Cómo funcionan las firmas de anillo de Monero
Cómo funcionan las firmas de anillo de Monero
Cada vez que se confirma una transacción de Bitcoin, la dirección de quien envía, la de quien recibe y el monto exacto quedan grabados en un libro contable público que cualquiera puede leer para siempre. Monero nació justamente para romper ese modelo, y la firma de anillo es la pieza que carga con casi todo el peso del lado del emisor. Según las reglas de red vigentes en 2025, cada transacción de Monero esconde al emisor real entre 16 posibles gastadores: un tamaño de anillo fijo y obligatorio para todos los usuarios desde el hard fork de agosto de 2022. Esa uniformidad no es un detalle menor; es justamente el punto. Cuando adquieres XMR a través de un servicio sin registros como MoneroSwapper, las monedas heredan esta protección de forma automática, sin que tengas que activar nada.
Esta guía explica qué es realmente una firma de anillo, cómo Monero construye una para cada gasto, por qué la imagen de clave (key image) impide el doble gasto sin desenmascararte, y cómo la próxima actualización FCMP++ planea ampliar el conjunto de anonimato de 16 a la cadena entera. No se asume ningún conocimiento previo de criptografía: basta con la disposición de seguir cómo encajan las piezas.
Por qué la privacidad del emisor es el problema difícil
Esconder el monto de una transacción es relativamente sencillo con las matemáticas modernas. Esconder quién le paga a quién es mucho más complicado, porque una cadena de bloques tiene que permitir que cualquiera verifique que las monedas gastadas son reales y que no se gastaron antes, y todo eso sin un árbitro de confianza. Monero resuelve esto con tres capas independientes que trabajan en conjunto:
- Las direcciones sigilosas (stealth addresses) ocultan al receptor. Cada pago va a una dirección única de un solo uso, derivada en la propia cadena, de modo que la dirección pública del receptor nunca aparece en el libro contable.
- RingCT oculta el monto. Las transacciones confidenciales envuelven el valor en un compromiso criptográfico, cuya validez se demuestra mediante pruebas de rango en lugar de un número legible.
- Las firmas de anillo ocultan al emisor. Esta es la capa que vuelve ambiguo cuál de las salidas pasadas se está gastando en realidad.
Si quitas cualquiera de las tres capas, las otras dos se filtran. Si el emisor fuera visible, conocer la dirección sigilosa del receptor bastaría para reconstruir el grafo de pagos. Por eso Monero trata a las tres como obligatorias y no como funciones opcionales: el resultado es la fungibilidad, esa propiedad por la que cada XMR es intercambiable con cualquier otro XMR porque ninguno arrastra un historial rastreable.
Qué es realmente una firma de anillo
El concepto es anterior a Monero. Una firma de anillo, formalizada por primera vez por Rivest, Shamir y Tauman en 2001, permite que un miembro de un grupo firme un mensaje de manera que cualquier verificador pueda confirmar que "alguien de este grupo lo firmó" sin enterarse de cuál de los miembros fue. No hay líder de grupo, ni ceremonia de configuración, ni forma de revocar la ambigüedad más adelante: el firmante forma "de manera espontánea" un grupo improvisado a partir de claves públicas que ya existen.
Monero adapta esta idea al gasto. Cuando gastas una salida (un fragmento de XMR que recibiste antes), tu monedero no la señala de forma directa. En cambio, arma un anillo: tu salida real más 15 señuelos extraídos de salidas pasadas de otras personas en la cadena de bloques. La firma demuestra que una de esas 16 salidas es genuinamente tuya para gastar, pero un observador no puede saber cuál.
Los señuelos y cómo se eligen
Los 15 señuelos no son aleatorios. Si se tomaran de forma uniforme a lo largo de todo el historial de la cadena, la salida real —casi siempre una reciente— destacaría estadísticamente. En su lugar, el monedero de Monero muestrea los señuelos a partir de una distribución gamma calibrada para imitar el comportamiento real de gasto, que favorece las salidas creadas hace poco más o menos al ritmo en que la gente las gasta de verdad. Distintos investigadores han sometido este algoritmo de selección a pruebas de estrés en repetidas ocasiones, y el Monero Research Lab lo ha refinado varias veces para cerrar las heurísticas basadas en el momento del gasto (timing).
