Direcciones ocultas de Monero explicadas

Abre cualquier explorador de bloques de Monero e intenta encontrar la dirección a la que acabas de pagar. No la vas a encontrar. Recorre miles de transacciones y jamás verás escrita en la cadena la dirección pública de un destinatario: ni una sola vez, nunca. Ese único hecho es lo que separa a Monero de Bitcoin, donde cada pago queda como un vínculo permanente y consultable entre quien envía y quien recibe. El mecanismo detrás de esta desaparición es la dirección oculta (stealth address), y funciona en silencio en absolutamente todas las transacciones, incluidas las que pasan por MoneroSwapper cuando conviertes otra moneda en XMR.

Una dirección oculta no es esa larga cadena que empieza por "4" y que copias y pegas para recibir fondos. Esa cadena pública se comparte sin problema: puedes publicarla en una web, imprimirla en una tarjeta de presentación o entregársela a mil clientes. Lo que termina en la blockchain es algo completamente distinto: una clave de destino de un solo uso, recién generada por quien envía, ligada matemáticamente a ti pero ilegible para cualquier otro. Este artículo desglosa exactamente cómo funciona, por qué es la piedra angular del modelo de privacidad de Monero y cómo se combina con los otros dos pilares —las firmas de anillo y RingCT— para lograr una verdadera fungibilidad.

Por qué la privacidad del receptor es el problema difícil

La mayoría supone que lo preocupante de una blockchain transparente es el monto. No lo es. La fuga más grave es el grafo de direcciones: esa telaraña de quién-pagó-a-quién que las empresas de análisis de cadena reconstruyen para desanonimizar usuarios, agrupar carteras y marcar monedas como "contaminadas". En Bitcoin, reutilizar una sola dirección convierte todo tu historial financiero en una hoja de cálculo pública.

Monero resuelve tres problemas de visibilidad distintos con tres herramientas distintas, y conviene no confundirlas:

• Ocultar al receptor: la dirección oculta garantiza que dos pagos dirigidos a ti nunca compartan un destino en la cadena, de modo que un observador no puede vincularlos entre sí.
• Ocultar al emisor: las firmas de anillo (y desde 2020, el algoritmo CLSAG) mezclan tu entrada real con señuelos, así que no queda claro qué moneda se gastó realmente.
• Ocultar el monto: RingCT, asegurado por pruebas de rango, cifra los valores de la transacción y aun así permite que la red verifique que no se creó dinero de la nada.

Las direcciones ocultas atacan el primer problema, y lo hacen de forma gratuita para quien recibe: no tienes que generar manualmente una dirección nueva para cada pago, como se les recomienda hacer a los usuarios de Bitcoin más cuidadosos con su privacidad. El protocolo lo hace solo, miles de millones de veces, sin más coordinación entre emisor y receptor que la única dirección pública que ya compartiste.

Cómo funciona realmente una dirección oculta

El truco se construye sobre el intercambio de claves Diffie-Hellman de curva elíptica sobre la curva ed25519, la misma familia de curvas que se usa en las firmas digitales modernas. Al esquema de Monero a veces se le llama Protocolo de Dirección Oculta de Doble Clave, porque tu dirección pública codifica dos claves, no una.

Tus dos pares de claves

Cuando creas una cartera de Monero a partir de una semilla mnemónica, la cartera deriva dos pares de claves:

• Claves de gasto (b, B): la clave privada de gasto b autoriza el gasto; su contraparte pública B es la mitad de tu dirección.
• Claves de visualización (a, A): la clave privada de visualización a te permite detectar fondos entrantes; su contraparte pública A es la otra mitad de tu dirección.

Tu dirección pública, esa cadena de 95 caracteres, es básicamente B y A empaquetadas junto a un byte de red y una suma de verificación. Y aquí está lo importante: la clave de visualización puede compartirse con un auditor o un contador, que entonces podrá ver tus pagos entrantes sin poder gastar ni un solo piconero. La clave de gasto es la que proteges con tu vida.

Qué calcula quien envía

Cuando alguien te paga, su cartera hace lo siguiente, de forma automática y en una fracción de segundo:

1. Genera un escalar secreto aleatorio r, solo para esta transacción.
2. Publica dentro de la transacción la clave pública de transacción correspondiente R = r·G (G es el punto base de la curva).
3. Calcula un secreto compartido usando tu clave pública de visualización: H(r·A), donde H es un hash basado en Keccak.
4. Deriva la clave de destino de un solo uso P = H(r·A)·G + B y escribe P como la dirección de la salida en la cadena.

