MoneroSwapper MoneroSwapper

Direcciones sigilosas Monero: qué son y cómo funcionan

MoneroSwapper · · · 18 min read · 8 views

Direcciones sigilosas de Monero: qué son y cómo funcionan en la práctica

Si pegas tu dirección de monedero Monero en un explorador de bloques, no verás ninguna de tus transacciones entrantes. No es un fallo, ni un índice mal sincronizado, ni un problema del explorador: es matemáticamente imposible. El explorador no puede asociar tu dirección pública con las salidas que te pertenecen, por mucho que lo intente. Detrás de este comportamiento contraintuitivo se esconde una de las piezas de criptografía aplicada más elegantes de toda la industria de las criptomonedas: la dirección sigilosa (stealth address). En 2026, cuando firmas de vigilancia de cadena como Chainalysis y TRM Labs admiten públicamente que siguen sin poder rastrear de forma consistente a los receptores de Monero, las direcciones sigilosas continúan siendo el caballo de batalla silencioso que protege a todo usuario de XMR, desde un comprador minorista que utiliza MoneroSwapper hasta una periodista que recibe donaciones de lectores anónimos en Argentina, México o España. Este artículo desmenuza con detalle qué son las direcciones sigilosas, cómo se derivan matemáticamente, por qué cada transacción genera una salida única e irrepetible, y qué protegen — y qué no protegen — en la práctica.

Por qué la privacidad del receptor es el problema más difícil de las criptomonedas

Bitcoin resolvió el problema del consenso descentralizado, pero dejó la privacidad del receptor prácticamente intacta. Cuando Alicia envía 0,1 BTC a Bob, el mundo entero ve que la dirección de Bob aumenta su saldo en 0,1 BTC. Si Bob reutiliza esa dirección, todos los pagos pasados y futuros quedan vinculados entre sí. Heurísticas como la propiedad común de entradas y la agrupación de direcciones han convertido a Bitcoin en uno de los sistemas financieros más vigilables jamás construidos. Un estudio publicado en 2025 por el IMDEA Networks Institute de Madrid demostró que más del 71 % de los monederos de Bitcoin más utilizados pueden desanonimizarse únicamente con datos públicos de la cadena, sin necesidad de ninguna filtración de KYC.

Monero adopta exactamente la postura contraria: cada salida tiene que ser indistinguible respecto a la dirección pública que la recibió. Tres pilares hacen cumplir esta promesa:

  • Las direcciones sigilosas ocultan al receptor: ningún observador externo puede saber a qué dirección pública pertenece una salida.
  • Las firmas en anillo y CLSAG ocultan al emisor: el verdadero gastador queda enterrado entre 15 señuelos.
  • RingCT y Bulletproofs+ ocultan la cantidad: solo emisor y receptor saben cuánto se movió.

Las direcciones sigilosas son la pata del trípode que protege al receptor. Sin ellas, las firmas en anillo por sí solas seguirían filtrando el destino y la garantía de privacidad se desmoronaría por completo. Son también la razón por la que tu dirección pública de Monero puede publicarse sin miedo en una página web, imprimirse en una tarjeta de visita o compartirse con miles de donantes: no importa cuántos pagos lleguen a ella, cada uno crea una salida fresca, matemáticamente desvinculada, en la cadena de bloques.

Las matemáticas: cómo se genera una dirección sigilosa

Una dirección pública de Monero no es un hash, como en Bitcoin. Es la concatenación de dos claves públicas de curva elíptica sobre Ed25519: una clave pública de gasto (B mayúscula) y una clave pública de visión (A mayúscula). Las claves privadas correspondientes son b y a minúsculas. Cuando alguien quiere enviarte XMR, su monedero no coloca tu dirección en la transacción — eso anularía el propósito de todo el sistema. En lugar de eso, realiza el siguiente cálculo.

Paso 1: el emisor genera una clave de transacción aleatoria

El monedero emisor escoge un escalar aleatorio fresco r para cada transacción. A partir de él, deriva la clave pública de transacción R = r·G, donde G es el punto base de Ed25519. R se publica en claro en el campo extra de la transacción, pero por sí sola no revela absolutamente nada sobre el destinatario.

