PRELUDIO — Sobre la naturaleza de la bestia

I. Del rumor que corre en la plaza

Mercader: Doquiera que me vuelvo oigo una misma voz: que viene una nueva bestia, y que quebrantará Bitcoin. dicen que es cosa inevitable, han hallado atajos impensables y robarán nuestras monedas en minutos, y que sólo el necio la ignora. Yo he visto cómo el solo rumor abate los precios: he visto haciendas desvanecerse por suspiros y nuevas que estampan ruina. ¿He de vender? ¿He de temer? ¿He de guardar? Dadme razón o dadme licencia para huir.

Filósofo: Cuidado con la ciencia por pregón, señor mío. Esos pergaminos que esgrimen para espantaros suelen ser borradores apresurados, hueros aún del rigor y el escrutinio de sus pares. En estos tiempos de vanidad, los grandes gremios azuzan el espanto para henchir sus propias arcas. Recordad que ya antaño pregonaron a los cuatro vientos metales mágicos y elixires milagrosos, y todo quedó en humo y ceniza. Gran parte de esa premura es codicia disfrazada de ciencia.

Ingeniero: Ciertamente, entendimiento primero, y temor después. La bestia de la que habláis, es en verdad la máquina cuántica, que amenaza a Bitcoin en dos maneras distintas, y conviene no confundirlas.

La primera, por el artificio de Shor, que puede romper la criptographía de curvas elípticas: éste es el peligro verdadero, porque toca al señorío de las monedas — a la firma que prueba que el dueño es dueño.

La segunda, por el artificio de Grover, que solamente apresura la búsqueda por fuerza bruta, como en la minería o en la pesquisa de una huella hash.

Son dos espadas, mas de distinto filo.

Filósofo: Reparad en la distinción, que es grave. Una espada hiere la propiedad: a quién posee. La otra hiere la contienda: a quién trabaja.

En la Ilíada, cuando Ulises y Diomedes hurtan el Paladión — la imagen sagrada que guardaba Troya —, la ciudad queda sentenciada, porque pierden no un soldado, sino el símbolo de su soberanía. Mas cuando un héroe cae en escaramuza, el campo se recobra al día siguiente.

Shor busca el Paladión: la llave que prueba dominio. Grover disputa escaramuzas en el campo. No confundáis la pérdida de una batalla con la caída de la ciudad.

II. De las dos espadas

Mercader: Mas ¿cuán cerca están esas espadas? He oído que ya existen tales máquinas, que ya se han roto cifras, que es cuestión de meses.

Ingeniero: Oíd con paciencia, que aquí la medida importa más que la alarma.

Las máquinas cuánticas de hoy cuentan con centenares, quizá millares de qubits físicos.

Mas para blandir la espada de Shor contra la firma de Bitcoin — que usa curvas elípticas de 256 bits —, no bastan qubits físicos: precísanse qubits lógicos, corregidos de error. Las estimaciones más serias hablan del orden de millares de qubits lógicos, cuya realización exigiría millones de qubits físicos.

Estamos, pues, a distancia magna. No de meses, quizá no de pocos años. Mas el calendario exacto es lo que nadie puede jurar.

En cuanto a la segunda espada, Grover, su peligro es de otra índole: acelera, mas no quiebra. Su ventaja es limitada y difícil de escalar. Su ejecución es forzosamente secuencial, y multiplicar máquinas no multiplica la ganancia, sino que apenas la eleva con la raíz cuadrada. De suerte que, aun donde ayuda, no trastorna el equilibrio del sistema como lo haría Shor. No es espada que derribe murallas, sino herramienta que lima sus bordes.¹

Filósofo: Luego la primera espada es lejana pero mortal; la segunda, más cercana pero roma en la práctica.

Guardad esto como quien guarda proporción en la balanza: no es igual temer al lobo que al ratón, aunque ambos estén en el monte. Y no es sabiduría confundir la lejanía con la ausencia. El prudente mide, y el necio o desdeña o se espanta.

Mercader: Decís que la espada es lejana. Mas no me decís quién la empuña. Porque no es lo mismo temer al hierro en la fragua que en la mano del enemigo.

Ingeniero: Bien preguntáis. Tal máquina, si llega a existir con poder suficiente, no será artefacto para mercaderes ni de ladrones de camino. Su coste y su mantenimiento la pondrán, con toda seguridad, en manos de grandes príncipes — Estados — o de corporaciones de talla regia.

Y aun entonces, no es claro que la usen como imagináis. El que posee tal ventaja no siempre la pregona. Podría servirse de ella en silencio, escogiendo blancos concretos, o reservarla como arma no declarada.

Filósofo: Así entramos en juego más sutil que el de la pura máquina: no sólo qué puede hacerse, sino qué conviene hacer.

Porque quien descubriere tal poder, al usarlo lo descubre, y al descubrirlo mengua su ventaja.

¿Robará, pues, el príncipe unas monedas, sabiendo que al hacerlo avisa al mundo y despierta la defensa? ¿O callará, guardando su ventaja para guerras de mayor cuantía, donde no esté en juego una hacienda, sino un imperio?

