Resistencia cuántica de Monero en 2026, explicada
Resistencia cuántica de Monero en 2026, explicada
En agosto de 2024 el NIST finalizó sus tres primeros estándares de criptografía post-cuántica —FIPS 203, 204 y 205— y la pregunta aterrizó, sin hacer ruido, en la puerta de todas las monedas de privacidad: ¿qué pasa con las matemáticas cuando llegue una computadora cuántica lo bastante grande? Para Monero lo que está en juego es mayor que para las cadenas transparentes. Bitcoin se enfrentaría, sobre todo, a un problema de robo. Monero se enfrenta al robo y a un problema de desanonimización, porque las mismas matemáticas de curva elíptica que ocultan tus montos y tus destinatarios son exactamente las que atacaría un adversario cuántico.
Vayamos al titular honesto desde el principio: a fecha de 2026, Monero no es resistente a la computación cuántica, y ninguna de las mejoras que llegan en este ciclo cambia eso. Pero "todavía no resistente" es muy distinto de "roto". Este artículo recorre en qué se apoya realmente la criptografía de Monero, qué puede y qué no puede hacerle una computadora cuántica, dónde está de verdad la hoja de ruta de 2026 y qué deberías hacer hoy, si es que algo. Y si entras a XMR mediante un servicio sin KYC como MoneroSwapper, también entenderás por qué la privacidad que obtienes ahora es duradera durante años, no durante días.
Por qué la computación cuántica es una amenaza distinta para Monero
Cada transacción de Monero se apoya en criptografía de curva elíptica construida sobre Curve25519 y Ed25519. La seguridad de esa curva descansa en el problema del logaritmo discreto de curva elíptica (ECDLP): dada una clave pública, recuperar la clave privada correspondiente es computacionalmente inviable para el hardware clásico. El algoritmo de Shor, ejecutado en una computadora cuántica tolerante a fallos lo bastante grande, resuelve exactamente ese problema en tiempo polinómico.
Para una moneda transparente, un ECDLP roto significa que un atacante puede derivar claves privadas a partir de las claves públicas expuestas y robar fondos. Grave, pero acotado. Monero hereda ese riesgo y le suma un segundo que, para un proyecto de privacidad, podría decirse que es peor:
- Robo de salidas sin gastar: cada salida de Monero queda bloqueada a una clave pública de un solo uso (una dirección sigilosa o stealth address) que reside en la cadena. Con Shor, un atacante podría calcular la clave privada de un solo uso correspondiente y gastar salidas que nunca se movieron.
- Desanonimización retroactiva: las firmas de anillo, RingCT y las direcciones sigilosas ocultan quién pagó a quién apoyándose en relaciones difíciles por el ECDLP. Si rompes la curva, el grafo histórico de transacciones se vuelve mucho más analizable: un ataque de "recolecta ahora, descifra después" dirigido a la privacidad, no solo a los fondos.
- Los datos ya son públicos: la blockchain es permanente y está replicada globalmente. Un adversario puede archivarla hoy y esperar a que el hardware lo alcance, y por eso la pregunta sobre los plazos importa aunque todavía no exista ninguna máquina capaz.
Esa doble exposición es la razón por la que la comunidad de investigación de Monero trata la migración post-cuántica como un "cuándo", no como un "si" —y por la que las afirmaciones engañosas de que "Monero es a prueba de cuántica" hacen un daño real.
Cómo funciona hoy la criptografía de Monero
Para ver qué está en riesgo, ayuda mapear cada función de privacidad con la suposición de la que depende. Tres pilares cargan con el peso, y los tres se basan en curva elíptica.
Firmas de anillo y CLSAG
Desde la actualización de red de octubre de 2020, Monero usa firmas de anillo CLSAG (que reemplazaron a las anteriores MLSAG). Una firma de anillo demuestra que uno de los miembros de un grupo de salidas señuelo autorizó un gasto, sin revelar cuál. El tamaño de anillo actual es de 16. La imposibilidad de vincular al gastador real entre los señuelos es una propiedad difícil por el ECDLP, y Shor la disuelve.
RingCT, Bulletproofs+ y direcciones sigilosas
RingCT oculta los montos de las transacciones mediante compromisos de Pedersen, en uso desde 2017. Para probar que un monto oculto no es negativo sin revelarlo, Monero emplea las pruebas de rango Bulletproofs+ (activas desde el hard fork de agosto de 2022), que redujeron de forma notable el tamaño de las pruebas y el costo de verificación. Las direcciones sigilosas generan una clave pública de un solo uso fresca para cada salida mediante un intercambio de claves Diffie-Hellman, de modo que la dirección real del receptor nunca aparece en la cadena. Cada una de estas construcciones ata su seguridad a la dificultad del logaritmo discreto de Curve25519.
