MoneroSwapper MoneroSwapper

FCMP++ en Monero: el fin de las firmas de anillo

MoneroSwapper · · · 17 min read · 5 views

Actualización FCMP++ de Monero: el fin de las firmas de anillo

Durante casi una década, la privacidad de Monero ha descansado sobre una pieza matemática ingeniosa llamada firma de anillo: cuando gastas una moneda, tu entrada real se mezcla con quince señuelos extraídos de la propia cadena, y un observador externo no puede determinar cuál es la tuya. Ese tamaño de anillo de dieciséis ha resistido sorprendentemente bien, pero también es la superficie de ataque más estudiada de todo el protocolo. El hard fork de 2026 cambia el modelo por completo. FCMP++ —abreviatura de Full-Chain Membership Proofs Plus Plus— sustituye el anillo de dieciséis salidas por una prueba criptográfica de que tu entrada pertenece al conjunto de todas las salidas gastables que Monero ha producido jamás, hoy ya superior a los cien millones. El conjunto de anonimato salta de dieciséis a, prácticamente, toda la historia de la cadena. Esta guía recorre qué hace realmente FCMP++, por qué el esquema CLSAG vigente debía jubilarse, cómo los árboles de curva y el ciclo Helios/Selene vuelven el cálculo tratable, y qué sensación tendrá cambiar a XMR a través de servicios como MoneroSwapper una vez que se active la actualización.

Por qué CLSAG y las firmas de anillo tenían que irse

El esquema de firma actual de Monero, CLSAG (Concise Linkable Spontaneous Anonymous Group), se activó en agosto de 2020 y redujo el tamaño de transacción en aproximadamente un 25 por ciento respecto a la construcción MLSAG anterior. Es elegante, rápido y está probado en combate. Pero su premisa central —que un atacante no puede distinguir el gasto real de los quince señuelos— siempre ha sido una asunción que se debilita a medida que mejora el análisis de cadena.

Varias heurísticas publicadas erosionan la garantía de dieciséis sobre dieciséis. La más citada es el ataque Eva-Alicia-Eva, en el que una entidad de vigilancia controla u observa dos transacciones que involucran al mismo objetivo y utiliza patrones temporales, distribuciones de edad de salidas y entradas con gasto conocido para reducir el conjunto de anonimato efectivo. Investigadores han demostrado que, bajo modelos adversariales realistas, el tamaño de anillo efectivo puede caer muy por debajo de dieciséis para ciertas transacciones. Firmas de análisis de cadena como CipherTrace, Chainalysis y la contratista Integra FEC —ligada históricamente a la agencia tributaria estadounidense (IRS)— han afirmado públicamente capacidades parciales de desanonimización, aunque la precisión real de esas afirmaciones sigue siendo objeto de debate en la comunidad técnica.

  • Conjunto de anonimato limitado: dieciséis entradas frente a un libro mayor de cien millones de salidas es privacidad estadística, no privacidad criptográfica.
  • Sesgo en la selección de señuelos: la distribución gamma empleada para elegir señuelos filtra información cuando la salida real es inusualmente vieja o inusualmente reciente.
  • Ataques de canica negra (black marble): un adversario que controle una fracción grande de salidas recién creadas puede envenenar futuros anillos al saber cuáles de los dieciséis le pertenecen.
  • Hipótesis de conjunto cerrado: si el patrón de gasto de una cartera es predecible, el conjunto efectivo se contrae aunque el conjunto criptográfico no lo haga.

FCMP++ elimina el modelo de señuelos por completo. No hay anillo. No hay algoritmo de selección que sesgar. En su lugar, el remitente produce una prueba de conocimiento cero de que la entrada gastada es una de las salidas en un compromiso de árbol de Merkle sobre la cadena entera, y esa prueba no revela absolutamente nada sobre cuál.