No temáis sólo la espada: temed también el silencio del que la puede tener. Así también aquí: podrá ocultarse su filo, mas no tanto el rumor de la fragua.

Mercader: Pero aun me queda una espina, y es que he oído también que la máquina cuántica tornará atrás esos cálculos --hashes, creo que los llamabáis--, como quien desanda un camino, y que la minería será cosa de juguete. ¿Es esto parte de la misma bestia?

Ingeniero: Es engaño de palabras, señor, y conviene desarmarlo aquí mismo, antes de seguir. Un hash no se deshace: se busca. No es nudo que se desate, sino aguja en pajar. El artificio de Grover, que es la segunda de las dos espadas que os describí, achica el pajar —mas no lo vacía. Aun recortado queda mar sin orillas.

Y hay matiz: la minería no intenta revertir un hash entero, sino hallar un número que produzca un hash menor que cierto umbral. Es búsqueda parcial, no reversión. Grover la apresura, y dará ventaja al que primero la empuñe, mas esa ventaja, real en el momento, se disipa al próximo ajuste de dificultad, que restituye el equilibrio entre contendientes empinando el camino para todos por igual.

Filósofo: Luego el pregón que grita "se revierte el hash" toma las sombras de la caverna por los cuerpos verdaderos. Y hace peor: desvía la mirada del peligro principal. Mientras los hombres disputan sobre hashes —que es contienda de escaramuza—, olvidan la firma, que es soberanía. No todo lo que suena terrible es lo que más importa.

III. De la propiedad y de la contienda

Mercader: Luego el peligro mayor es contra las firmas, contra la llave del dueño. ¿Lo tengo bien?

Ingeniero: Lo tenéis. La firma es el mecanismo por el cual el poseedor prueba ante la red que es legítimo señor de sus monedas. Si alguien derivare la clave privada desde la clave pública — que es lo que Shor promete —, podría mover fondos ajenos como si fuesen propios. Ése es el peligro existencial.

Mas antes de seguir, conviene deslindar otra confusión que anida en la plaza. No toda máquina que se pregona como cuántica es la bestia que tememos.

Las que hoy existen usan un artificio llamado temple cuántico.² Son máquinas de propósito particular: diestras en problemas de optimización, como sabuesos amaestrados para una sola presa.

Mas no son máquinas universales: no pueden ejecutar los artificios de Shor ni de Grover, que requieren otro género de instrumento — uno capaz de componer operaciones arbitrarias sobre los qubits.

La bestia verdadera es esa otra: la máquina universal de qubits corregidos³ aún en ciernes.

Filósofo: Luego no todo lo que brilla con nombre cuántico es amenaza; el vulgo teme lo que no entiende, y los pregoneros medran con ese temor.

Asentemos, pues, el primer principio de nuestra plática, que servirá de cimiento a lo que sigue:

El peligro verdadero es el que toca la soberanía del dueño.

No el que turba el precio ni el que apresura la contienda del minero, sino el que puede arrancar la llave de la mano de su dueño.

ACTO I — De quién peligra y cuándo

IV. De las monedas desnudas y las cubiertas

Mercader: Pues bien: si el asedio es contra la firma, ¿Peligran todas las monedas por igual? He oído que nada es seguro, que todo Bitcoin caerá de un golpe.

Ingeniero: No. Bitcoin no descubre a todos por igual, y aquí importa una distinción:

En los primeros años, las transacciones usaban un formato llamado P2PK — pago a clave pública —, donde la clave pública del dueño queda visible directamente en la cadena, dejando las monedas desnudas a la vista de quienquiera que mire.

Después vinieron formatos como P2PKH y P2SH, que marcan la cadena con la huella de la clave pública, ocultando la clave misma, y sólo la muestran al tiempo de gastar, manteniendo así las monedas protegidas mientras reposan.

No todas las huellas ofrecen igual resguardo, y las más modernas, de mayor longitud, resisten mejor que las antiguas.

Más recientemente Taproot trajo un nuevo tipo de firmas llamadas Schnorr, más eficientes y que permiten juntar muchas en una sola para mayor privacidad. Mas advertid que en Taproot una versión de la clave pública queda también fijada y visible en la salida, de modo parecido a las viejas P2PK.

No es, pues, un escudo contra la amenaza cuántica. El principio no muda: toda moneda cuya clave llegue a mostrarse queda, desde ese instante, sujeta al mismo riesgo.

Mercader: ¡Luego las más antiguas y las más nuevas son las más flacas!

Ingeniero: ¡Así es! Y si la bestia cuántica existiera hoy, no toda la hacienda caería, pero sí una parte asombrosa. Según los que han escrutado la cadena con lupa, cerca de seis millones y medio de bitcoins —casi la tercera parte de todo el caudal— estarían en peligro inmediato de hurto.[^:informe de bitcoin presidio]

Mercader: ¡La tercera parte! ¿Y de dónde sale tamaña cifra?

Ingeniero: De dos fuentes principales. La mayor, unos cuatro millones y medio, no proviene de monedas antiguas ni de yerros del protocolo, sino de una mala costumbre: la reutilización de direcciones. Muchos mineros y grandes custodios, por comodidad o desidia, reciben fondos una y otra vez en la misma dirección.