Paso 2: el emisor calcula un secreto compartido

Usando tu clave pública de visión A, extraída de tu dirección, el emisor calcula el secreto compartido r·A. Esto es un intercambio Diffie-Hellman clásico sobre la curva. Gracias a la simetría de la operación, tú — y solo tú — puedes recomputar el mismo valor como a·R utilizando tu clave privada de visión. Nadie más en la red puede hacerlo, porque nadie más posee a.

Paso 3: el emisor deriva una clave de salida de un solo uso

La clave pública de un solo uso P que realmente aparece en la cadena se calcula como:

P = Hs(r·A || i)·G + B

Aquí Hs es un hash escalar basado en Keccak, i es el índice de la salida dentro de la transacción (de modo que las transacciones con múltiples destinatarios siguen produciendo claves únicas) y B es tu clave pública de gasto. La salida P es lo que queda registrado en la cadena como destino. A simple vista parece una clave perfectamente corriente de 32 bytes, indistinguible de cualquier otra salida de cualquier otra transacción. Lo crucial es que P es un punto nuevo sobre la curva, nunca antes visto: aunque el mismo emisor pague mil veces al mismo destinatario, cada salida será distinta.

Paso 4: el receptor escanea y detecta la propiedad

Tu monedero descarga cada bloque y, para cada salida, calcula Hs(a·R || i)·G + B y comprueba si el resultado coincide con la P registrada en la cadena. Si coincide, la salida es tuya. Esta es la razón por la que la sincronización de Monero puede sentirse lenta en dispositivos móviles: el monedero debe contrastar cada salida reciente contra tu clave de visión. También es la razón por la que la clave de visión basta, por sí sola, para detectar transacciones entrantes sin conceder ningún poder de gasto — puede calcular el secreto compartido pero no puede derivar la clave privada de un solo uso necesaria para gastar.

Para gastar la salida hace falta combinar la clave privada de gasto b con el mismo hash y producir la clave privada de un solo uso x = Hs(a·R || i) + b, que corresponde a P. Sin b, ninguna cantidad de datos de clave de visión permite mover los fondos. Esta separación limpia es lo que permite, por ejemplo, conceder acceso de solo lectura a un gestor, una asesoría fiscal o un programa de contabilidad sin riesgo alguno de gasto no autorizado.

Direcciones sigilosas, subdirecciones y direcciones integradas

Monero incluye en realidad tres construcciones relacionadas en el lado del receptor. A menudo se confunden, incluso entre usuarios experimentados, así que conviene compararlas lado a lado.

ConstrucciónQué esCuándo usarlaCompromiso de privacidad
Dirección sigilosa (salida de un solo uso) Se autogenera por cada transacción; no puede reutilizarse En cada transacción — invisible para el usuario Ninguno: es el cimiento de toda la privacidad
Subdirección Hija determinista de tu dirección principal; permite que un único monedero gestione muchas etiquetas de recepción independientes Facturación por cliente, seguimiento de donaciones, depósitos en casas de cambio Cada subdirección es indistinguible de las demás y de la principal frente a observadores externos
Dirección integrada Dirección principal más un identificador de pago cifrado de 64 bits Construcción antigua — la mayoría de los servicios la sustituyeron por subdirecciones entre 2018 y 2019 El identificador va cifrado en la cadena pero añade metadatos; desaconsejada para integraciones nuevas
Clave de visión Clave privada que puede escanear pero no gastar Auditorías, declaraciones fiscales, monederos de solo lectura Concede visibilidad total de los ingresos: compártela con extremo cuidado

El punto importante: la generación de la dirección sigilosa ocurre a nivel de protocolo, automáticamente, para cada salida, da igual que el destino fuera una dirección principal, una subdirección o una dirección integrada. Nunca escribes una dirección sigilosa a mano porque nunca llegas a verla: el monedero la deriva a partir de la dirección que el emisor pegó en su aplicación.

Paso a paso: un pago real desde el emisor al receptor

Imagina que estás comprando alojamiento web respetuoso con la privacidad a un proveedor que acepta XMR. Esto es exactamente lo que ocurre entre el momento en que pulsas «enviar» y el momento en que el comerciante ve su saldo actualizado.