Cómo funcionan realmente las pruebas de pertenencia de cadena completa

El reto criptográfico de FCMP++ es brutal: demostrar pertenencia a un conjunto de más de cien millones de elementos, hacerlo en menos de un kilobyte y verificarlo en milisegundos sobre un portátil corriente. El Monero Research Lab lo resolvió apilando tres primitivas —árboles de curva, el ciclo Helios/Selene y Bulletproofs+— en una única prueba compuesta. El resultado es una firma de tamaño parecido al CLSAG actual pero con un conjunto de anonimato seis órdenes de magnitud mayor.

Árboles de curva: árboles de Merkle para puntos de curva elíptica

Un árbol de curva, introducido por Campanelli, Hall-Andersen y Kamp en 2022, es un árbol de Merkle cuyos nodos internos son compromisos de curva elíptica en lugar de hashes ordinarios. Las hojas contienen claves públicas de salida y compromisos de cantidad; cada rama combina a sus hijos mediante un compromiso de Pedersen sobre una curva elíptica pareja. Como los compromisos son homomórficos, puedes probar que una hoja oculta se encuentra en un camino dado sin revelar ni la hoja ni el camino. El árbol de Monero tiene aproximadamente veinticinco capas de profundidad al tamaño actual de cadena, y el reequilibrado ocurre como parte del consenso.

El ciclo de curvas Helios y Selene

Los árboles de curva necesitan dos curvas elípticas que encajen aritméticamente la una en la otra: el cuerpo base de una curva es el cuerpo escalar de la otra. El Monero Research Lab se decantó por un par nuevo llamado Helios y Selene, diseñado en 2024 específicamente para este propósito. Se eligieron frente a alternativas como el ciclo Pasta (usado en Mina) porque ofrecen mejor aritmética en tiempo constante en Rust y C++ y conviven elegantemente con las claves Ed25519 que Monero ya utiliza. Crucial: las salidas existentes no necesitan migrar a las curvas nuevas; el sistema de prueba tiende un puente entre Ed25519 y Helios en la capa de hojas.

Bulletproofs+ para rango y composición

Las pruebas de rango (demostrar que la cantidad de salida es no negativa sin revelarla) siguen apoyándose en Bulletproofs+, la misma primitiva utilizada desde el fork de noviembre de 2022. FCMP++ extiende BP+ para probar además el enunciado compuesto: «conozco la apertura de una hoja en alguna posición del árbol de curva, esa hoja compromete una salida que me pertenece, y no la he gastado antes». La prueba resultante pesa unos 3 KB antes de la agregación y se verifica en menos de cincuenta milisegundos sobre una CPU moderna, según las marcas de tiempo publicadas por Luke «Kayaba» Parker en la implementación de referencia.

Qué cambia para usuarios y operadores de monederos

Para el usuario corriente de Monero, el día en que FCMP++ se active será sorprendentemente anodino. Tu monedero se sincroniza, tus subdirecciones siguen funcionando, tu frase semilla sigue siendo válida. El cambio es invisible en la interfaz pero profundo por debajo. A continuación, una comparativa lado a lado de las diferencias prácticas.

PropiedadAntes del fork (CLSAG)Después del fork (FCMP++)
Conjunto de anonimato por entrada16 salidas~100 M+ salidas (toda la cadena)
Tamaño de transacción (2 in, 2 out)~1,5 KB~3-4 KB
Tiempo de verificación~10 ms~40-50 ms
Selección de señuelosDistribución gamma, en el clienteNinguna: compromiso de cadena
Soporte de monedero hardwareTrezor, LedgerTrezor primero, Ledger probablemente 6-12 meses después
Resistencia al análisis de cadenaEstadística, se debilita con el tiempoCriptográfica, el conjunto crece con la cadena
Ataques de canica negra / envenenamientoPosibles a gran escalaEliminados

Las comisiones de transacción subirán moderadamente —las estimaciones iniciales apuntan a entre 1,8x y 2,5x la comisión mínima actual por kilobyte— porque las pruebas son mayores. Sin embargo, el mecanismo de tamaño de bloque dinámico absorbe la mayor parte del impacto, y la emisión de cola mantiene estable el ingreso de los mineros. El Monero Research Lab ha publicado una calculadora que estima que un usuario de monedero típico pagará dos a cuatro céntimos de euro adicionales por transacción.

