BIP-361 es un borrador propuesto por Andrew Poelstra, interpretado y promovido en profundidad por el experto en seguridad Jameson Lopp. La lógica central de este borrador es: antes de que las computadoras cuánticas puedan romper Bitcoin, prevenirlo de antemano, congelando los BTC en direcciones que hayan expuesto la clave pública ( y con medidas de remediación ).
1/ Información de contexto
Durante los últimos 17 años, Bitcoin ha sido muy seguro. Su seguridad está garantizada por un algoritmo de firma digital asimétrica de curva elíptica (ECDSA). Este algoritmo hace que, con las computadoras actuales (incluidas las supercomputadoras), sea casi imposible derivar la clave privada a partir de la pública en un tiempo razonable. Esto garantiza la irreversibilidad unidireccional de la clave privada a la pública.
El problema actual, y el punto de inflexión, es que: la comunidad física en general cree que una computadora cuántica lo suficientemente potente (con millones de qubits físicos) puede usar el algoritmo de Shor para romper ECDSA en un tiempo muy corto.
A principios de año, el equipo Google Quantum AI publicó algunos avances en investigación; aunque no lograron romper Bitcoin, los datos muestran que la amenaza de la computación cuántica para la criptografía podría llegar antes de lo que todos pensaban.
La reacción actual de la comunidad de Bitcoin es que no hay que entrar en pánico, pero sí hay que responder, discutir y actuar activamente.
Por eso, ahora surgen propuestas como BIP-360, BIP-361, etc., porque Bitcoin es una comunidad de software de código abierto sin CEO, y cada actualización importante es extremadamente lenta, requiriendo mucho tiempo para alcanzar consenso comunitario. Si esperamos a que las computadoras cuánticas realmente aparezcan, quizás sea demasiado tarde.
2/ Enfoque de actualización y resistencia
Desde un punto de vista lógico, dado que Bitcoin es un software de código abierto, basta con actualizar el algoritmo de Bitcoin para resistir la computación cuántica. Hay algunas soluciones en el código, como los algoritmos Dilithium seleccionados por NIST, aunque tienen algunos efectos secundarios en comparación con el actual ECDSA, en teoría son factibles.
El problema mayor está fuera de la tecnología: tras la actualización, las personas que tengan BTC en direcciones tradicionales pueden transferirlos a nuevas direcciones resistentes a la cuántica, pero ¿qué pasa con esas direcciones que ya han expuesto la clave pública, cuyos titulares han fallecido o han perdido la clave privada?
Esos BTC sin dueño, nadie puede moverlos. Permanecerán expuestos a ataques cuánticos, convirtiéndose en una máquina de extracción para los atacantes, lo que podría desencadenar un colapso del mercado.
¿Cuántos BTC expuestos hay actualmente?
Las estimaciones del sector indican que hay aproximadamente entre 2 y 4 millones de BTC expuestos (incluyendo los 1.1 millones de Satoshi); además, otros 2-3 millones están en estado de hibernación, es decir, «sin mover en más de 5 años», y están cifrados con hash, por lo que la computación cuántica no puede romperlos directamente por ahora. De cualquier modo, es una cantidad muy significativa. MicroStrategy, por ejemplo, ha comprado solo 780,000 BTC. Si estos millones fueran vulnerables, el impacto en Bitcoin sería enorme, ni hace falta decirlo.
3/ ¿Qué busca hacer exactamente BIP-361?
Este problema complejo es precisamente lo que la propuesta BIP-361 intenta abordar y resolver.
Su lógica central es: si no actualizas a direcciones resistentes a la computación cuántica, los fondos en esas direcciones serán congelados. Esto presiona a todos a migrar a direcciones resistentes a la cuántica.
Se despliega en tres fases, usando el método BIP9:
◦ Fase A ((activación en aproximadamente 160,000 bloques, unos 3 años): prohibir el envío de BTC a direcciones tradicionales que hayan expuesto la clave pública (. Solo se permite transferir a direcciones nuevas resistentes a la cuántica ). Esta fase busca evitar que más personas caigan en la trampa.
◦ Fase B ((unos 2 años después de la fase A, total de unos 5 años): los nodos rechazarán todas las firmas basadas en curvas elípticas, incluyendo ECDSA y firmas Schnorr. Los UTXO vulnerables a la computación cuántica que no hayan sido transferidos se congelarán y no podrán ser gastados. Es decir, si no actúas en 5 años, tus fondos en la cadena no serán reconocidos.