Como cada monedero usa el mismo algoritmo y el mismo tamaño de anillo de 16, tu transacción tiene una estructura idéntica a la de cualquier otra. La uniformidad es, en sí misma, una función de privacidad: un caso atípico es fácil de rastrear, pero un miembro de una multitud perfectamente homogénea no lo es.
La imagen de clave: frenar el doble gasto sin revelar al emisor
Aquí viene la parte ingeniosa. Si un verificador no puede saber qué salida estás gastando, ¿cómo evita la red que gastes la misma salida dos veces? La respuesta es la imagen de clave (key image): una etiqueta criptográfica única, derivada de forma determinista a partir de la clave privada de un solo uso de tu salida.
Cada salida puede producir exactamente una imagen de clave válida, y esa imagen no revela nada sobre cuál de los miembros del anillo la generó. Cuando se difunde tu transacción, cada nodo registra la imagen de clave. Si esa misma imagen vuelve a aparecer alguna vez, la red rechaza la segunda transacción por considerarla un doble gasto. Así, el sistema obtiene la garantía de integridad propia de un libro contable basado en UTXO mientras conserva la ambigüedad del emisor: la imagen de clave es vinculable consigo misma, pero no con tu identidad.
CLSAG: el esquema de firma que Monero usa hoy
El algoritmo concreto que ejecuta Monero es CLSAG, sigla de Concise Linkable Spontaneous Anonymous Group signatures (firmas de grupo anónimo, espontáneo, vinculable y conciso). Reemplazó a la construcción anterior, MLSAG, en el hard fork de octubre de 2020. La actualización no fue cosmética: CLSAG redujo el tamaño de la firma en torno a un 25% y recortó el tiempo de verificación alrededor de un 10–20%, lo que se traduce en transacciones más pequeñas, comisiones más bajas y una carga más liviana para cada nodo que valida la cadena.
El término "vinculable" alude al comportamiento de la imagen de clave que describimos antes; "espontáneo" y "grupo anónimo" capturan ese anillo improvisado y sin líder. Combinado con RingCT para los montos y con Bulletproofs+ para pruebas de rango compactas (activadas en el mismo fork de agosto de 2022 que fijó el tamaño de anillo en 16), CLSAG es lo que hace que una transacción moderna de Monero sea a la vez privada y pequeña.
Construir una firma de anillo, paso a paso
Ayuda ver la secuencia que recorre tu monedero cuando pulsas "enviar". La criptografía es enrevesada, pero el flujo de trabajo es directo:
- Seleccionar la salida real. Tu monedero identifica una salida que controlas y de la que posees la clave de gasto, lo bastante grande para cubrir el pago más la comisión.
- Reunir 15 señuelos. Mediante el muestreador de distribución gamma, el monedero elige otras 15 salidas de la cadena de bloques para que acompañen a la tuya dentro del anillo.
- Calcular la imagen de clave. Derivada de la clave privada de la salida real, esta etiqueta permitirá que la red detecte cualquier futuro doble gasto de esa misma salida.
- Construir la firma CLSAG. El monedero arma una única firma sobre todo el anillo que solo es válida porque posees la clave de uno de los miembros, sin marcar cuál.
- Adjuntar los compromisos RingCT y las pruebas de rango. Bulletproofs+ demuestra que los montos ocultos no son negativos y que cuadran correctamente, todo sin revelar los valores.
- Difundir a través de Dandelion++. La transacción se propaga con un patrón de retransmisión que preserva la privacidad y oscurece qué nodo la originó primero, lo que dificulta la desanonimización a nivel de IP en la capa del mempool.
La firma de anillo no cifra tu transacción: la vuelve indistinguible de 15 alternativas plausibles. Aquí la privacidad nace de la ambigüedad, no de esconder los datos.
