Bulletproofs+ vs Bulletproofs en Monero: guía 2026
Bulletproofs+ frente a Bulletproofs en Monero: qué cambió de verdad
El 13 de agosto de 2022, una actualización de red de Monero reemplazó sin hacer ruido una pieza de criptografía que casi ningún usuario llega a ver, pero de la que todos dependen. Bulletproofs+ sustituyó a las pruebas de rango originales de Bulletproofs, recortando aún más bytes de cada transacción y reduciendo el tiempo de verificación para los miles de nodos completos que vigilan la cadena. Si alguna vez has movido XMR a través de un servicio sin KYC como MoneroSwapper, tu transacción cargó con una de estas pruebas como equipaje criptográfico: la evidencia matemática de que no estás creando monedas de la nada en secreto.
Los dos nombres suenan casi idénticos y las notas de versión rara vez explican la diferencia. ¿Es Bulletproofs+ una mejora de privacidad? ¿De velocidad? ¿Un sistema completamente nuevo? Respuesta corta: es una mejora de eficiencia, no de privacidad. Esta guía desglosa qué hace cada prueba en realidad, por qué Monero las adoptó en octubre de 2018 y agosto de 2022 respectivamente, y cuán relevante es la diferencia práctica entre ambas para una transacción corriente en 2026.
Por qué Monero necesita pruebas de rango
Monero oculta los montos de las transacciones mediante RingCT (Ring Confidential Transactions), introducido en enero de 2017. En lugar de escribir el monto en texto plano, cada salida almacena un compromiso de Pedersen de la forma C = xG + aH, donde a es el monto oculto, x es un factor de cegado aleatorio, y G y H son generadores fijos sobre la curva elíptica. La red puede verificar que las entradas son iguales a las salidas sin llegar a conocer jamás las cifras implicadas.
Ese secreto abre una grieta peligrosa. Si nadie puede ver el monto, ¿qué impide que un emisor malicioso se comprometa a un valor gigantesco que dé la vuelta al orden del grupo de la curva, creando XMR de la nada en la práctica? Aquí es donde las pruebas de rango se ganan el sueldo.
- Defensa contra la inflación: una prueba de rango demuestra que cada monto oculto cae dentro del intervalo válido [0, 264) sin revelar la cifra. Ni montos negativos, ni desbordamientos de entero, ni monedas falsificadas.
- Conocimiento cero: la prueba no filtra nada sobre el valor real. Un verificador solo aprende que "este número está dentro del rango", nunca el número en sí.
- Sin configuración de confianza: a diferencia de muchas construcciones zk-SNARK, Bulletproofs y Bulletproofs+ no requieren ninguna ceremonia secreta. No existen "residuos tóxicos" que más tarde puedan usarse para falsificar pruebas.
- Agregación: una sola prueba puede cubrir todas las salidas de una transacción a la vez, de modo que su tamaño crece de forma logarítmica y no lineal con cada salida nueva.
Cada byte gastado en estas pruebas vive en la cadena de bloques para siempre, replicado en cada nodo del planeta. Por eso la eficiencia de las pruebas de rango no es una nota al pie: moldea directamente las comisiones de Monero, los tiempos de sincronización y la carga de almacenamiento a largo plazo, todo lo cual sostiene su fungibilidad.
Bulletproofs: el gran salto de 2018
Antes de Bulletproofs, Monero usaba firmas de anillo de Borromeo para construir sus pruebas de rango. Funcionaban, pero eran despiadadas con el espacio: la prueba crecía linealmente con el número de bits demostrados, y una sola transacción de dos salidas se inflaba hasta unos 13 KB. En una cadena enfocada en la privacidad que ya carga con pesados datos de firmas de anillo, eso era insostenible.
Bulletproofs, propuesto por Benedikt Bünz, Jonathan Bootle y otros coautores en 2017, llegó a la red principal de Monero con la actualización de octubre de 2018. El resultado fue espectacular. Una transacción típica encogió alrededor de un 80 %, pasando de unos 13 KB a cerca de 2,5 KB, y las comisiones medianas se desplomaron más de un 95 %. Sigue siendo una de las mayores victorias de eficiencia en toda la historia de Monero.
Cómo funciona Bulletproofs por dentro
El motor que vive dentro de Bulletproofs es el argumento de producto interno (inner-product argument o IPA). El probador codifica los bits del monto en dos vectores y debe convencer al verificador de que su producto interno es igual a un valor concreto. En lugar de enviar los vectores completos, el protocolo ejecuta varias rondas, reduciendo a la mitad la longitud del vector en cada una. Tras log2(n) rondas, solo queda un puñado de puntos de la curva por transmitir.
Ese escalado logarítmico es la magia. Demostrar un rango de 64 bits exige una prueba de apenas unos cientos de bytes, y agregar varias salidas añade solo un par de elementos extra en lugar de una prueba entera nueva. Para que el argumento de producto interno sea de conocimiento cero, el Bulletproofs original le añade términos de cegado adicionales que viajan junto al argumento central.