«FCMP++ es la mayor mejora de privacidad en la historia de Monero. Pasamos de "probablemente anónimo entre 16" a "demostrablemente anónimo entre todo el que haya usado jamás la cadena".» — Justin Berman, colaborador del MRL, en MoneroKon 2025.

Paso a paso: cómo prepararte para el hard fork FCMP++

El hard fork está programado tentativamente para finales de 2026, supeditado a la auditoría final y la revisión de código. Esto es lo que todo usuario de Monero debería hacer para estar preparado, tanto si autocustodia como si opera un nodo o cambia a XMR a través de un servicio.

  1. Actualiza el software de tu monedero al menos una semana antes del fork. Vigila la página de releases del repositorio oficial monero-project en GitHub para el salto de la v0.19 a la v0.20, que traerá el soporte para FCMP++. Los monederos antiguos sencillamente dejarán de poder difundir transacciones válidas tras la altura del fork.
  2. Si operas un nodo, planifica una resincronización inicial del árbol de curva. La primera sincronización tras el fork reconstruye el compromiso de pertenencia desde el bloque génesis. Reserva entre cuatro y ocho horas de tiempo de CPU sobre hardware de consumo. Los nodos podados (pruned) están soportados pero tardan aproximadamente un treinta por ciento más.
  3. Mueve fondos fuera de monederos hardware que aún no hayan publicado firmware compatible. Trezor se ha comprometido a soporte el primer día. Los usuarios de Ledger deben esperar una demora más larga —históricamente Ledger ha ido seis a doce meses por detrás de los forks de Monero—. Si no puedes esperar, barre los fondos a un monedero caliente que corra el último CLI antes del fork.
  4. Verifica la preparación del pool si minas. P2Pool y los grandes pools centralizados (SupportXMR, Nanopool, sucesores de MineXMR) han señalado todos su compatibilidad. Los mineros en solitario deberían recompilar su nodo desde el código fuente oficial cuando aparezca la etiqueta de release.
  5. Si usas un exchange o servicio de swap, confirma el soporte del fork con antelación. Las plataformas de intercambio sin KYC reputables —incluida MoneroSwapper, que agrega liquidez de varios exchanges— han apoyado históricamente los forks de Monero en cuestión de horas tras la activación. Consulta la página de estado del servicio antes del día del fork si tienes intención de intercambiar.
  6. Haz copia de seguridad de tu semilla antes de cualquier actualización mayor. Tanto Polyseed como el mnemónico heredado de veinticinco palabras siguen siendo válidos tras el fork; no hace falta migrar claves. Pero las actualizaciones son una excusa excelente para verificar que tus copias todavía restauran correctamente.

Ejemplo práctico: un swap sin KYC antes y después del fork

Imagina un flujo del mundo real. Alicia, en Lisboa, recibe un pago freelance de 0,04 BTC y quiere convertirlo a XMR para comprar hardware a un proveedor que solo acepta Monero. Antes de FCMP++, su flujo en MoneroSwapper se ve así: pega su subdirección de Monero, recibe una dirección BTC de depósito de un solo uso, envía, y en treinta minutos los XMR llegan. La transacción que vincula su entrada con la cadena más amplia está protegida por un anillo de dieciséis —fuerte, pero no inquebrantable frente a un adversario decidido que observe ambos extremos—.

Una vez activado FCMP++, el mismo swap se completa por la misma interfaz, pero la transacción subyacente que el servicio difunde en nombre de Alicia lleva una prueba de que su salida podría ser cualquiera de los más de cien millones de salidas presentes en la cadena. Incluso si una firma de análisis de cadena correlaciona el depósito BTC con Alicia y observa la salida XMR, no puede ligar la salida concreta de Alicia con el eventual gasto del proveedor de hardware: la prueba criptográfica de pertenencia no revela nada sobre cuál hoja del árbol de curva fue gastada. La experiencia de usuario es idéntica; la garantía de privacidad es cualitativamente distinta.