◦ Fase C )(por definir): para resolver el dilema ético de las monedas perdidas o olvidadas, se implementará un parche en la fase B. Mientras el usuario tenga la frase mnemónica, podrá demostrar, mediante pruebas de conocimiento cero, que es el propietario de esas monedas sin revelar la clave pública antigua, permitiendo así descongelarlas. — En teoría, esto es factible, pero la implementación técnica es muy difícil y aún está en fase de validación teórica.
Para la fase C, explico: el problema actual es que algunas direcciones exponen la clave pública al transferir, y la computación cuántica puede interceptar y robar los BTC. La idea de la fase C es:
◦ El usuario tiene una frase mnemónica de 12/24 palabras
◦ Utiliza la prueba de conocimiento cero mencionada en BIP-361
◦ Presenta a los nodos una prueba: «No te digo mi clave privada, pero puedo demostrar que poseo esa frase mnemónica, y que puedo derivar la clave privada de la dirección antigua», estableciendo así la propiedad del activo congelado
◦ Los nodos verifican esta prueba, que además debe ser resistente a la cuántica. Si la prueba pasa, el protocolo permite que el usuario «refleje» los fondos congelados a una nueva dirección resistente a la cuántica.
En resumen, la lógica de BIP-361 es: no esperar a que te roben, sino bloquear las vías por las que podrían ser robados.
4/ Controversias en la comunidad
Tras la publicación de BIP-361 en la comunidad de BTC, la oposición supera a los apoyos.
Adam Back dijo: «Esto es confiscación, no protección». Prefiere un soft fork + actualización voluntaria, y se opone a la congelación forzada.
Marty Bent también publicó un largo hilo criticando, argumentando que viola el principio «tus claves, tus monedas», y aboga por migraciones voluntarias y educación, en lugar de establecer fechas límite forzosas.
Charles Hoskinson fue más radical: considera que esto es un hard fork, y que convertiría a Bitcoin en una shitcoin.
Desde el punto de vista técnico, el camino es un soft fork, pero en el nivel de consenso social, su carácter obligatorio genera debates acalorados sobre si realmente es un hard fork.
Phil Geiger comentó con sarcasmo: «Primero tenemos que robarle el dinero a la gente para evitar que otros se lo roben».
El coautor de la propuesta, Jameson Lopp, también dijo: «No me gusta, pero lo escribí porque me gusta menos otra opción: que la computación cuántica robe las monedas». Es decir, ante dos males, elige el menor.
Los opositores no solo temen el «robo», sino que la introducción de pruebas de conocimiento cero en la fase C aumentará la complejidad del código de Bitcoin, creando nuevas superficies de ataque y posibles bugs.
También hay quienes apoyan la propuesta.
Hu Yilin @epr510 expresó su apoyo, argumentando que Satoshi probablemente ya destruyó las claves privadas, como una manifestación de su voluntad. La computación cuántica violaría esa voluntad, y reactivar fondos olvidados o abandonados sería una violación del principio de «libertad de disposición de la propiedad».
También refutó el argumento del «efecto dominó»: que congelar direcciones vulnerables no es censura, sino corrección de errores. La gente que pierde fondos quiere recuperarlos, no que los roben los atacantes cuánticos, por lo que la congelación no viola su libertad.
Matt Corallo propuso una solución intermedia: separar la actualización resistente a la cuántica de la congelación de direcciones antiguas, y avanzar en dos pasos independientes. La actualización técnica puede hacerse sin consenso, y la decisión final se resolverá en una gran bifurcación.
5/ ¿Qué impacto tendrá?
Desde una perspectiva numérica, es muy claro: millones de BTC, valorados en miles de millones de dólares. Si se implementa la propuesta BIP-361, aunque en los registros se reducirá la oferta en circulación, esto sería una reducción técnica, pero si el consenso se fragmenta, la confianza en la «cantidad total y la inmutabilidad de Bitcoin» podría deteriorarse, afectando su valor de mercado.
Satoshi dijo en su momento: «Las monedas perdidas solo hacen que las monedas de todos los demás valgan un poco más. Piénsalo como una donación a todos».
En cambio, en BIP-361 se dice: «Las monedas recuperadas por la computación cuántica solo hacen que las monedas de todos los demás valgan menos. Piénsalo como un robo a todos».
Perder monedas es una donación, que las computadoras cuánticas roben las monedas es un asalto.
Si no se congela, solo hay tres posibilidades: (1( permitir que cualquiera robe, por orden de llegada; )2( robos selectivos, como los mineros que usan RBF para recuperar fondos cuánticos; )3( que nadie robe. La propuesta BIP-361 opta por la tercera opción.
Probablemente, la propuesta no será aceptada en su versión actual, y requerirá muchas revisiones. Pero su valor radica en poner sobre la mesa un problema que muchos evitaban, facilitando un consenso previo para resistir la computación cuántica.