Esa clave P es la dirección oculta. Es única para esta transacción. Si pagas dos veces a la misma persona obtienes dos salidas que parecen no tener nada que ver, porque r es distinto cada vez. Ningún observador externo puede conectar P con tu dirección publicada, porque hacerlo requeriría tu clave privada de visualización o romper el problema del logaritmo discreto.

Quien envía escribe en la blockchain una dirección totalmente nueva por cada pago, y quien recibe nunca tuvo que pedirla. Ese es el genio silencioso de la dirección oculta.

Cómo encuentras tu propio dinero

Aquí viene la parte que sorprende a los recién llegados: si tu dirección real nunca aparece en la cadena, ¿cómo sabe tu cartera que llegó un pago? Escaneando. Tu cartera toma la R publicada en cada transacción y calcula H(a·R)·G + B usando tu clave privada de visualización a. Por la matemática de Diffie-Hellman, a·R = a·r·G = r·a·G = r·A, así que esto reproduce exactamente la misma P que creó quien envió. Si el resultado coincide con una salida de la transacción, esa salida es tuya.

Por eso una cartera de Monero sincronizada tiene que revisar cada transacción de la cadena: no puede preguntarle a un servidor "¿cuál es mi saldo?" sin revelar qué salidas le interesan. El costo de ese escaneo es el precio de la privacidad del receptor, y es la razón por la que las carteras de solo visualización y herramientas como el oficial monero-wallet-cli dedican tiempo a "refrescar".

Para gastar de verdad una salida recibida, tu cartera calcula la clave privada de un solo uso x = H(a·R) + b, que requiere la clave privada de gasto b. Esta clave de un solo uso también produce una imagen de clave única: un valor que permite a la red detectar dobles gastos sin revelar qué salida se está gastando.

Direcciones ocultas frente a otros enfoques de privacidad

Vale la pena ver dónde queda el enfoque automático y a nivel de protocolo de Monero junto a las alternativas a las que se recurre en las cadenas transparentes.

La diferencia clave es que la privacidad de Monero no es una función que eliges activar: es el comportamiento por defecto del 100 % de las transacciones de la red. Esa universalidad es lo que produce fungibilidad: como ninguna moneda puede distinguirse de otra ni rastrearse hasta un origen "sucio", cada XMR es intercambiable por cualquier otro XMR. Un mezclador solo oculta a la gente que lo usa; una privacidad por defecto oculta a todos, que es lo que vuelve significativo al conjunto de anonimato.

Esto importa porque ese rastro es exactamente lo que alimenta a los exchanges y a los reguladores. Las empresas de análisis de cadena venden listas de monedas "marcadas" a las casas de cambio, y organismos como la CNMV en España, la CNBV en México o la Agencia Tributaria al revisar declaraciones se apoyan en esa trazabilidad. Cuando ninguna moneda lleva historial, esa palanca simplemente desaparece.

Dónde encajan las subdirecciones

En 2018, Monero añadió la función de subdirección (subaddress) sobre la maquinaria de las direcciones ocultas. Una subdirección te permite generar una cantidad prácticamente ilimitada de direcciones de recepción (una por cliente, por factura, por caso de uso) que desembocan todas en una misma cartera, sin la fuga de privacidad de los antiguos esquemas de "ID de pago". Cada subdirección sigue resolviéndose en salidas de un solo uso no vinculables en la cadena: las subdirecciones son una comodidad organizativa para ti, una capa por encima de la criptografía que oculta las cosas frente a todos los demás.

Cómo encajan las direcciones ocultas en el panorama general de Monero

Las direcciones ocultas son una de las patas de un banco de tres patas. Quita cualquier pata y la privacidad se viene abajo. Oculta al receptor pero filtra al emisor, y los analistas recorren el grafo hacia atrás. Oculta a ambas partes pero filtra los montos, y los valores característicos se vuelven huellas dactilares. Esta defensa en profundidad de Monero es la razón por la que sigue en pie mientras los servicios de mezcla independientes fueron cerrados o comprometidos una y otra vez a lo largo de 2024 y 2025.

La tecnología tampoco está congelada. La largamente esperada actualización CLSAG reemplazó a las antiguas firmas de anillo MLSAG para reducir el tamaño de las transacciones y el tiempo de verificación, y Bulletproofs, seguido de Bulletproofs+, recortó drásticamente el tamaño de las pruebas de rango que protegen los montos. De cara al futuro, el esfuerzo de las Full-Chain Membership Proofs (FCMP++) pretende sustituir por completo las firmas de anillo por un conjunto de pruebas que abarque toda la cadena, llevando el conjunto de anonimato del emisor de 16 señuelos a, en la práctica, cada salida que se haya creado jamás. En paralelo, los esquemas de direccionamiento de nueva generación Seraphis y Jamtis están diseñados para modernizar el funcionamiento de las direcciones ocultas y las claves de visualización, incluyendo niveles de clave de visualización más flexibles y un mejor rendimiento de escaneo de la cartera.