  1. Pegas en tu monedero la dirección principal o subdirección del comerciante (esa cadena larga que empieza por 4 u 8) e introduces el importe.
  2. Tu monedero genera una clave privada de transacción aleatoria r y calcula R = r·G. R es la clave pública de transacción que viajará junto al envío.
  3. Para cada salida destinada al destinatario, el monedero deriva la dirección sigilosa de un solo uso P = Hs(r·A || i)·G + B usando las claves públicas de visión y de gasto del destinatario. La salida de cambio que vuelve a ti misma se genera de idéntica manera con tus propias claves.
  4. El monedero selecciona 15 salidas señuelo de la misma clase de denominación a partir de bloques previos y construye una firma en anillo CLSAG en la que cualquiera de los 16 candidatos podría ser el gastador real.
  5. Los importes se cifran con el secreto compartido Diffie-Hellman y los range proofs de Bulletproofs+ demuestran que todos los importes son positivos sin revelarlos.
  6. La transacción se difunde a través de Dandelion++ para ocultar su IP de origen frente a observadores de red.
  7. Una vez minada, el monedero del comerciante escanea el bloque, calcula el secreto compartido a·R para el valor R de cada transacción, comprueba si alguna de las P derivadas coincide con salidas presentes en esa transacción y abona el saldo de forma silenciosa.

El ciclo completo lleva unos 20 segundos de cómputo más los 2 minutos de tiempo medio entre bloques. Desde fuera, la transacción es idéntica a cualquier otra transacción de Monero en la cadena: misma clase de tamaño, mismo tamaño de anillo, misma estructura de pruebas. No hay forma de que un tercero — un exchange, un proveedor de internet, una empresa de análisis de blockchain — examine la cadena y determine que el comerciante recibió fondos, y mucho menos cuánto.

El comerciante puede publicar la misma dirección Monero en cada página de su web durante diez años sin comprometer jamás su privacidad: cada pago aterriza en una salida fresca de un solo uso, no vinculable, que la cadena no asocia con la dirección pública.

Lo que las direcciones sigilosas no protegen

La privacidad criptográfica es necesaria, pero no es suficiente. Las direcciones sigilosas protegen la vinculabilidad en la cadena, pero no pueden protegerte frente a errores humanos ni frente a filtraciones fuera de banda. Conocer los límites es parte de usar la herramienta correctamente.

  • KYC en la entrada: si compras XMR en una casa de cambio centralizada que te exigió verificación de identidad, esa casa conoce el valor R de tu retirada. No pueden ver dónde acabaron las monedas después, pero parten de un punto de origen muy sólido. Recurrir a un servicio de intercambio sin KYC como MoneroSwapper evita plantar esa raíz desde el principio.
  • Reutilización de la dirección fuera de la cadena: las direcciones sigilosas evitan la vinculación en cadena, pero si publicas la misma dirección principal en Twitter, en tu perfil de GitHub y en un foro hispano, cualquiera puede correlacionar tus identidades en el mundo real aunque no pueda correlacionar tus transacciones.
  • Fuga de la clave de visión: si compartes una clave de visión para una auditoría y el equipo del auditor acaba siendo comprometido, todas las transacciones entrantes pasadas y futuras de ese monedero quedan a la vista del atacante. Usa un monedero dedicado para cualquier auditoría con clave de visión.
  • Inferencias por tiempo e importe: una entidad de vigilancia que controle simultáneamente una casa de cambio y un comercio no puede vincular la salida en cadena, pero puede correlacionar la marca temporal y el importe aproximado de una retirada con un pago posterior. Por eso Monero recomienda esperar al menos 10 confirmaciones (unos 20 minutos) antes de tratar fondos como definitivos, y por eso los importes no deberían ser huellas únicas: evita pagar 0,12345678 XMR si la factura del comerciante era de 0,12345678 EUR.
  • Metadatos a nivel de IP: las direcciones sigilosas viven en la capa criptográfica. La privacidad a nivel de red la proporciona Dandelion++, y mejora notablemente si ejecutas tu propio nodo sobre Tor o I2P. Un monedero que por defecto se conecta a un nodo remoto operado por un tercero filtra al operador de ese nodo la asociación entre tu IP y tu monedero.