Las firmas de anillo frente a otros enfoques de privacidad
Monero no es el único proyecto que aborda la privacidad en cadena, pero su enfoque tiene compromisos bien diferenciados frente a las principales alternativas. La tabla siguiente resume cómo se posicionan las firmas de anillo.
| Enfoque | Fortalezas | Limitaciones |
|---|---|---|
| Firmas de anillo de Monero (CLSAG + RingCT) | Privacidad por defecto en cada transacción; sin configuración de confianza; maduras y probadas en producción desde 2017 | Conjunto de anonimato limitado al tamaño del anillo (16); transacciones más grandes que las de las cadenas transparentes |
| zk-SNARKs (p. ej. los pools blindados de Zcash) | Conjunto de anonimato muy grande cuando se blinda; pruebas pequeñas | La privacidad es opcional, así que la mayoría de las transacciones siguen siendo transparentes; algunos diseños exigieron una configuración de confianza |
| CoinJoin / mezclado (capas sobre Bitcoin) | Funciona sobre una cadena transparente ya existente; no requiere cambiar el protocolo | Opcional y coordinado; las firmas de análisis de cadena agrupan y "desmezclan" activamente a los participantes |
| Libros contables transparentes (Bitcoin, Ethereum) | Totalmente auditables; fáciles de verificar | Sin privacidad de emisor, receptor ni monto; grafo de pagos público y permanente |
La diferencia que lo define todo es la palabra defecto. Con CoinJoin o con los pools blindados, la privacidad es algo que el usuario tiene que elegir activamente, y la minoría que la elige termina destacando. En Monero no hay un modo transparente al cual salirse: cada gasto usa una firma de anillo, así que la multitud que busca privacidad es la totalidad de la base de usuarios. Eso es lo que sostiene la fungibilidad.
La debilidad honesta es el conjunto de anonimato. Dieciséis miembros es muchísimo mejor que cero, pero es un número finito. Un adversario con recursos suficientes que pueda descartar señuelos mediante información externa estrecha el campo. Esa limitación es precisamente la que está diseñada para borrar la próxima actualización del protocolo.
El camino por delante: FCMP++ y un conjunto de anonimato del tamaño de la cadena
El cambio más significativo que se viene para la privacidad del emisor en Monero es FCMP++, sigla de Full-Chain Membership Proofs (pruebas de pertenencia a la cadena completa). En lugar de demostrar "mi salida es una de estas 16", el gastador demuestra "mi salida es una de todas las salidas que han existido alguna vez en la cadena". Con bastante más de 100 millones de salidas registradas hasta la fecha, eso convierte un conjunto de anonimato de 16 en un conjunto de anonimato del tamaño de la cadena de bloques entera.
FCMP++ usa una estructura criptográfica diferente: una construcción de Curve Trees que permite a quien demuestra acreditar la pertenencia a un conjunto enorme con una prueba compacta y de verificación eficiente. Y, algo crucial, al igual que las herramientas que Monero ya usa, evita cualquier configuración de confianza, que históricamente ha sido un punto espinoso para los diseños basados en SNARK.
A lo largo de 2025, FCMP++ avanzó por revisiones de código y auditorías criptográficas independientes financiadas por la comunidad, y está previsto que llegue junto con la renovación más amplia del protocolo de transacciones Seraphis y el esquema de direcciones Jamtis. En conjunto, estos cambios buscan retirar por completo el anillo acotado. Hasta que el hard fork correspondiente se active en la red principal, el anillo de 16 miembros descrito en esta guía sigue siendo exactamente cómo funcionan las transacciones en vivo, de modo que nada de lo relacionado con adquirir o conservar XMR hoy cambia.
Para tener una idea práctica de la escala: un conjunto de anonimato del tamaño de toda la cadena hace que las heurísticas de selección de señuelos, las distribuciones gamma y el largo debate sobre el tamaño de anillo "correcto" pierdan sentido por completo. La pregunta "¿cuál de los 16 es el real?" pasa a ser "¿cuál de los más de cien millones es el real?", una pregunta sin respuesta útil para ningún analista.
Privacidad, regulación y la importancia de la fungibilidad
Vale la pena situar todo esto en su contexto regulatorio, porque en el mundo hispanohablante la confusión entre "privacidad" y "ilegalidad" sigue siendo común. La privacidad financiera no es un concepto al margen de la ley: la propia Agencia Tributaria en España y el SAT en México parten del supuesto de que las personas declaran sus operaciones, no de que cada movimiento tenga que ser público para terceros. Que un XMR no arrastre un historial rastreable no te exime de tus obligaciones fiscales; simplemente impide que un desconocido reconstruya tu vida financiera a partir de la cadena.
