Guía · Los BIPs cuánticos · 4 jul 2026

BIP-360 y BIP-361 explicados en español

Los dos documentos que preparan a Bitcoin frente a la computación cuántica, comentados en cristiano y fieles a las propuestas oficiales. Uno crea la herramienta; el otro, el calendario para usarla.

⚠️ Ambos son propuestas en borrador (estado Draft), no cambios ya activados. Un BIP es una propuesta que la comunidad debate; solo entra en Bitcoin si hay consenso, mediante un soft fork, algo que suele tardar años. Esta guía resume su contenido; los enlaces oficiales están al final.

En esta guía: ¿Qué es un BIP y por qué estos dos? BIP-360 · Pay-to-Merkle-Root (la herramienta) BIP-361 · Cese de firmas legacy (el calendario) La diferencia clave entre los dos Preguntas frecuentes

¿Qué es un BIP y por qué estos dos importan?

Un BIP (Bitcoin Improvement Proposal, propuesta de mejora de Bitcoin) es el formato estándar para proponer cambios en el protocolo. No es una ley ni una decisión: es un documento que se publica, se debate y solo se activa si la comunidad llega a un consenso.

El problema que ambos abordan es el mismo: un ordenador cuántico suficientemente potente podría, con el algoritmo de Shor, deducir una clave privada a partir de una clave pública expuesta. Como explicamos en nuestra guía de la amenaza cuántica, solo corre peligro lo que ya es visible en la cadena. Estos dos BIPs atacan el problema desde ángulos complementarios.

BIP-360 · Pay-to-Merkle-Root (P2MR)

Título: Pay-to-Merkle-Root (P2MR)
Autores: Hunter Beast, Ethan Heilman, Isabel Foxen Duke
Estado: Draft (borrador) · Tipo: Standards / Consensus (soft fork)
Asignado: 18-dic-2024 · Depende de: BIP 340, 341, 342 (Taproot)

Qué propone. Un tipo de salida (dirección) nuevo mediante soft fork, que funciona de forma parecida a Taproot (P2TR) pero elimina la vía de gasto por clave — que es justamente el punto vulnerable a la computación cuántica.

Cómo funciona, en cristiano

Taproot ofrece dos formas de gastar: por clave (rápida, pero expone la clave pública) o por script (un árbol de condiciones). P2MR se queda solo con el árbol de scripts y tira la parte de la clave. Al no haber clave pública comprometida en la salida, un ordenador cuántico no tiene de dónde tirar del hilo.

Objetivo real: los ataques de "larga exposición"

P2MR protege contra los ataques de larga exposición (a datos que llevan tiempo visibles en la cadena: claves públicas, scripts ya gastados). No protege del ataque de "corta exposición" —el que podría ocurrir en la ventana entre que envías una transacción y se confirma—; para eso hará falta integrar firmas post-cuánticas más adelante. P2MR está diseñado precisamente para poder incorporarlas después mediante los opcodes OP_SUCCESSx.

Tamaños y compatibilidad

Tipo de gastoTamaño del testigo
Taproot por clave66 bytes (solo la firma)
P2MR profundidad-1135 bytes (firma + script + bloque de control)
P2MR general103 + 32·m bytes (m = profundidad del árbol)

Los nodos antiguos ven la salida SegWit v2 como "gastable por cualquiera" pero no la retransmiten ni la minan por defecto, así que el soft fork es compatible hacia atrás. Se necesitan monederos y nodos actualizados para recibir y validar. Los algoritmos post-cuánticos candidatos que se estudian para el futuro son ML-DSA (Dilithium) y SLH-DSA, ambos estandarizados por el NIST.

Contexto regulatorio que cita la propia propuesta: la CNSA 2.0 exige criptografía post-cuántica hacia 2030 y el NIST (IR 8547) plantea retirar la criptografía de curva elíptica a partir de 2035.