Ejemplo práctico: recibir donaciones de forma anónima

Pensemos en una periodista independiente que publica en un blog de filtraciones a finales de 2025 desde un país latinoamericano con un entorno político hostil. Quiere aceptar donaciones de lectores sin desenmascarar a sus donantes ni a sí misma. Su flujo de trabajo es el siguiente.

Publica una única dirección principal de Monero en el pie de su web, en su biografía firmada con PGP y al final de cada artículo. A lo largo de seis meses recibe 412 donaciones, que oscilan entre 0,001 y 4,3 XMR. En la cadena, ninguno de esos pagos es vinculable a su dirección publicada. Ninguno es vinculable a los demás. Exploradores como xmrchain.net muestran 412 transacciones hacia 412 salidas de un solo uso distintas, repartidas por miles de bloques, sin agrupación posible.

Cuando quiere convertir una parte a moneda fiduciaria para gastos cotidianos, no envía las monedas a una casa de cambio con KYC — eso crearía un rastro documental que ataría su actividad al monedero y su identidad. En su lugar, utiliza un intercambio sin KYC para convertir XMR en una stablecoin respetuosa con la privacidad o en BTC que después gasta a través de un canal no custodial. De principio a fin, ningún intermediario centralizado guarda un registro de la relación entre su dirección publicada y su identidad real. Este es el modelo de amenaza para el que se diseñaron las direcciones sigilosas, y es el modelo de amenaza que el flujo de intercambio sin cuenta de MoneroSwapper se propone extender, asegurando que los puntos de entrada y salida a Monero no se conviertan ellos mismos en vectores de desanonimización.

El futuro: FCMP++ y qué cambia para las direcciones sigilosas

La derivación de direcciones sigilosas forma parte de Monero desde el documento original de CryptoNote de 2014 y no ha cambiado de forma fundamental en más de una década. Lo que sí está cambiando en 2026 y los años siguientes es la capa de privacidad del lado del emisor. Las pruebas de pertenencia a la cadena completa (Full-Chain Membership Proofs, FCMP++), cuya activación se espera en una bifurcación dura a lo largo de 2026, sustituirán la actual firma en anillo de 16 miembros por una prueba de conocimiento cero que demuestra que la salida gastada es una de todas las salidas elegibles jamás creadas en la cadena — un conjunto de anonimato efectivo de decenas de millones, en lugar de 16.

Para las direcciones sigilosas, la matemática se mantiene intacta. Una salida de un solo uso se sigue derivando como P = Hs(r·A || i)·G + B. El receptor sigue escaneando calculando a·R. Lo que cambia es que cuando el receptor gaste esa salida en el futuro, la prueba de que es suya ya no necesitará apuntar a 15 señuelos concretos. Combinadas con Seraphis y el formato de direcciones Jamtis previsto en la hoja de ruta a más largo plazo, las direcciones sigilosas se vuelven aún más flexibles: Jamtis introduce address tags que permiten a los monederos ligeros escanear con más eficiencia sin debilitar la garantía de indistinguibilidad. Este patrón de investigación matemática que termina convirtiéndose en privacidad desplegada es una de las razones por las que Monero sigue siendo la implementación de referencia para la privacidad del receptor en 2026.

Preguntas frecuentes

¿Puede alguien ver cuánto XMR ha recibido mi dirección?

No. A diferencia de Bitcoin, donde el saldo de cualquier dirección es público, una dirección principal de Monero no tiene saldo alguno en la cadena. Los saldos los calcula el monedero del propietario escaneando salidas que coincidan con la derivación de la dirección sigilosa. Un tercero que solo conozca tu dirección pública no puede saber cuántas transacciones has recibido, ni por qué importe, ni cuándo.

¿Es seguro reutilizar la misma dirección Monero?

Sí, técnicamente. Cada pago a la misma dirección sigue produciendo una dirección sigilosa única en la cadena, así que las transacciones no quedan vinculadas entre sí. Dicho esto, por motivos de contabilidad y privacidad operativa es buena práctica generar una subdirección por cada contraparte: si en algún momento compartes una clave de visión o una contraparte resulta comprometida, la exposición queda limitada a esa subdirección.

¿Cuál es la diferencia entre una clave de visión y una dirección sigilosa?

