Las firmas CLSAG de Monero explicadas
Las firmas CLSAG de Monero explicadas
El 17 de octubre de 2020, en el bloque 2.210.720, Monero cambió en silencio el motor criptográfico que hay detrás de cada una de sus transacciones. El hard fork "Oxygen Orion" jubiló la antigua firma de anillo MLSAG y la sustituyó por CLSAG, y el resultado fue inmediato: transacciones aproximadamente un 25 % más pequeñas y una verificación entre un 10 % y un 20 % más rápida, de la noche a la mañana. Si alguna vez enviaste XMR, o moviste Bitcoin hacia Monero a través de un servicio como MoneroSwapper, tu transacción quedó protegida por una firma CLSAG sin que te dieras cuenta.
La mayoría de la gente trata la privacidad de Monero como una caja negra: entran monedas y salen monedas imposibles de rastrear. Pero la magia que oculta quién envió qué tiene un nombre y una estructura. CLSAG es la pieza que te permite demostrar "soy dueño de una de estas salidas y la estoy gastando exactamente una vez", sin revelar cuál de ellas es la tuya. En este artículo desglosamos qué es CLSAG, cómo funciona, por qué reemplazó a su predecesor y dónde encaja en la hoja de ruta de Monero, ahora que pruebas más nuevas como FCMP++ se acercan a la red.
Qué significa realmente CLSAG
CLSAG es un acrónimo, y cada letra describe una propiedad real del esquema. Es la abreviatura de Concise Linkable Spontaneous Anonymous Group (firmas de grupo concisas, vinculables, espontáneas y anónimas). El diseño surgió de un artículo de investigación de 2019 firmado por Brandon Goodell, Sarang Noether y un colaborador conocido como RandomRun, y fue revisado por pares y auditado antes de llegar a la red principal.
- Concisa (Concise): la firma es compacta. Una CLSAG produce muchos menos escalares por miembro del anillo que el esquema al que sustituyó, y ahí es precisamente donde está el ahorro de tamaño.
- Vinculable (Linkable): si una misma salida se gasta dos veces, la red puede detectarlo. Esto se logra mediante una imagen de clave (key image), una huella determinista que impide el doble gasto sin exponer a quien gasta.
- Espontánea (Spontaneous): no hay ceremonia de configuración ni cooperación entre las personas cuyas salidas aparecen en tu anillo. Puedes incorporar señuelos de la cadena de bloques sin su conocimiento ni su consentimiento.
- Anónima (Anonymous): un verificador puede confirmar que la firma es válida, pero no puede saber cuál de los miembros del anillo la autorizó realmente.
- Grupal (Group): la firma se hace en nombre de un grupo —el anillo— y no de una única clave identificable.
Junta esas propiedades y obtienes el núcleo de la privacidad del emisor en Monero: una firma válida que demuestra la autorización por parte de alguien dentro de un conjunto de candidatos plausibles, manteniendo oculto al firmante real y haciendo imposible el doble gasto.
Cómo funciona CLSAG por dentro
Para entender CLSAG primero hay que entender qué intenta lograr una firma de anillo, y después ver cómo CLSAG consigue que la prueba sea más pequeña. Las transacciones de Monero usan RingCT, que combina dos cosas que deben permanecer privadas a la vez: quién gasta (ambigüedad del emisor) y cuánto (confidencialidad del importe). CLSAG se encarga de la primera mitad. Bulletproofs+ se encarga de la segunda.
El problema de la firma de anillo
Cuando gastas una salida de Monero, tu monedero construye un anillo: tu salida real más una serie de salidas señuelo extraídas de la cadena. Desde la actualización "Fluorine Fermi" de agosto de 2022, el tamaño del anillo está fijado en 16, lo que significa que cada gasto se esconde entre 15 señuelos. Un observador externo ve 16 salidas candidatas y no puede saber cuál se está gastando de verdad.