Al primer gasto, la clave pública deja de estar oculta, y la moneda, que era protegida, queda de hecho desnuda. Ésa es una hemorragia que podría restañarse hoy mismo, sin mudar una sola regla de Bitcoin: bastaría con que esos custodios rotasen sus direcciones.

Mercader: ¿Y el resto?

Ingeniero: Un millón setecientos mil bitcoins yacen en aquellas viejas monedas P2PK. La mayoría se presumen perdidas para siempre —llaves extraviadas, dueños desaparecidos—, pero no por ello dejan de ser un tesoro dormido que el adversario podría despertar.

Filósofo: Reparad en la distinción, que aun dentro del peligro hay grados: una cosa es la exposición que nace de la mala práctica —remediable sin cisma— y otra la que está grabada en la estructura misma de las monedas más antiguas, que exigirá, llegado el día, decisiones más ásperas.

V. De la clave visible y la ventana de peligro

Mercader: Decís que las monedas cubiertas son más seguras porque su llave duerme oculta. Mas yo no soy avariento que amontona sin tocar: yo compro, vendo, pago jornales. Cada vez que muevo una moneda cubierta, ¿no la desnudo yo mismo en la plaza?

Si el enemigo está agazapado en la red, oyendo todos los pregones, y tiene máquina bastante para obrar en un suspiro... ¿no podría hurtarme la moneda en el aire, antes de que los mineros la entierren en el bloque?

Ingeniero: Cierto es que en el instante del pregón, toda llave queda visible como doncella en ventana. Y cierto es que corre una carrera: la red que confirma contra la máquina que calcula. Mas aun hoy, esa carrera la gana la física.

Con el artificio de Shor, aun con máquina suficiente, no es nada trivial derivar la clave privada y por lo que sabemos excederá con holgura los tiempos en que se confirma una transacción.

Mas éste es el umbral que importa vigilar: si algún día la máquina obrare en tiempo menor, no sólo peligrarían monedas dormidas, sino toda transacción viva que aguarda en ese efímero limbo.

Mercader: ¿Y si el bribón no espera mi pregón en la plaza, sino que me sale al camino? Si me acecha a la puerta de mi casa o compra a mis criados para que le entreguen el mensaje antes de que llegue al pregonero... ¿no puede hacer con mi moneda lo que quiera mientras yo creo que ya está a salvo?

Ingeniero: Eso es guerra de otro linaje. Si el adversario controla los caminos (los nodos a que os conectáis), puede demorar vuestro pregón, o aun suplantarlo. Mas eso ya no es peligro cuántico: es peligro de eclipse o de Sybil, conocido y viejo como el arte de la guerra. Contra eso, la red ya ofrece defensas: conectar a muchos pares, usar redes anónimas, y no fiar todo a un solo heraldo.

Mercader: Pero si la carrera es tan justa como decís, ¿no puedo yo pagar para que mi envío galope más deprisa? Cuando mando una mercancía urgente, doy monedas extra al mensajero para que no se duerma en las posadas. ¿No hay aquí algo parecido, para que mi transacción llegue antes a manos del minero y el ladrón se quede con un palmo de narices?

Ingeniero: La hay, aunque no es mágica. Cada transacción aguarda en la antesala[^mempool] a que un minero la incluya en un bloque. El tiempo que pasa allí es incierto: puede ser segundos o puede ser horas, según la prisa que lleve el pagador y la tarifa que ofrezca. Si la amenaza cuántica se acerca, los usuarios podrían pagar tarifas más altas para que sus transacciones salten al frente de la cola y se confirmen en el siguiente bloque. Eso reduciría la ventana a los minutos que tarda en generarse un bloque — diez minutos de media, a veces menos.

Mercader: Luego en suma hay tiempo, mas no certidumbre de cuánto.

Filósofo: Ésa es la verdad llana, y no la obscurezcamos con falso consuelo ni con falsa alarma.

Asentemos pues el segundo principio:

La prudencia no exige fecha, sino provisión.

Quien aguarda certidumbre para obrar, obra tarde. Quien obra sin medida por el miedo, yerra. Entre ambos extremos hay un camino estrecho, y es el de la provisión sin profecía.

VI. De los mineros

Mercader: Una pieza falta en esta traza, si la máquina quiebra la firma del dueño, ¿de qué sirven los mineros? ¿No guardan la puerta falsa mientras derriban la principal? Y aún más: si el adversario tuviese ambas espadas —Shor y Grover—, ¿no podría también borrar sus huellas y reescribir la cadena a su antojo?

Ingeniero: No, y conviene entender por qué.

La Prueba de Trabajo no guarda vuestras llaves: guarda la historia. Cada bloque añadido suma trabajo que un atacante tendría que rehacer desde el punto que quiere alterar, uno tras otro, mientras la red honesta sigue avanzando.

Grover puede acortar la búsqueda de cada bloque, mas no rompe esa acumulación ni permite rehacer la cadena de una vez. No hay atajo para la historia: cada paso ha de rehacerse en orden.