Verificación por lotes
Bulletproofs también permite que los nodos verifiquen muchas pruebas juntas en una sola operación por lotes, mucho más barata que comprobar cada una por separado. Esto importa enormemente cuando un nodo completo sincroniza años de historial o valida un bloque recién minado, repleto de transacciones procedentes del mempool.
Bulletproofs+ frente a Bulletproofs: las diferencias reales
Bulletproofs+ procede de un artículo de 2020 firmado por Heewon Chung, Kyoohyung Han, Chanyang Ju, Myungsun Kim y Jae Hong Seo. Su innovación central es sustituir el argumento de producto interno por un argumento de producto interno ponderado (WIP, por sus siglas en inglés). El WIP pliega el cegado de conocimiento cero dentro del propio argumento, de modo que el probador ya no necesita transmitir los términos de enmascaramiento por separado que exigía el Bulletproofs clásico.
Menos elementos transmitidos significa una prueba más pequeña y una verificación ligeramente más barata. En el despliegue de Monero, Bulletproofs+ recortó la parte de la prueba de rango de una transacción en torno a un 5–7 % y aceleró modestamente la verificación. Es un refinamiento incremental —ni de lejos el salto del 80 % de 2018—, pero un ahorro gratuito que se acumula a lo largo de millones de transacciones y en el almacenamiento de cada nodo.
Y un punto crucial: las propiedades de privacidad son idénticas. Ambas pruebas ocultan los montos igual de bien; ambas se apoyan en el mismo rango de 64 bits y en el mismo esquema de compromiso de Pedersen. Quien promocione Bulletproofs+ como "más privado" está equivocado. La privacidad proviene de RingCT, las firmas de anillo y CLSAG; la prueba de rango solo garantiza la honestidad de los montos.
| Propiedad | Bulletproofs (2018) | Bulletproofs+ (2022) |
|---|---|---|
| Activación en Monero | Octubre de 2018 (v8) | Agosto de 2022 (v15) |
| Argumento central | Producto interno | Producto interno ponderado |
| Cegado de conocimiento cero | Términos extra enviados aparte | Plegado dentro del argumento |
| Tamaño frente al anterior | ~80 % menor que Borromeo | ~5–7 % menor que Bulletproofs |
| Velocidad de verificación | Rápida, agrupable por lotes | Algo más rápida, agrupable |
| Configuración de confianza | Ninguna | Ninguna |
| Rango demostrado | [0, 264) | [0, 264) |
| Impacto en la privacidad | Oculta los montos | Idéntico: solo eficiencia |
La actualización de agosto de 2022 hizo más que cambiar la prueba de rango. También incorporó las view tags (etiquetas de visualización), que aceleraron el escaneo de monederos alrededor de un 40 %, y subió el tamaño del anillo de 11 a 16 señuelos. Bulletproofs+ ayudó a compensar el peso adicional que añadían esos anillos más grandes, manteniendo las transacciones ligeras incluso mientras crecía el conjunto de anonimato.
El recorrido de una prueba de rango dentro de una transacción
Ayuda ver dónde encajan estas pruebas en el ciclo de vida de un pago en XMR. Los pasos siguientes siguen una sola salida desde su creación hasta su confirmación.
- Comprometer el monto. Tu monedero elige un factor de cegado aleatorio y construye el compromiso de Pedersen C = xG + aH para cada salida, ocultando el valor en la cadena.
- Generar la prueba. El monedero construye una única prueba de rango Bulletproofs+ agregada que cubre todas las salidas, demostrando que cada monto cae en [0, 264) sin exponerlo.
- Difundir. La transacción firmada —datos de la firma de anillo, imagen de clave, compromisos y la prueba de rango— se propaga por la red mediante Dandelion++ y aterriza en el mempool.
- Verificar. Cada nodo completo comprueba la prueba de rango (a menudo en lote con otras), confirma que las entradas cuadran con las salidas y valida las firmas de anillo antes de retransmitir.
- Confirmar. Un minero incluye la transacción en un bloque; tras diez confirmaciones, los fondos se consideran liquidados y disponibles para gastar.
Si una sola prueba de rango falla la verificación, la transacción entera se rechaza: no existe la aceptación "parcial". Esa regla de todo o nada es lo que vuelve hermética la garantía contra la inflación.
Qué significa la diferencia en la práctica
Para un usuario corriente, el cambio de Bulletproofs a Bulletproofs+ fue invisible. Actualizaste tu monedero y tus transacciones simplemente empezaron a construir la prueba más nueva. Ninguna moneda quedó inutilizable, ninguna dirección cambió y nada en tu postura de privacidad se movió. El beneficio aterrizó a nivel de red.