RandomX y la prueba de trabajo
La prueba de trabajo RandomX de Monero es otra historia. Es un problema de hashing y de búsqueda, y la herramienta cuántica relevante allí es el algoritmo de Grover, no el de Shor. Más abajo veremos por qué esa distinción marca la diferencia entre "manejable" y "existencial".
La verdad incómoda: una sola computadora cuántica criptográficamente relevante no solo permitiría a un atacante robar XMR inactivo, sino que debilitaría retroactivamente la privacidad de transacciones confirmadas años antes. La permanencia corta por los dos lados.
Qué pueden y qué no pueden hacer las computadoras cuánticas en 2026
La amenaza se divide con claridad en dos algoritmos con consecuencias muy distintas para Monero.
| Algoritmo cuántico | Qué ataca | Efecto sobre Monero |
|---|---|---|
| Algoritmo de Shor | ECDLP / logaritmos discretos: la base de las claves, las firmas de anillo, RingCT y las direcciones sigilosas | Catastrófico: habilita el robo y la desanonimización retroactiva en cuanto el hardware sea lo bastante grande |
| Algoritmo de Grover | Búsqueda no estructurada y hashing: la PoW RandomX, las preimágenes de hash | Manejable: solo una aceleración cuadrática. Los hashes de 256 bits caen a ~128 bits de seguridad efectiva, todavía muy fuera de alcance |
La aceleración cuadrática de Grover suena alarmante, pero no lo es. Reducir a la mitad la fortaleza efectiva en bits de una primitiva de 256 bits deja unos 128 bits: un margen de seguridad que los adversarios clásicos ya no pueden tocar y que el enorme sobrecosto de factor constante de Grover empeora, no mejora. La criptografía simétrica y el hashing sobreviven a la era cuántica con, como mucho, un ajuste de parámetros.
El algoritmo de Shor es la preocupación real, y el factor limitante es el hardware. Romper la criptografía de curva elíptica de 256 bits requiere del orden de unos pocos miles de qubits lógicos tolerantes a fallos, lo que a su vez exige millones de qubits físicos una vez que se incluye el sobrecosto de la corrección cuántica de errores. ¿En qué punto estamos en 2026?
- El conteo de qubits físicos sube; el de qubits lógicos, no: el chip Condor de IBM alcanzó 1.121 qubits físicos ya en 2023, pero son ruidosos. El número de qubits lógicos estables y corregidos de errores disponibles en cualquier parte sigue estando entre unas pocas unidades y unas pocas decenas.
- La corrección de errores cruzó un hito: el chip Willow de Google, en diciembre de 2024, demostró corrección de errores por debajo del umbral: añadir qubits reducía la tasa de error en lugar de aumentarla. Es un paso genuino, pero hay un largo camino desde un qubit lógico hasta miles.
- Las estimaciones siguen moviéndose: una reevaluación de 2025 recortó el número de qubits necesarios para romper RSA-2048 a menos de un millón de qubits físicos, frente a las cifras anteriores de 20 millones. Alentador para los investigadores, inquietante para los criptógrafos, pero todavía muy lejos de las máquinas de hoy.
El consenso mayoritario de los expertos sitúa una computadora cuántica criptográficamente relevante en algún punto de la década de 2030 como muy pronto, con una incertidumbre amplia y una probabilidad nada despreciable de que nunca llegue a una escala útil. Monero no corre peligro inmediato en 2026. El riesgo de archivo del "recolecta ahora, descifra después" es la única parte que muerde hoy, y muerde despacio.
La hoja de ruta post-cuántica de Monero: qué es real y qué es ruido
Aquí es donde prospera la desinformación, así que seamos precisos sobre el pipeline de 2025-2026.
FCMP++ es un salto de privacidad, no un escudo cuántico
La mejora estrella de este ciclo es FCMP++ (Full-Chain Membership Proofs, pruebas de pertenencia a toda la cadena). En lugar de ocultar el gasto real entre 15 señuelos, FCMP++ demuestra que la salida gastada pertenece al conjunto entero de salidas jamás creadas, convirtiendo el conjunto de anonimato en la blockchain completa. Pasó por auditorías formales en 2025 antes de un hard fork planificado. Es una mejora mayúscula de privacidad y de escalabilidad.