Por eso, aun con ventaja, reescribir profundamente la cadena sigue siendo extraordinariamente costoso. El atacante podría robar, mas no podría ocultar el robo sin pagar un precio desmesurado.

Filósofo: He aquí la paradoja: el edificio puede mantenerse en pie mientras sus moradores son despojados uno a uno.

La muralla resiste, mas las casas dentro quedan expuestas. No peligra la ciudad, sino sus habitantes.

ACTO II — De los remedios y sus venenos

VII. De la migración y de los que no pueden migrar

Mercader: Si es así, no me consuela. De poco me sirve que la cadena perdure si mi hacienda puede desvanecerse. Decidme, pues: ¿cómo se salva el dueño, si la llave es lo que peligra?

Ingeniero: Cada moneda en Bitcoin está encerrada en una salida —un output— con unas condiciones de gasto. Esas condiciones están escritas con la criptographía vieja. Para quedar segura bajo el nuevo esquema, la moneda ha de moverse: el dueño ha de firmar con su llave vieja y enviarla a una salida nueva, resistente.

Es decir: no basta con que la red cambie sus reglas. Cada dueño, individualmente, ha de ejecutar una transacción.

Mercader: ¿Y eso no es peligroso? Porque al mover la moneda, la firmo con la llave vieja, y en ese instante queda expuesta. ¿No caemos otra vez en el mismo lance de antes, con la moneda desnuda en el aire mientras los cavadores deciden si la sepultan o no?

Ingeniero: Cierto. Es la misma ventana de vulnerabilidad de la que ya hablamos. Por eso la migración no puede hacerse bajo fuego: si la máquina de Shor ya es capaz de romper firmas en minutos, migrar se vuelve una carrera que el dueño puede perder. De ahí la urgencia de obrar antes de que ese umbral se alcance.

Mercader: Y los grandes custodios ¿no lo tienen más fácil? Ellos guardan monedas de millones. Pueden moverlas en bloque.

Ingeniero: Así es. Y ésa es una ventaja logística, pero también una concentración de poder. Una parte gruesa del caudal no reposa en llaves privadas guardadas por plebeyos, sino en arcas institucionales. Éstos pueden migrar sin esperar a que cada cliente despierte. Pero eso significa que la migración, en la práctica, dependerá de unas pocas decisiones centralizadas.

Filósofo: Notable paradoja: Ved lo que habéis dicho de los custodios, eso parece alivio mas el que fía su hacienda a un solo hombre, fía su libertad a un verdugo. Este punto, aunque grave, es harina de otro costal y mejor no entrar aquí.

Mercader: Bueno, bueno... ¿Y los que no se mueven? Los que perdieron llaves, los que murieron, los que no velan, los que no leen estas nuevas.

Ingeniero: Acordaos de los casi seis millones y medio que mencioné. De ellos, los cuatro millones y medio que nacen de la reutilización pueden, en su mayoría, ser rescatados por sus dueños si mudan la costumbre. Pero el resto —el millón setecientos mil que yace en las viejas P2PK— son monedas desnudas, muchas de ellas desde el alba de los tiempos, cuyos dueños, por muerte, olvido o desaparición, probablemente no obrarán jamás. Y entre ellas están las de mayor fama, las que se atribuyen al creador.

Si la máquina de Shor llegare, esas monedas desnudas quedarían desprotegidas. El atacante podría derivar sus llaves privadas y mover fondos ajenos como si fuesen propios.

Mercader: ¿Y no hay modo de impedirlo? ¿De cerrar esa puerta antes de que el ladrón la cruce?

Ingeniero: Hay varios mecanismos que se han propuesto. Conviene no confundirlos, porque aunque parecidos, son de naturaleza distinta.

Ingeniero: El primero es el plazo universal, que algunos llaman «bifurcación blanda de periodo de gracia». No se reemplaza la criptographía vieja, sino que se añade una segunda firma, post-cuántica, como condición adicional para gastar. Imaginad un calendario en dos actos: durante unos años —pongamos tres— solo se permitiría enviar fondos a direcciones nuevas, resistentes. Pasado ese tiempo, y tras otros dos años de aviso, las firmas viejas quedarían inválidas del todo. Quien no haya migrado para entonces verá sus monedas inmovilizadas, no confiscadas. Y aun se discurre una tercera fase: que quien conserve la semilla original de su monedero —aunque haya perdido la llave privada— pueda, mediante prueba matemática, reclamar sus fondos sin exponer la clave vulnerable.[^:bip361]

El segundo es la congelación selectiva. Por un cambio de reglas de consenso, ciertas monedas con clave pública expuesta —dormidas por muchos años, como las P2PK antiguas— podrían tornarse no gastables hasta que presenten prueba por vía resistente. No se aplica a todas las monedas, sino sólo a las más vulnerables. El dueño legítimo no pierde nada: sólo espera a que se habilite un mecanismo seguro para reclamarlas.

Otros proponen pedir prueba de origen, una suerte de demostración de que quien gasta es quien creó la moneda, no quien robó la llave. Pero esos artificios no son universales y añaden otras sutilezas.