El reto consiste en firmar de una forma que demuestre "controlo la clave privada de una de estas 16 salidas" sin filtrar cuál. Una firma de anillo hace exactamente eso. El truco está en construir un bucle de desafíos criptográficos que solo se cierra si el firmante conoce una clave privada real, mientras que cada eslabón parece idéntico visto desde fuera.
Imágenes de clave y protección contra el doble gasto
El peligro de tener un emisor oculto es el doble gasto: si nadie puede ver qué salida gastaste, ¿qué te impide gastarla otra vez? La respuesta es la imagen de clave. Cada salida tiene exactamente una imagen de clave válida, calculada como la clave privada multiplicada por un hash-to-point de la clave pública. Está ligada matemáticamente a la salida, pero no revela nada sobre qué miembro del anillo la produjo.
Cada imagen de clave que se ha usado alguna vez queda registrada en la cadena. Cuando llega una nueva transacción, los nodos comprueban si su imagen de clave ya apareció antes. Si es así, la transacción se rechaza por doble gasto. Esto es lo que hace seguro el modelo de emisor oculto de Monero: la propiedad de vinculabilidad, la "L" de CLSAG.
Cómo la agregación reduce el tamaño de la firma
Aquí está el corazón de por qué CLSAG es "concisa". En una transacción RingCT, cada miembro del anillo está asociado a dos claves públicas: la clave de salida de un solo uso (que prueba la propiedad) y un compromiso de importe (que prueba que los valores de entrada y salida se equilibran). El esquema anterior, MLSAG, firmaba sobre ambas claves por separado, produciendo dos escalares de respuesta por cada miembro del anillo.
CLSAG colapsa eso en un único anillo. Usa coeficientes de agregación —derivados de forma determinista al aplicar un hash sobre el anillo y sus compromisos— para plegar las dos claves en una sola ecuación de verificación combinada. El resultado es un escalar de respuesta por miembro del anillo en lugar de dos, más un único desafío inicial y la imagen de clave.
Para un anillo de 11, MLSAG necesitaba unos 22 escalares de respuesta por entrada; CLSAG necesita aproximadamente 12. Ese único cambio es lo que recortó alrededor de una cuarta parte una transacción típica de dos entradas.
Y lo más importante: la prueba de seguridad demuestra que esta agregación no debilita nada. CLSAG sigue siendo infalsificable y anónima bajo los mismos supuestos que antes, incluso frente a un adversario que pueda elegir algunas de las claves del anillo. Obtienes una firma más pequeña y más rápida sin sacrificar privacidad ni seguridad: una de esas victorias limpias que rara vez se ven en criptografía.
CLSAG frente a MLSAG: qué cambió
MLSAG (firmas de grupo multicapa, vinculables, espontáneas y anónimas) impulsó RingCT desde su lanzamiento en enero de 2017 hasta el fork de 2020. CLSAG es un reemplazo directo, plug-and-play, que mantiene el mismo modelo de confianza mientras recorta la grasa. La siguiente tabla resume las diferencias prácticas.
| Propiedad | MLSAG (2017–2020) | CLSAG (2020–actualidad) |
|---|---|---|
| Escalares por miembro del anillo | 2 (uno por capa de clave) | 1 (agregado) |
| Tamaño típico de firma (tx de 2 entradas) | Referencia | ~25 % más pequeña |
| Velocidad de verificación | Referencia | ~10–20 % más rápida |
| Garantía de privacidad | Ambigüedad del emisor + vinculabilidad | Idéntica |
| Seguridad frente a claves adversariales | Demostrada | Demostrada (reauditada formalmente) |
| Activación | Lanzamiento de RingCT, ene. 2017 | Fork Oxygen Orion, oct. 2020 |
Las firmas más pequeñas importan por algo más que la estética. Un peso de transacción menor significa comisiones más bajas, menos hinchazón de la cadena de bloques y tiempos de sincronización más rápidos para los nodos. Como toda transacción de Monero tiene la misma estructura, esos ahorros se acumulan en toda la red y mejoran la fungibilidad: ninguna transacción destaca como más barata o más cara según su historial.