También es no post-cuántica. FCMP++ se construye sobre Curve Trees usando un ciclo de curvas elípticas (las curvas Helios y Selene). Descansa sobre las mismas suposiciones de logaritmo discreto que Shor rompería. Quien te diga que FCMP++ "blinda a Monero contra las computadoras cuánticas" está equivocado: blinda tu conjunto de anonimato, que es algo distinto y aun así valioso.
Seraphis y Jamtis
Más adelante están Seraphis (un protocolo de transacciones rediseñado) y Jamtis (su esquema de direcciones complementario). Mejoran la privacidad, la experiencia de uso de la billetera y la flexibilidad de las pruebas. Igual que FCMP++, son construcciones de curva elíptica y no son, por sí mismas, resistentes a la computación cuántica.
El verdadero trabajo post-cuántico
Un Monero post-cuántico de verdad es un tema de investigación activo en el Monero Research Lab, no una función ya entregada. El problema difícil es que los sistemas de firma y de prueba post-cuánticos —esquemas basados en retículos como ML-DSA, o basados en hash como SLH-DSA— producen objetos mucho más grandes que sus equivalentes de curva elíptica. Acoplarlos a un protocolo de privacidad que depende de compromisos compactos y de pruebas de rango sin inflar las transacciones diez veces es ingeniería genuinamente sin resolver. Hay que esperar un esfuerzo de varios años, coordinado mediante un futuro hard fork, bastante después de que aterricen FCMP++ y Seraphis.
Qué deberían hacer realmente los tenedores de XMR en 2026
La guía práctica es corta, porque la mayoría de los consejos del tipo "protégete de lo cuántico" para cripto son prematuros o imposibles de ejecutar a título individual. Esta es la lista de verificación realista.
- No vendas en pánico por titulares cuánticos. Ninguna computadora cuántica de 2026 puede tocar Curve25519. Los artículos que afirman lo contrario están extrapolando conteos de qubits físicos que no están corregidos de errores.
- Mantén el software de tu billetera al día. Cuando Monero coordine una migración post-cuántica, llegará mediante un hard fork que exigirá mover los fondos a nuevos tipos de salida. Tener una billetera actualizada es la forma de recibir esa migración y de actuar en consecuencia.
- Sigue a la gobernanza, no a los influencers. Vigila el Monero Research Lab, las notas de versión de getmonero.org y el calendario de hard forks. Ahí es donde se anunciará, se auditará y se fechará una transición post-cuántica real.
- Trata el riesgo de archivo como la única preocupación presente. Si necesitas la máxima privacidad a largo plazo, minimiza la huella vinculable que creas hoy, porque la cadena es permanente. Adquirir XMR mediante un intercambio sin registros y sin KYC reduce los vínculos de identidad fuera de la cadena que sobreviven a cualquier ruptura criptográfica futura.
Fíjate en lo que falta: no existe ninguna "billetera de Monero a prueba de cuántica" a la que cambiarte, ni un ajuste que activar. La migración, cuando llegue, es un evento a nivel de protocolo que toda la red realiza en conjunto.
Un ejemplo concreto: robo frente a desanonimización
Imagina a un adversario que ha archivado la blockchain completa de Monero en 2026 y que consigue una computadora cuántica criptográficamente relevante en, digamos, 2035. Dos cosas distintas se vuelven posibles, y golpean a víctimas diferentes.
Primero, el robo: cualquier salida que en ese momento siga sin gastar puede ser vaciada, porque su clave de un solo uso puede recuperarse a partir de la dirección sigilosa registrada en la cadena. Las monedas que se hubieran movido a un tipo de salida post-cuántico antes de la ruptura están a salvo, y por eso importa tanto una migración coordinada y por eso ejecutar software actual es el paso uno.
Segundo, la desanonimización: las salidas gastadas no pueden robarse, pero las firmas de anillo históricas y las relaciones de direcciones sigilosas pueden desenredarse, exponiendo potencialmente quién transaccionó con quién años antes. Contra esto no hay defensa del tipo "mueve tus monedas"; la única mitigación es limitar los vínculos de identidad que adhieres a tu XMR fuera de la cadena. Cuando financias una billetera vía MoneroSwapper sin cuenta, sin correo y sin documento de identidad, no queda ningún registro KYC de exchange que ate esa actividad on-chain, descifrable en el futuro, a tu nombre. Las matemáticas de la cadena pueden acabar debilitándose; la miga de pan que nunca dejaste fuera de la cadena no se puede "des-omitir".