Y aun hay quien propone «bifurcación dura», camino más radical: no añadir condición, sino mudar la regla misma — dejar atrás de un golpe la criptographía antigua por acuerdo común. Es vía más breve, mas no más ligera.

Mercader: Pues la congelación selectiva me parece prudencia. Si esas grandes fortunas cayeren en manos de un adversario, el mercado no sólo baja: se espanta. Helar sería cerrar la puerta antes del saqueo.

Ingeniero: Esperad, que aún hay otro camino, más severo y controvertido, que algunos llaman migración por destrucción —o QRAMP.

No fuerza, no congela, no impone plazo. Antes bien, deja intacta la ley antigua: quien no obra, nada pierde por mandato ajeno. Mas pide al dueño un acto extraordinario.

Para trocar su moneda vieja por otra resistente, ha de enviarla a una dirección sin retorno —una dirección que nadie posee—, de suerte que quede destruida a la vista de todos. Esa destrucción sirve de prueba pública. Con ella, en otro registro o bajo nuevas reglas, se le reconoce el derecho a recibir su equivalente seguro.

No hay decreto; hay canje. No hay confiscación; hay sacrificio.

Mercader: ¿Sacrificio decís? Llamadlo por su nombre: pedir al hombre que arroje su oro al mar con promesa de hallarlo en otra orilla. ¡Ni harto de vino!. Y en ese trance, ¿quién distingue la hoguera verdadera de la del embaucador?

Ingeniero: Ahí yace su flaqueza. Requiere instrumentos finos, guías seguras y gran diligencia del dueño. Sin ellos, el remedio se confunde con el fraude.

Lo que habéis oído hasta ahora son modos de forzar o facilitar la mudanza. Mas antes de decidir cómo migrar, conviene saber si el destino merece el viaje.

VIII. De los remedios posibles

Mercader: Si he de mover mi hacienda, querré saber a qué puerto la llevo. Decís que la clave vieja es flaca; decidme ahora si la nueva es firme, o si mudamos de riesgo por prisa.

Porque si el remedio existe, ¿qué detiene su adopción? ¿Por qué no mudar ya la criptographía y poner fin a esta zozobra de una vez? ¿A qué se espera?

Ingeniero: A que el remedio esté asentado y a que el camino sea transitable.

Vayamos por partes, que aquí se mezclan tres cuestiones distintas: la calidad del remedio, el calendario de la mudanza, y el modo de ejecutarla. Hablemos hoy de las dos primeras; la tercera merece capítulo aparte.

Las firmas post-cuánticas existen. No son quimera. Las hay basadas en retículos, como Dilithium; las hay basadas en hashes, como SPHINCS+ y XMSS. El NIST ha normalizado varias. Resisten —según sabemos— el artificio de Shor.

Mas estos remedios nuevos tienen sus propios defectos.

El primero es el peso. Donde una firma de curva elíptica ocupa 64 bytes, una firma post-cuántica puede ocupar centenares o millares. Eso encarece cada transacción, hincha los bloques, y tensiona una red que ya disputa cada byte. Donde hoy caben muchas transacciones, mañana cabrán menos. No es sólo encarecer la escritura: es hacer más pesada la memoria del sistema.

El segundo, traen servidumbre: algunas, como XMSS, no permiten firmar sin límite, sino que asignan a cada llave un número finito de usos. Gastada la cuenta, la llave muere, y con ella la comodidad a que el usuario está habituado.

El tercero es la edad. La criptographía post-cuántica es joven. La curva elíptica que usa Bitcoin lleva más de tres décadas de escrutinio feroz y sigue en pie. Estos nuevos esquemas apenas cuentan con una década de examen serio. Ya ha habido candidatos que parecían firmes —como Rainbow o SIKE— y fueron quebrados antes de desplegarse.

Filósofo: Luego no son muralla probada por los siglos, sino baluarte recién levantado. Puede resistir; puede agrietarse. No lo sabemos aún.

Mercader: ¿Y no es peor esperar? Si la máquina llegare antes que el remedio...

Ingeniero: Lo sería. Mas entre la priesa y la espera, hay un oficio que Bitcoin ya conoce: preparar sin decretar, ensayar sin imponer, dejar que múltiples tentativas compitan.

Ved un ejemplo vivo: el BIP-360, llamado Pago a Raíz de Merkle —P2MR—. No muda aún las firmas; antes limita el modo en que pueden gastarse las monedas, evitando la vía más directa y forzando el paso por script.

Con ello no se vence al adversario cuántico, pero se estrecha el campo donde puede obrar, y se gana margen para introducir defensas sin quebrantar lo demás. Es paso pequeño, mas quita de en medio una flaqueza entera.

Filósofo: En esto, la prisa es mala consejera. Si se muda así la criptographía por miedo, y se yerra en la elección, no se puede desmudar. Las transacciones confirmadas son irreversibles; las reglas de consenso, una vez adoptadas, se osifican. El coste de acertar es alto; el coste de errar, perpetuo.