Cómo encaja CLSAG en una transacción de Monero
CLSAG nunca trabaja sola. Es un componente de una transacción RingCT, junto a las direcciones sigilosas (stealth addresses), los compromisos de importe y las pruebas de rango. Este es el ciclo de vida simplificado de un gasto, desde el momento en que tu monedero decide enviar hasta el momento en que un nodo lo acepta.
- Seleccionar señuelos: el monedero elige 15 salidas señuelo de la cadena usando una distribución gamma que imita los patrones reales de gasto, y luego añade tu salida real para formar un anillo de 16.
- Construir compromisos: los importes de entrada y salida se ocultan tras compromisos de Pedersen, y se genera un compromiso de pseudosalida para que el verificador pueda confirmar que las entradas igualan a las salidas sin ver los valores.
- Calcular la imagen de clave: el monedero deriva la imagen de clave de la salida que se está gastando, que la red comprobará más tarde contra su conjunto de imágenes de clave ya gastadas.
- Firmar con CLSAG: el monedero produce una única firma de anillo agregada sobre el anillo de claves de un solo uso y claves de compromiso, cerrando el bucle criptográfico solo porque posee una clave privada real.
- Adjuntar pruebas de rango: Bulletproofs+ demuestra que el importe de cada salida está dentro de un rango válido, de modo que nadie pueda crear monedas de la nada con una salida negativa.
- Difundir y verificar: la transacción se propaga mediante Dandelion++ para ofuscar su IP de origen, y los nodos verifican la firma CLSAG, los compromisos, las pruebas de rango y la unicidad de la imagen de clave antes de retransmitirla.
Consejo: nunca configuras nada de esto. El tamaño del anillo, la selección de señuelos y el esquema de firma están todos impuestos por el consenso, así que dos monederos en la misma versión de la red producen transacciones indistinguibles entre sí.
Un ejemplo del mundo real
Imagina que cambias 0,5 BTC por XMR a través de MoneroSwapper y más tarde envías parte de ese Monero a un monedero de hardware. En el momento en que pulsas "enviar", tu monedero ensambla un anillo de 16 salidas. Tu salida genuina está ahí dentro, pero también hay 15 salidas sin relación, de otros usuarios que nunca aceptaron participar y que nunca sabrán que lo hicieron.
La firma CLSAG que genera tu monedero le demuestra a cada nodo del planeta que controlas legítimamente una de esas 16, sin decir cuál. Una casa de cambio que observa la cadena, una firma de análisis de blockchain o un curioso cualquiera ven una transacción válida con 16 orígenes igualmente plausibles. No existe ninguna heurística que identifique de forma fiable la verdadera, que es precisamente el objetivo.
Compáralo con una cadena transparente como Bitcoin, donde la entrada exacta que se está gastando es pública. En Bitcoin, esos 0,5 BTC arrastran un historial permanente y rastreable. En Monero, CLSAG corta el vínculo en cada salto, y por eso los usuarios que valoran su privacidad enrutan valor a través de Monero en primer lugar.
Privacidad, regulación y el contexto hispanohablante
Una pregunta razonable para cualquier lector en España o Latinoamérica es: si Monero oculta tanto, ¿en qué situación legal me deja? Conviene separar dos cosas. La tecnología CLSAG protege la privacidad de tus transacciones a nivel de protocolo; no te exime de tus obligaciones fiscales. En España, la Agencia Tributaria sigue considerando las criptomonedas como bienes sujetos a tributación por ganancias patrimoniales, y existen obligaciones de declaración como el modelo 721 para activos en el extranjero. En México, el SAT aplica un criterio similar sobre las ganancias derivadas de criptoactivos.
En el plano regulatorio europeo, el reglamento MiCA ha endurecido los requisitos para los proveedores de servicios de criptoactivos, y varias plataformas vigiladas por la CNMV han optado por retirar las monedas de privacidad de su catálogo para evitar fricciones con las normas AML y KYC. Esto no afecta al protocolo de Monero en sí —que es descentralizado y sigue funcionando con CLSAG sin importar lo que haga ninguna casa de cambio—, pero sí cambia la forma en que muchos usuarios hispanohablantes adquieren XMR: cada vez más a través de servicios de intercambio directo sin cuenta en lugar de exchanges centralizados.