El contexto regional importa aquí. En la UE, el reglamento MiCA, en vigor pleno desde diciembre de 2024, excluye expresamente las transferencias entre carteras no custodiadas (wallet-to-wallet) de la regla del viajero (travel rule). En España, la Agencia Tributaria (AEAT) sigue exigiendo el modelo 721 para tenencias de cripto en el extranjero por encima de 50 000 euros, pero ese deber declarativo recae en el contribuyente, no en la mecánica del protocolo. Portugal, vecino y referencia para muchos hispanohablantes europeos, no impone aún KYC sobre swaps cripto entre pares por debajo de mil euros. En Latinoamérica el panorama es muy heterogéneo: Argentina endureció reglas para PSAV en 2024, México mantiene el régimen restrictivo de la Ley Fintech, y El Salvador y Paraguay siguen siendo notablemente más permisivos. FCMP++ no altera nada del estatus regulatorio: cambia lo que un adversario puede demostrar a partir de los datos de cadena después de los hechos. Para usuarios en jurisdicciones donde la vigilancia financiera es agresiva, la mejora se aproxima a algo existencial.

La hoja de ruta: FCMP++, Seraphis y Carrot

FCMP++ no es el punto final del mapa de privacidad de Monero; es una estación intermedia. La siguiente propuesta mayor, Seraphis, rediseña el protocolo de transacción desde cero y se empareja de forma natural con un nuevo esquema de direcciones llamado Jamtis (y su primo ligero Carrot, propuesto por el usuario jeffro256 en 2024). Seraphis aporta soporte nativo para multifirma, escaneo más liviano basado en etiquetas de visión y mejor secreto hacia adelante para monederos de solo lectura.

El orden de operaciones importa. Al enviar FCMP++ primero como una mejora contenida al esquema de firma, el Monero Research Lab gana tiempo para finalizar Seraphis sin meter con calzador dos cambios mayores en un mismo fork. El análogo histórico es la ruta de MLSAG a CLSAG en 2020, que llegó dieciocho meses antes de la actualización Bulletproofs+. Espera que Seraphis se active no antes de 2027, y solo después de que el código base de FCMP++ haya tenido al menos un ciclo de release completo en producción.

Está también la cuestión paralela de la seguridad poscuántica. Ni CLSAG ni FCMP++ son seguros frente a computación cuántica en su forma actual: ambos descansan sobre la asunción del logaritmo discreto en curvas elípticas. Un adversario cuántico con un ordenador tolerante a fallos suficientemente grande podría, en principio, romper cualquiera de los dos sistemas de forma retroactiva. El MRL ha iniciado investigación sobre reemplazos basados en retículos (lattice-based), pero un Monero poscuántico listo para producción es probablemente un proyecto de la década de 2030. FCMP++ compra margen frente a los adversarios de hoy; la resistencia cuántica es un elemento separado de la hoja de ruta.

Preguntas frecuentes

¿Cuándo exactamente se activa FCMP++ en mainnet?

A mediados de 2026, la altura objetivo de activación está programada tentativamente para la ventana de octubre-noviembre, supeditada a la finalización de dos auditorías independientes de código (una financiada por el Monero Community Crowdfunding System, otra por una firma externa todavía no anunciada públicamente) y a un periodo de pruebas en testnet de al menos noventa días. El Monero Research Lab ha priorizado consistentemente la corrección sobre el calendario, así que un deslizamiento a comienzos de 2027 es plausible. Vigila el repositorio monero-project para la etiqueta de release v0.20, que será la señal canónica.

¿Tengo que hacer algo con mis XMR existentes antes del fork?

No. Tus salidas existentes, subdirecciones y semilla siguen siendo válidas. El árbol de curva se construye a partir de todas las salidas gastables a la altura del fork, así que las monedas que tenías antes quedan automáticamente incluidas en el nuevo conjunto de anonimato. No hay transacción de migración, ni token swap, ni riesgo de perder fondos por el simple hecho de cruzar el fork sosteniéndolos. La única salvedad es mantener actualizado el software del monedero para poder gastar después de la actualización.

¿Seguirán funcionando los monederos hardware?