Mercader: De modo que el remedio existe, mas no está probado; la amenaza es real, mas no tiene fecha. Vivimos, pues, en un compás de espera armada.

Ingeniero: Así es. Y en esa espera no sólo se disputa qué remedio elegir, sino cómo y cuándo imponerlo.

Porque no basta con que la criptographía nueva sea segura: es menester decidir qué hacer con la antigua, y con quienes no puedan o no quieran dejarla atrás.

Filósofo: He ahí el verdadero nudo. No ya qué puede hacerse, sino qué debe hacerse con aquello que no se mueve. Porque en ese punto, el remedio deja de ser arte del ingenio, y pasa a ser materia de juicio.

IX De los mecanismos de forzamiento y del anillo de Giges

Filósofo: Escuchad con atención, porque aquí se juega la esencia. Ambos mecanismos —plazo y congelación— comparten una misma raíz: introducen una condición nueva que el dueño original no consintió.

Hasta ahora, Bitcoin pedía una sola diligencia: guardar la llave. No pedía vigilia del calendario, ni obediencia a señal ajena. El negligente podía perder por descuido; mas no por desobedecer a otros hombres.

Con el plazo nace una ley nueva, callada pero firme: no basta con ser dueño; es menester obedecer a tiempo. Con la congelación selectiva, la ley es aún más directa: no ya apremiar el uso, sino vedarlo por decreto.

Y ved cómo, sin ruido, se trueca el fundamento.

Hoy el hombre dice: "proteger monedas viejas." Mañana dirá: "recobrar monedas perdidas." Pasado mañana: "revertir hurtos." Y al tercer día: "aplicar mandamientos." Cada paso puede parecer justo por sí solo. Todos juntos rompen la naturaleza del pacto.

Glaucón cuenta la historia del pastor Giges, que halla un anillo que le torna invisible. Quien lo tiene puede hacer justicia o tiranía, y nadie lo sabrá. El mecanismo de congelar es ese anillo. La potencia de obrar mal queda, aunque hoy se use para bien.

Mercader: ¡Mas qué habláis! ¿De qué anillos y qué Giges me venís ahora? ¡Hablo de pan, de mi pan! ¿Es que no veis que si cae el gran tesoro no quedará precio que salvar ni confianza que defender?

Filósofo: Lo veo. Y precisamente por eso os pido que miréis la balanza entera, y no sólo el platillo que pesa menos.

Se trata de escoger entre dos caminos difíciles en una encrucijada: uno del mercado —que sangra y se recobra—, y otro de la fuente —que, una vez corrompida, no se restaura. Ese tesoro dormido, si la bestia lo despierta, no se perderá, sino que mudará de manos como el oro de un galeón hundido vuelve a circulación. No todo daño es igual: hay daños que duelen, y daños que matan.

Y no es esto especulación de escuela. En tiempos no tan remotos, una república extranjera padeció quebranto semejante cuando un descuido en un contrato permitió el hurto de una fortuna. Pudiendo dejar que la regla obrase, los poderes que allí mandaban eligieron torcerla para deshacer el entuerto. Desde entonces viven dos cadenas, y dos testimonios: que el remedio fue posible, y que la herida no cerró sin cicatriz.

Ingeniero: Y aun así, no es inevitable que el mecanismo se use mal. Bitcoin tiene salvaguardas. Cualquier cambio de consenso que congele monedas requeriría una supermayoría de poder de hash —95% o más— y adopción por los nodos. Es un umbral altísimo. Y cada propuesta de este tipo se juzga de nuevo; no hay precedente vinculante por el mero hecho de que algo se haya hecho antes.

Aunque justo es reconocer que ya hay quienes discurren formas más sutiles de gobierno: atar la moneda no sólo a quién la posee, sino a cómo podrá gastarse en lo venidero. No ya llave, sino condición perpetua. No es esto remedio cuántico, mas muestra hasta dónde puede estirarse la cuerda sin que se declare que ha mudado de naturaleza.[^OP_CTV]

Filósofo: Mas el peligro no está en que un día se use mal, sino en que el precedente vincule por costumbre si llega a repetirse.

Asentemos, pues, el tercer principio, que corona a los dos primeros: El remedio no ha de ser más dañino que la amenaza.

Defender la soberanía del dueño exige no sacrificar la esencia del pacto. Quien hoy cede un palmo para proteger, mañana cederá una vara para gobernar. Y entonces ya no habrá bestia externa que temer, porque la bestia anidará dentro.

ACTO III — De la catedral y del bazar

X. Del pleito del escalado y de lo que enseñó

Mercader: Antes decíais que sangra y se recobra... Quizá no sea tan negra la noche como pintaba.

Decidme, si llegare la crisis, ¿quién decide el remedio? Porque yo fui testigo del gran pleito, cuando quisieron mudar Bitcoin y se partió en dos...

Ingeniero: Habláis de la querella del escalado⁴, y merece traerse no por memoria, sino por doctrina.

De un bando estaba la propuesta de henchir los bloques, apoyada por los grandes mineros, las casas de cambio y nombres de gran peso. Parecía el Senado romano en pleno. Firmaron acuerdos, publicaron plazos, desplegaron código. Y aun así no mandaron.