Una nota regional: por qué la privacidad off-chain importa hoy
Para quienes operan en España y la Unión Europea, el reglamento MiCA y los marcos de información como DAC8 endurecen los registros de identidad que los exchanges deben conservar y compartir. En buena parte de Latinoamérica la presión regulatoria avanza en la misma dirección, con normas AML cada vez más estrictas sobre los proveedores de servicios de activos virtuales. El punto técnico de este artículo se cruza directamente con esa realidad: un registro KYC que un exchange guarda hoy es exactamente el tipo de vínculo fuera de la cadena que un atacante con capacidad de descifrado futuro podría aprovechar. La criptografía de Monero protege lo que ocurre dentro de la cadena; las decisiones que tomas al adquirir tus monedas protegen lo que vive fuera de ella. Ninguna actualización post-cuántica del protocolo puede borrar un dato de identidad que ya fue recopilado por un tercero.
Preguntas frecuentes
¿Es Monero resistente a la computación cuántica en 2026?
No. Las firmas de anillo, RingCT, las direcciones sigilosas y las claves de Monero dependen todas de criptografía de curva elíptica que el algoritmo de Shor rompería en una computadora cuántica tolerante a fallos lo bastante grande. En 2026 no existe ninguna máquina así, de modo que no hay peligro presente, pero Monero no es post-cuántico y ninguna mejora actual lo convierte en eso.
¿FCMP++ vuelve a Monero seguro frente a lo cuántico?
No, y es un malentendido muy común. FCMP++ mejora drásticamente la privacidad al expandir el conjunto de anonimato a toda la blockchain, pero se construye sobre Curve Trees de curva elíptica y descansa sobre las mismas suposiciones de logaritmo discreto que atacaría una computadora cuántica. Es una mejora de privacidad, no una defensa cuántica.
¿Cuándo podría una computadora cuántica romper Monero de verdad?
Las estimaciones mayoritarias apuntan a la década de 2030 como muy pronto para una computadora cuántica criptográficamente relevante, con una gran incertidumbre. Romper la criptografía de curva elíptica de 256 bits necesita miles de qubits lógicos y millones de qubits físicos; en 2026 el mundo solo dispone de un puñado de qubits lógicos estables. El plazo podría irse mucho más allá o, menos probablemente, llegar antes.
¿Debería mover mi XMR para protegerlo de las computadoras cuánticas?
Todavía no. No hay ningún lugar seguro frente a lo cuántico al que moverlo, porque un Monero post-cuántico sigue siendo un esfuerzo de investigación. La acción realista es mantener el software de tu billetera actualizado para poder participar en un futuro hard fork de migración, y minimizar hoy los vínculos de identidad fuera de la cadena dada la permanencia de la blockchain.
¿El algoritmo de Grover amenaza la minería RandomX de Monero?
Solo marginalmente. El algoritmo de Grover ofrece una aceleración cuadrática contra el hashing y la búsqueda, lo que en la práctica reduce a la mitad la fortaleza en bits de un hash: una primitiva de 256 bits cae a unos 128 bits de seguridad, que siguen estando cómodamente fuera de alcance. La prueba de trabajo y el hashing sobreviven a la era cuántica; la capa de firma de curva elíptica es la preocupación real.
Conclusión
La resistencia cuántica es uno de esos raros temas de Monero en los que la respuesta exacta es más tranquilizadora que los titulares: existe un riesgo genuino a largo plazo, no está presente en 2026, y los investigadores del proyecto lo tratan como un "cuándo" serio en vez de como un motivo de pánico. FCMP++, Seraphis y Jamtis hacen a Monero más privado y más escalable, pero no fingen ser escudos cuánticos; el verdadero trabajo post-cuántico es un esfuerzo de varios años que aún está sobre la mesa del laboratorio. Lo más inteligente que puedes hacer ahora es mantener tu software al día, seguir la hoja de ruta del protocolo en lugar de a los influencers, y recordar que la privacidad fuera de la cadena que estableces hoy sobrevive a cualquier ruptura criptográfica futura. Si quieres XMR sin ningún rastro de KYC adherido, puedes comprar Monero de forma anónima a través de MoneroSwapper y saltarte la miga de pan de identidad que ninguna migración futura podrá borrar por ti.
🌍 Leer en