BIP-361 · Cese de firmas legacy

Título: Post Quantum Migration and Legacy Signature Sunset
Autores: Jameson Lopp, Christian Papathanasiou, Ian Smith, Joe Ross, Steve Vaile, Pierre-Luc Dallaire-Demers
Estado: Draft (borrador) · Tipo: Informational · Capa: Consensus (soft fork)
Asignado: 11-feb-2026

Qué propone. Un calendario para retirar progresivamente las firmas actuales (ECDSA/Schnorr) una vez existan alternativas post-cuánticas. La idea de fondo, en palabras de la propuesta, es convertir la seguridad cuántica en un incentivo privado: poner fricción creciente para acceder a fondos que sigan en direcciones vulnerables, empujando a la gente a migrar.

Las dos fases

FaseQué hacePlazo
AProhíbe enviar fondos a direcciones vulnerables; solo se permite mover de una dirección antigua a una post-cuántica.~3 años (160.000 bloques) tras la activación
BRestringe el gasto con firmas ECDSA/Schnorr (las de hoy), con un protocolo de rescate cuántico. Lo que no haya migrado queda inmovilizado.2 años después de la Fase A

Es decir: unos 3 años para dejar de llenar direcciones vulnerables y unos 5 años en total hasta que las firmas antiguas dejen de valer.

Por qué, según sus autores

La propuesta cita que a marzo de 2026, el 34% de los bitcoins ya tenían su clave pública revelada en la cadena, y que estimaciones académicas sitúan un ordenador cuántico relevante entre 2027 y 2030. Su argumento: prohibir nuevos envíos a direcciones vulnerables reduce el riesgo con cada UTXO, y un plazo definido acelera una migración que históricamente en Bitcoin tarda años.

El mecanismo de rescate

Se apoya en una asimetría de conocimiento entre el atacante cuántico y el dueño legítimo: los monederos modernos (BIP-32, desde 2012) con derivación hardened pueden demostrar que conocen la clave privada padre sin exponerla. Se investigan pruebas ZK-STARK y esquemas commit/reveal para que sea escalable.

El punto polémico. Para las direcciones P2PK más antiguas —las de la época de Satoshi— no existe una asimetría conocida que permita rescatarlas: si esas monedas no se mueven, quedarían congeladas. Son ~1,7 millones de BTC. De ahí el choque en la comunidad entre «congelar es una forma de confiscación» y «mejor congeladas que robadas por el primero que tenga un ordenador cuántico». La propuesta se declara compatible con ideas tipo "Hourglass" para ese caso concreto.

La diferencia clave entre los dos

 BIP-360BIP-361
Qué esLa herramienta: un tipo de dirección resistenteEl calendario: cuándo dejar de usar lo viejo
EfectoTe permite protegerteTe obliga a migrar
PolémicaBaja (añade una opción)Alta (puede congelar monedas)

Se complementan: sin una dirección resistente (BIP-360) no tiene sentido forzar la migración (BIP-361), y sin un plazo (BIP-361) casi nadie migraría a tiempo. Pero son decisiones independientes: la comunidad podría aceptar una y no la otra.

Preguntas frecuentes

¿Están activados estos BIPs?

No. Ambos están en borrador (Draft). Requieren consenso y un soft fork, que en Bitcoin lleva años.

¿Tengo que hacer algo hoy?

Pánico no. Sí puedes comprobar tu exposición con nuestro comprobador cuántico y aplicar la higiene básica (no reutilizar direcciones). El detalle, en la guía de la amenaza cuántica.

¿Bitcoin va a "romperse" por lo cuántico?

No a corto plazo: hoy no existe ningún ordenador cuántico capaz de esto, y estas propuestas existen precisamente para adelantarse. El mayor riesgo es la inacción, no la tecnología.

Entiende la amenaza cuántica de principio a fin

Cuántos bitcoins están expuestos, cómo funciona el ataque y qué hacer como holder.

Leer la guía completa →

Fuentes oficiales

· BIP-360 — repositorio oficial de BIPs (GitHub)
· BIP-361 — repositorio oficial de BIPs (GitHub)
· bip360.org — sitio de la propuesta

Esta guía es un resumen divulgativo fiel a las propuestas citadas, a fecha de julio de 2026. Las propuestas evolucionan; consulta siempre las fuentes oficiales para el texto vigente. No es asesoramiento financiero ni técnico.