La cadena no siguió a los poderosos. Hubo bifurcación: los disidentes crearon su propia cadena. Y luego el mercado, sin decreto, escogió.

Mercader: Mas eso llevó años de disputa, incertidumbre y amargura. ¿Queremos repetirlo?

Filósofo: No lo queremos, pero debemos entender lo que aquella contienda reveló: La influencia no se traduce en autoridad.

Bitcoin no se gobierna como un reino con un príncipe, ni como una república con un senado. Se gobierna como una plaza donde cada mercader escoge a quién compra y a quién no. Es lento, es ruidoso, es imperfecto. Pero es extraordinariamente resistente a la captura. Y en la crisis cuántica, esa resistencia importará tanto como la criptographía misma.

XI. Del gobierno sin gobierno

Mercader: Si llegare crisis cuántica, y los mayores tenedores acordaren un remedio, ¿no se impondrá por peso?

Ingeniero: Habrá propuestas — quizá varias, en competencia y se debatirán con fervor. Habrá código desplegado. Habrá presión, plazos, proclamas. Mas cada individuo soberano escogerá qué reglas obedece. Y si no hay acuerdo, habrá bifurcación.

Es la diferencia entre la catedral y el bazar. En la catedral hay mando en alto, orden impuesto, mudanza veloz y uniforme. En el bazar hay puerta abierta, propuestas en competencia, adopción voluntaria.

La catedral es más presta al decidir. Mas tiene fragilidad escondida: el punto único donde romper. Si el arquitecto yerra, toda la obra cae.

El bazar es más lento al principio, mas más resistente al fallo singular. Si una vía cae, otra nace. Si un diseño yerra, otro compite. No hay punto único de fracaso.

Filósofo: Y notad la ironía suprema, que los pregoneros callan.

Banqueros, príncipes, ejércitos — todos usan criptographía vulnerable a lo cuántico de la misma manera que Bitcoin. Sus comunicaciones, sus secretos, sus firmas digitales — todo descansa sobre los mismos cimientos que dicen frágiles. Mas sus peligros viven en cajas cerradas, fuera de la vista pública, y los heraldos y juglares no anuncian dichas nuevas con tanta pasión.

Los sistemas cerrados parecen firmes porque nadie ve sus entrañas. Bitcoin muestra las suyas desnudas al mundo, y por eso parece más frágil.

XII. De lo que ya se labra en silencio

Mercader: ¿Pues no se hace nada entretanto? ¿Sólo se espera y se disputa? Mas si todo esto es cierto y no inmediato, decidme al menos qué ha de hacer hoy un hombre prudente. No mañana, no en el día del juicio cuántico, sino ahora, con las herramientas que tiene.

Ingeniero: Pedís bien. Porque aunque el horizonte sea incierto, hay diligencias presentes que no requieren profecía. No son cura final, mas sí buen gobierno del riesgo. Atended, pues, a lo que hoy puede hacerse sin mudar ley alguna.

Lo primero: no reiterar direcciones. Cada vez que una dirección se usa más de una vez, se descubre lo que antes estaba velado, y la moneda queda más expuesta de lo necesario. Es mala costumbre, y fácil de enmendar: cada cobro, dirección nueva.

Lo segundo: preferir formas modernas de custodia, como SegWit. No porque sean invulnerables a la bestia —que no lo son—, sino porque reducen la exposición innecesaria y preparan el terreno para injertar mejoras futuras sin quebrar lo presente.

Lo tercero: revisar monedas antiguas, en especial aquellas de tipo P2PK o direcciones ya usadas, y, si se posee la llave, consolidarlas en salidas nuevas y más resguardadas. Esto no elimina el peligro cuántico, mas evita dejar puertas abiertas por descuido.

Lo cuarto: evitar exposiciones prolongadas de la clave en usos repetidos. Quien usa canales, firmas frecuentes o estructuras complejas, ha de saber que no toda exposición es igual, y que la prudencia aconseja limitarla donde fuere posible.

Lo quinto: mantenerse atento a las propuestas que hoy se labran, en particular las que buscan reducir la exposición sin forzar mudanza —como el llamado Pago a Raíz de Merkle—, y las que discurren sobre migraciones más severas. No para seguirlas a ciegas, sino para entender hacia dónde puede inclinarse la balanza si el tiempo apremia.

Mercader: Luego no es menester huir ni obrar a ciegas, sino gobernar bien la casa.

Ingeniero: Eso es. No podéis cerrar todas las puertas a la vez, mas sí podéis no dejar abiertas las que sabéis que dan al campo.

Filósofo: Y en esto hay lección que los impacientes no quieren oír: la falta de remedio postrero no es yerro, sino condición. Ninguna obra humana resuelve todos sus peligros de una vez; quien tal afirma, o miente o se engaña.

Lo que importa es que el camino esté abierto, que las tentativas sean posibles, y que ninguno tenga poder de cerrar la puerta a las demás. Esto lo tiene Bitcoin; y esto les falta a muchos de los que lo reprehenden.