Una clave de visión es una clave privada que pertenece a tu monedero y permite a su poseedor detectar pagos entrantes recalculando derivaciones de direcciones sigilosas. Una dirección sigilosa es la salida de un solo uso, registrada en la cadena, que la clave de visión te ayuda a localizar. La clave de visión las lee; no las genera.

¿Hacen las direcciones sigilosas que Monero sea resistente a la computación cuántica?

No. Las direcciones sigilosas se apoyan en la suposición del logaritmo discreto sobre la curva Ed25519, que una computadora cuántica suficientemente grande podría romper con el algoritmo de Shor. El laboratorio de investigación de Monero tiene en su hoja de ruta a largo plazo varias propuestas postcuánticas, incluidas sustituciones basadas en celosías para el esquema actual, pero ninguna está desplegada en 2026. Para modelos de amenaza que incluyan adversarios cuánticos creíbles, las direcciones sigilosas por sí solas no son una defensa suficiente.

Si me envío XMR a mí mismo, ¿mi propio monedero genera una dirección sigilosa?

Sí. Cada salida — incluido el cambio que vuelve al emisor — es una dirección sigilosa derivada de tus propias claves de visión y gasto. Por eso tus salidas de cambio tampoco son vinculables con tu dirección principal, y por eso un monedero recién creado que solo ha hecho un autoenvío parece, ante un observador, dos destinatarios independientes en la cadena.

¿Puede un juzgado o una citación forzar a una dirección sigilosa a revelar a su propietario?

Ningún tercero que disponga únicamente de datos en cadena puede mapear una dirección sigilosa de vuelta a una dirección pública sin la clave de visión. Una citación judicial podría obligar al propietario de un monedero (si se conoce) a entregar su clave de visión, pero no puede obligar a la red ni a ningún tercero a realizar la derivación inversa, sencillamente porque matemáticamente no existe tal derivación.

Conclusión

Las direcciones sigilosas son la mitad silenciosa de la privacidad de Monero. Las firmas en anillo y RingCT acaparan los titulares porque protegen al emisor y al importe, pero sin claves de salida únicas por transacción esas defensas serían huecas: el destino seguiría filtrándose y el análisis de cadena seguiría agrupando a los receptores. Lo que CryptoNote acertó a hacer en 2014, y lo que Monero ha llevado adelante a lo largo de diez años de actualizaciones, es entender que la privacidad del receptor es estructural, no opcional: tiene que estar cocinada dentro de cada transacción, automáticamente, sin pedir al usuario que active nada. Esa decisión estructural es la razón por la que publicar una dirección de donaciones en XMR es seguro de un modo en que publicar una dirección de donaciones en BTC sencillamente no lo es.

Si llegas desde Bitcoin y quieres poner esta propiedad a trabajar, el primer paso más limpio es adquirir algo de XMR sin crear un punto de entrada vinculado a tu identidad. MoneroSwapper te permite cambiar BTC, ETH, LTC, USDT y una docena de activos más a Monero sin cuenta, sin KYC y sin almacenar registros que más adelante anulen las propias garantías de privacidad descritas arriba. Una vez que tus monedas aterrizan en tu propio monedero, las direcciones sigilosas se ocupan del resto del trabajo de forma automática: cada pago que recibas será indistinguible de cualquier otro, y la única persona capaz de demostrar la propiedad de cualquiera de ellos serás tú.

🌍 Leer en

English Português Español Русский Deutsch 中文 Italiano Français 한국어 日本語 Tiếng Việt Indonesia ไทย العربية हिन्दी فارسی Melayu עברית Filipino

Comparte este artículo

Artículos Relacionados

XMR a BTC: Swap Instantáneo vs Atomic Swap en 2026

May 30, 2026

Cómo cambiar XMR a BTC desde Cake Wallet: paso a paso

May 30, 2026

OTC XMR a BTC: Guía de Intercambios Grandes 2026

May 30, 2026

Riesgos de privacidad XMR a BTC: qué pierdes en 2026

May 30, 2026

¿Atomic Wallet filtra la privacidad de Monero?

May 30, 2026

¿Es Atomic Wallet seguro para Monero en 2026?

May 30, 2026

Exchange de Monero Anónimo

Sin KYC • Sin Registro • Intercambio Instantáneo

Intercambiar Ahora