Una transacción estándar de Monero en 2026, con dos entradas y dos salidas, pesa aproximadamente 1,5 KB y cuesta una fracción de centavo de dólar con prioridad normal. Bulletproofs+ es una de las razones por las que esa cifra se mantuvo baja incluso después de que el tamaño del anillo saltara a 16. Multiplica el ahorro del 5–7 % en la prueba de rango por los millones de transacciones que se confirman cada año y obtienes bloques perceptiblemente más esbeltos, una sincronización inicial más rápida para los nodos nuevos y una huella más ligera para quien ejecuta Monero sobre Tor en hardware modesto.
Esa eficiencia alimenta directamente la accesibilidad. Comisiones más bajas y transacciones más pequeñas abaratan el montar un nodo, lo que mantiene la red descentralizada. Cuando intercambias hacia XMR a través de MoneroSwapper y retiras a tu propio monedero, la prueba que viaja dentro de esa transacción es el mismo objeto Bulletproofs+ esbelto que produce cualquier otro usuario en 2026, lo que preserva la fungibilidad: una salida de XMR es criptográficamente indistinguible de la siguiente.
Conviene recordar que las pruebas de rango son solo una capa de la pila de privacidad de Monero. Las autoridades fiscales como la Agencia Tributaria en España o el SAT en México, y reguladores como la CNMV o la CNBV, escrutan los flujos de criptoactivos, pero una prueba de rango no revela nada sobre el emisor, el receptor ni el monto. Su único trabajo es la honestidad respecto a la oferta, no el anonimato; de eso se encarga otra parte del protocolo.
Preguntas frecuentes
¿Bulletproofs+ dejó mi Monero antiguo sin poder gastarse?
No. El cambio fue una actualización a nivel de consenso activada a una altura de bloque concreta. Tras el fork de agosto de 2022, los monederos actualizados simplemente empezaron a construir pruebas Bulletproofs+ para las transacciones nuevas. Las monedas recibidas durante la era del antiguo Bulletproofs se gastan perfectamente: la prueba se genera de cero cada vez que envías, no se almacena de forma permanente junto a tu saldo.
¿Es Bulletproofs+ más privado que Bulletproofs?
No. Ambos ocultan los montos exactamente en el mismo grado y demuestran el mismo rango [0, 264). Bulletproofs+ es puramente una mejora de eficiencia: pruebas más pequeñas y una verificación algo más rápida. La privacidad real de Monero proviene de RingCT, las direcciones sigilosas (stealth addresses) y las firmas de anillo CLSAG, ninguna de las cuales toca la prueba de rango.
¿Tengo que hacer algo para usar Bulletproofs+?
Solo ejecutar un monedero actual. El software oficial de Monero, tanto la GUI como la CLI, y los monederos de terceros con buena reputación construyen pruebas Bulletproofs+ de forma predeterminada desde la actualización de 2022. No hay ningún ajuste que activar ni ninguna migración que realizar: es automático.
¿Por qué Monero no usa zk-SNARKs en su lugar?
La mayoría de los sistemas zk-SNARK eficientes requieren una ceremonia de configuración de confianza, que produce parámetros secretos que, si se filtran, podrían permitir a un atacante falsificar pruebas e inflar la oferta sin que nadie lo detecte. Bulletproofs y Bulletproofs+ no necesitan tal ceremonia, lo que encaja con la filosofía sin confianza (trustless) de Monero. La contrapartida son pruebas algo más grandes y una verificación que escala con el tamaño del enunciado.
¿Qué viene después de Bulletproofs+?
El próximo gran salto es FCMP++ (Full-Chain Membership Proofs, pruebas de pertenencia a toda la cadena), que pretende reemplazar las firmas de anillo por una prueba que oculta cada gasto entre toda la cadena de bloques en lugar de un anillo de 16 señuelos. Usa su propia maquinaria de demostración y ha estado en pruebas activas a lo largo de 2025–2026, con vistas a un futuro hard fork. Es probable que pruebas de rango como Bulletproofs+ conserven su función incluso mientras FCMP++ renueva el lado de la pertenencia dentro de la privacidad.
En resumen
Bulletproofs fue la revolución: un recorte de tamaño del 80 % que volvió prácticos los montos confidenciales en 2018. Bulletproofs+ es el pulido: un refinamiento del 5–7 % en 2022 que cambió el argumento de producto interno por una variante ponderada, plegó el conocimiento cero dentro de la prueba y ahorró bytes en cada transacción sin alterar una sola cosa de tu privacidad. Conocer la diferencia te permite detectar el mito de marketing que llama "más anónima" a la prueba más nueva: simplemente no lo es, y no necesita serlo.
Ambas pruebas comparten la misma meta: garantizar que nadie falsifique XMR mientras los montos permanecen sellados. Esa integridad silenciosa es parte de lo que mantiene cada moneda intercambiable. ¿Listo para ponerlo en práctica? Puedes comprar Monero de forma anónima a través de MoneroSwapper sin cuenta y sin KYC, y cada salida que recibas viajará con la misma prueba Bulletproofs+ esbelta y probada en combate en la que confía el resto de la red.
🌍 Leer en