Trezor se ha comprometido a soporte el primer día, con firmware en desarrollo activo y ya probado contra el testnet de FCMP++. Ledger históricamente tarda más: la brecha entre los forks de Monero y el soporte de Ledger ha promediado de seis a doce meses en actualizaciones anteriores. Si dependes de Ledger, planifica aceptar una demora en la capacidad de gasto o barrer fondos temporalmente al monedero CLI oficial, que siempre cuenta con soporte de primera clase para la última versión del protocolo.

¿FCMP++ vuelve poscuántico a Monero?

No. FCMP++ mejora el conjunto de anonimato frente al análisis de cadena clásico, pero hereda la dependencia existente de Monero del problema del logaritmo discreto en curva elíptica. Un futuro ordenador cuántico de escala suficiente podría, en teoría, romper las firmas subyacentes. El Monero poscuántico es un proyecto de investigación separado y a más largo plazo. El Monero Research Lab ha discutido candidatos basados en retículos y en isogenias, pero ninguno se acerca todavía a estar listo para producción.

¿Cómo afecta esto a las comisiones de transacción?

Las primeras estimaciones sugieren que las comisiones base subirán aproximadamente entre 1,8x y 2,5x porque las pruebas son mayores que las firmas CLSAG. En términos absolutos, una transacción típica de dos entradas y dos salidas que hoy cuesta alrededor de un céntimo de euro costaría entre dos y cuatro céntimos tras el fork. El tamaño de bloque dinámico y los mecanismos de emisión de cola amortiguan el impacto, y las comisiones agregadas por kilobyte de datos útiles siguen estando entre las más bajas de cualquier moneda de privacidad.

¿Puedo cambiar a XMR de forma anónima durante o justo después del fork?

Sí, siempre que el servicio de swap que utilices soporte la actualización. MoneroSwapper y otros agregadores sin KYC habitualmente pausan los nuevos depósitos de Monero durante unas horas en torno a la altura del fork para permitir que los operadores de nodo actualicen, y reanudan operación normal después. Los fondos enviados a una dirección de depósito antes de la pausa se procesan cuando los nodos se ponen al día. No hay riesgo de perder fondos, pero puede haber una ventana breve de confirmaciones demoradas. Programa los swaps grandes muy antes o muy después de la ventana del fork para la experiencia más fluida.

Conclusión

FCMP++ es el tipo de actualización que justifica la reputación de Monero como la moneda de privacidad más investigada activamente en producción. Sustituye una asunción que tiene una década —que dieciséis señuelos son suficientes— por una garantía criptográfica atada a la cadena entera. La matemática es dura, las auditorías siguen en curso y el despliegue no será ni instantáneo ni indoloro, pero el destino es un Monero donde el conjunto de anonimato deja de ser un parámetro que se ajusta y debilita con el tiempo. Para quien depende del dinero privado, sea por motivos de negocio que cumplen la normativa, por privacidad financiera personal o por operar en jurisdicciones donde la vigilancia es la norma, ese destino merece la espera. Cuando el fork aterrice, cambiar a XMR a través de MoneroSwapper funcionará exactamente como hoy: solo la privacidad subyacente será cualitativamente más fuerte. Marca la página, vigila la release v0.20 y actualiza tu monedero antes de la altura del fork.

🌍 Leer en

English Português Español Русский 中文 Deutsch Français Italiano 한국어 日本語 Tiếng Việt ไทย Indonesia हिन्दी Türkçe العربية فارسی עברית Melayu Filipino

Comparte este artículo

Artículos Relacionados

XMR a BTC: Swap Instantáneo vs Atomic Swap en 2026

May 30, 2026

Cómo cambiar XMR a BTC desde Cake Wallet: paso a paso

May 30, 2026

OTC XMR a BTC: Guía de Intercambios Grandes 2026

May 30, 2026

Riesgos de privacidad XMR a BTC: qué pierdes en 2026

May 30, 2026

¿Atomic Wallet filtra la privacidad de Monero?

May 30, 2026

¿Es Atomic Wallet seguro para Monero en 2026?

May 30, 2026

Exchange de Monero Anónimo

Sin KYC • Sin Registro • Intercambio Instantáneo

Intercambiar Ahora