Preparar no es prometer; Disponer no es decretar.

CONCLUSIÓN — Del horizonte y de la prudencia

Mercader: Hemos hablado largo. Oí temor en los pregones, certeza en los dogmáticos, y de vosotros una verdad llena de matices. Decidme, pues, lo más llano que podáis: ¿qué sé, y qué no sé?

Ingeniero: Sabéis que la amenaza es real: el artificio de Shor, con máquina bastante, rompe la firma de Bitcoin. Sabéis que no es inminente: las máquinas de hoy están a órdenes de magnitud de lo necesario. Sabéis que el calendario es incierto: de una década a muchas, sin que nadie pueda acotar más. Sabéis que existen firmas nuevas, mas la migración depende de millones de voluntades individuales. Y sabéis que las monedas que no pueden migrar —por llaves perdidas, dueños muertos— son el dilema más áspero.

Y añado: no es cosa demostrada que tal máquina llegue jamás a encarnarse. Doctos varones como Gil Kalai dudan que la corrección de errores cuántica pueda vencer los límites de la materia misma.

Filósofo: Luego el peligro tiene dos nieblas: una de tiempo, y otra de posibilidad. Puede venir tarde, presto, o no venir nunca. Mas que esta última esperanza no sea licencia de descuido. Quien repara su techo no se arrepiente, venga o no la tormenta.

Mercader: Al menos decidme qué temer del remedio.

Ingeniero: Tres peligros: obrar demasiado presto es osificar criptographía inmadura y descubrir después que era flaca. Obrar demasiado tarde es migrar bajo fuego, con prisa y pánico, si la máquina llegase a derivar llaves en minutos.

Filósofo: Y el tercer peligro es intervenir demasiado: congelar monedas, imponer políticas, romper el principio de que la llave es la única ley. Salvar el cuerpo perdiendo el alma.

Éste es el oficio más difícil del hombre: obrar sin certidumbre. Aristóteles lo llamó phrónesis: no la ciencia de lo universal, sino la virtud que juzga lo particular con lo que hay.

Mercader: He venido buscando certeza y me voy con prudencia. Mas dejadme una imagen que llevar conmigo cuando el miedo me toque el hombro.

Ingeniero: Llevaos esto: Bitcoin no sana por decreto, sana por ensayo. Mil manos prueban, yerran, corrigen. Es lento, impuro, y funciona —no porque sea perfecto, sino porque no depende de que nadie lo sea.

Filósofo: Y llevaos esto otro: cuando Ulises se acerca a las sirenas, no se tapa los oídos: se ata al mástil y escucha. Conoce el peligro, oye su canto, y no se entrega. Así con la amenaza cuántica: no la niegues, ni entres en pánico. Ataos al mástil de la prudencia y escuchad. Porque el canto de las sirenas es verdad a medias, envuelta en urgencia. La fortaleza está en oírlo sin romperse.

Y guardad memoria: No para que huyáis de la acción, sino para que no llaméis prudencia a la prisa, ni necesidad a la conveniencia. El día vendrá en que será forzoso obrar, y entonces no bastará la destreza del ingenio: será menester conservar la fuente aun defendiéndola.

Mercader: Cuando entré en esta plática, todo me parecía urgencia y caída. Oía pregones de ruina, y pensaba en huir como quien abandona la plaza antes del incendio.

Ahora no sé más que entonces del porvenir. Mas sé mejor lo que no debo hacer.

Ya no me lleva el miedo, sino la medida. No busco ya escapar del peligro, sino no empeorarlo con mis manos.

Guardaré lo mío, atento al horizonte, sin correr antes de ver al enemigo, ni dormir creyendo que nunca vendrá.

PERSONAJES

• El mercader simboliza la ansiedad, preocupación práctica y el miedo del mercado, influido por las narrativas oficiales de los medios de comunicación y las élites contrarias. Es la voz del mercado.

• El ingeniero es preciso, riguroso, pragmático, distante. Sopesa los riesgos, analiza las posibles soluciones, plantea caminos. Es la voz del mecanismo.

• El filósofo, reinterpreta lo técnico, sincretiza con la esencia humana, se abstrae. Es fundamentalmente prudente y conservador, es la voz de los principios.

NOTAS

REFERENCIAS

• Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations - Google

• The Argument against Quantum Computers, the Quantum Laws of Nature, and Google's Supremacy Claims - Gil Kalai

• Against Allowing Quantum Recovery of Bitcoin - J Lopp

• BIP 319 OP_CHECKTEMPLATE VERIFY

• BIP 360 to enable Pay-to-Merkle-Root: a proposed first step in advancing Bitcoin quantum resistance

• BIP 361: Post Quantum Migration and Legacy Signature Sunset

• The Cathedral And The Bazaar - Eric S. Raymond

• [The Blocksize War: The battle over who controls Bitcoin’s protocol rules - Jonathan Bier]

• Proposal for Quantum-Resistant Address Migration Protocol (QRAMP) BIP

• Bitcoin Post-Quantum. Noah Anhao

• Quantum attacks on Bitcoin, and how to protect against them - Aggarwal et al. (2017)