Aquí es donde la fungibilidad importa de verdad. En una cadena transparente, una moneda puede quedar "manchada" por haber pasado por una dirección señalada, y exchanges supervisados por organismos como la CNMV o la CNBV podrían rechazar o congelar fondos por su historial. Con Monero eso no ocurre: como ninguna salida lleva una etiqueta de procedencia, cada XMR vale lo mismo que cualquier otro. La firma de anillo no es un truco para esconderse de las autoridades; es lo que evita que el dinero digital reproduzca una lista negra silenciosa que castiga a quien recibió una moneda sin tener forma de conocer su pasado.
Preguntas frecuentes
¿Se puede rastrear una firma de anillo de Monero hasta el emisor real?
No a partir de la firma en sí. La firma demuestra que uno de los 16 miembros del anillo es el gastador verdadero sin marcar cuál, y la imagen de clave no puede vincularse con tu identidad. Los intentos de desanonimización suelen apoyarse en metadatos externos —filtraciones de IP, registros KYC de exchanges o heurísticas pobres de épocas con pocos señuelos— y no en romper la criptografía. Usar una vía de adquisición sin KYC y un nodo bien mantenido cierra la mayoría de esos canales laterales.
¿Cuál es el tamaño de anillo actual de Monero?
Dieciséis. Cada transacción incluye tu salida real más 15 señuelos, y este tamaño ha sido fijo y obligatorio para todos los usuarios desde el hard fork de agosto de 2022. Un tamaño de anillo uniforme es, en sí mismo, una medida de privacidad, porque los tamaños variables permitirían identificar transacciones por su estructura.
¿En qué se diferencia una firma de anillo de RingCT?
Protegen cosas distintas. La firma de anillo oculta quién está gastando, mientras que RingCT (Ring Confidential Transactions) oculta cuánto se gasta. Operan juntas en cada transacción, junto a las direcciones sigilosas que ocultan al receptor. Las tres capas son necesarias para una privacidad completa.
¿Por qué no puedo gastar una salida de Monero directamente, sin señuelos?
En términos de protocolo, técnicamente podrías, pero al hacerlo revelarías públicamente qué salida estás gastando y la vincularías con tu transacción anterior, destruyendo la privacidad tuya y la de cualquiera cuya salida hubiera usado antes la tuya como señuelo. Por eso Monero impone el anillo a nivel de consenso: no existe forma de enviar una transacción de Monero "transparente".
¿FCMP++ hará que mi XMR actual sea más privado de forma automática?
Sí, una vez que se active. Como en Monero la privacidad es una propiedad del protocolo y no de las monedas individuales, una futura actualización a pruebas de pertenencia a la cadena completa extendería el conjunto de anonimato más grande a los gastos hechos después del fork, sin que el poseedor tenga que hacer nada. Las monedas que tienes hoy no están "marcadas": simplemente se gastan según las reglas vigentes en el momento de la transacción.
Conclusión
Las firmas de anillo son la razón por la que un emisor de Monero puede demostrar que tiene derecho a gastar sin revelar qué salida está gastando: una única firma CLSAG sobre un anillo de 16, anclada por una imagen de clave que bloquea el doble gasto sin desenmascarar a nadie. Junto a las direcciones sigilosas y RingCT, convierten la privacidad en lo predeterminado en lugar de una función que eliges activar, y ese valor por defecto es lo que le da a XMR su fungibilidad. Con FCMP++ en el horizonte, el conjunto de anonimato está a punto de crecer de un anillo fijo a la cadena entera.
Entender el mecanismo es el primer paso; el segundo es adquirir XMR sin renunciar a la privacidad sobre la que acabas de aprender. MoneroSwapper te permite comprar Monero de forma anónima sin cuenta y sin registros, de modo que tus monedas llegan ya protegidas por cada capa descrita aquí: en el instante en que aterrizan en tu monedero, el anillo se cierra a su alrededor.
🌍 Leer en