Ninguno de estos puntos de la hoja de ruta elimina las direcciones ocultas; refinan y amplían la misma idea central. El principio establecido allá por el whitepaper de CryptoNote de 2014 —que el destino de un pago debería ser una clave de un solo uso que nadie salvo quien recibe pueda reconocer— sigue siendo el cimiento.

Un recorrido práctico: recibir un intercambio

Imagina que conviertes algo de Litecoin a Monero a través de MoneroSwapper y pegas tu dirección XMR habitual en la orden. Esto es lo que ocurre tras bambalinas:

1. Compartes tu dirección pública: una sola cadena, reutilizable con seguridad tantas veces como quieras.
2. La cartera que envía genera una r aleatoria nueva, calcula tu clave de salida de un solo uso P y difunde la transacción al mempool.
3. La transacción se confirma con P registrada en la cadena. Para cualquiera que observe, es una salida anónima entre muchas, sin vínculo contigo.
4. Tu cartera, al escanear los nuevos bloques, recalcula P con tu clave privada de visualización, reconoce la salida y acredita tu saldo.

En ningún momento tu dirección real tocó la blockchain. Si recibes un segundo intercambio a la misma dirección la semana que viene, las dos salidas no comparten ninguna conexión visible. Esta es la realidad cotidiana de usar Monero: la privacidad es invisible, automática y no te exige nada más allá de mantener a salvo tu frase semilla.

Preguntas frecuentes

¿Mi dirección de Monero es lo mismo que una dirección oculta?

No. La dirección que copias y compartes (la cadena de 95 caracteres que empieza por "4") es tu dirección pública. La dirección oculta es la clave de un solo uso que quien envía deriva a partir de ella y escribe en la blockchain. Tu dirección pública en sí nunca aparece en la cadena; solo lo hacen las salidas de un solo uso no vinculables.

¿Puedo reutilizar con seguridad mi dirección de Monero?

Sí. A diferencia de Bitcoin, reutilizar tu dirección de Monero no filtra nada, porque cada pago entrante aterriza en una dirección oculta distinta que los observadores no pueden conectar ni con tu dirección publicada ni entre sí. Muchos usuarios prefieren igualmente las subdirecciones para organizar los fondos entrantes, pero es una comodidad, no un requisito de privacidad.

Si las direcciones están ocultas, ¿cómo ve mi cartera los fondos entrantes?

Tu cartera usa tu clave privada de visualización para escanear cada transacción y comprobar si cada salida iba dirigida a ti. Por eso las carteras necesitan "sincronizar" o "refrescar": no hay ningún servidor que pueda decirte tu saldo sin que tú reveles qué salidas te importan. La clave de visualización te permite detectar fondos; la clave de gasto, separada, es la que hace falta para moverlos de verdad.

¿Compartir mi clave de visualización permite que alguien me robe las monedas?

No. La clave privada de visualización solo concede la capacidad de ver las transacciones entrantes, útil para un auditor, un contador o para reportar impuestos ante la Agencia Tributaria. Gastar requiere la clave privada de gasto, que quien tiene la clave de visualización no posee. Mantén en secreto tu frase semilla mnemónica completa, ya que puede regenerar ambas claves.

¿FCMP++ o Seraphis eliminarán las direcciones ocultas?

No. Esas actualizaciones apuntan a los sistemas de privacidad del emisor y de pruebas, y a la capa de direccionamiento, respectivamente. El concepto central de claves de destino de un solo uso y no vinculables se mantiene. Seraphis y Jamtis buscan refinar las claves de visualización y el rendimiento del escaneo, no exponer las direcciones de quien recibe.

Conclusión

Las direcciones ocultas son la razón por la que una dirección de Monero puede ser pública y privada al mismo tiempo: difundes una sola cadena al mundo y, aun así, cada pago hacia ella se convierte en una salida aislada e irreconocible en la cadena. Combinadas con las firmas de anillo que ocultan al emisor y RingCT que oculta el monto, le dan a Monero un modelo de privacidad obligatorio, automático y aplicado de forma uniforme a cada transacción: las condiciones que hacen posible una verdadera fungibilidad.

Si quieres esa protección desde el momento en que llegan tus monedas, adquirir XMR mediante un intercambio sin registros y sin cuenta importa tanto como la propia criptografía. Puedes comprar Monero de forma anónima o convertir un saldo existente a través de MoneroSwapper, y la maquinaria de las direcciones ocultas hará discretamente el resto: generando un destino de un solo uso que ningún explorador de bloques, exchange o analista podrá rastrear jamás hasta ti.