La lección práctica es sencilla: la privacidad criptográfica y el cumplimiento fiscal no son lo mismo ni se excluyen. CLSAG te da control sobre quién puede reconstruir tu historial financiero; lo que declares ante el BCE, Banxico o tu autoridad tributaria local sigue siendo responsabilidad tuya.
El camino por delante: FCMP++ y Seraphis
CLSAG es excelente, pero tiene un techo estructural: el conjunto de anonimato está limitado por el tamaño del anillo. Con 16 miembros, tu gasto real se esconde entre 15 señuelos; es robusto, pero finito. La comunidad de investigación de Monero lleva años construyendo algo más grande.
FCMP++ (pruebas de pertenencia de cadena completa, por sus siglas en inglés) es el sucesor previsto. En lugar de esconderte entre 16 salidas, FCMP++ demuestra la pertenencia frente a todas las salidas que han existido alguna vez en la cadena: un conjunto de anonimato de decenas de millones en lugar de 16. El desarrollo y la auditoría avanzaron de forma sostenida a lo largo de 2025, con la actualización apuntada a un futuro hard fork. Cuando llegue, las firmas de anillo tal como las conocemos, incluida CLSAG, serán retiradas.
Junto a FCMP++ están el protocolo de transacciones Seraphis y el esquema de direcciones Jamtis, que en conjunto modernizan cómo se forman y se direccionan las salidas de Monero. La conclusión no es que CLSAG esté obsoleta —asegura la red ahora mismo y lo hará durante un buen tiempo—, sino que Monero nunca deja de mejorar sus garantías de privacidad. CLSAG fue, ella misma, sucesora de MLSAG, y el ciclo continúa.
Preguntas frecuentes
¿Qué significa CLSAG?
CLSAG significa Concise Linkable Spontaneous Anonymous Group, es decir, firmas de grupo concisas, vinculables, espontáneas y anónimas. Cada palabra describe una propiedad: la firma es compacta, los dobles gastos son detectables, no se requiere coordinación entre los miembros del anillo, el firmante real permanece oculto y la prueba se hace en nombre de un grupo y no de una única clave identificable.
¿Cuándo empezó Monero a usar CLSAG?
CLSAG se activó en la red principal de Monero durante el hard fork "Oxygen Orion" el 17 de octubre de 2020, en el bloque 2.210.720. Reemplazó a MLSAG, que había asegurado las transacciones RingCT desde enero de 2017.
¿Cuánto redujo CLSAG el tamaño de las transacciones de Monero?
Una transacción típica de dos entradas se redujo en aproximadamente un 25 %, y la verificación pasó a ser entre un 10 % y un 20 % más rápida. El ahorro proviene de agregar dos escalares de respuesta por miembro del anillo a uno solo, lo que reduce tanto los datos almacenados en la cadena como el trabajo que hacen los nodos para verificarla.
¿CLSAG debilita la privacidad o la seguridad de Monero?
No. CLSAG ofrece la misma ambigüedad del emisor y la misma protección contra el doble gasto que MLSAG. Su seguridad se demostró formalmente y se auditó de manera independiente, incluida la resistencia a ataques en los que un adversario controla algunas de las claves del anillo. Es, estrictamente, una versión más eficiente de las mismas garantías.
¿Se reemplazará CLSAG?
Con el tiempo, sí. La actualización FCMP++ (pruebas de pertenencia de cadena completa) está diseñada para reemplazar las firmas de anillo por completo, ampliando el conjunto de anonimato de 16 miembros del anillo a toda la cadena de bloques. Estuvo en desarrollo y auditoría activos durante 2025, con la mira puesta en un futuro hard fork, pero CLSAG asegura la red hasta entonces.
Conclusión
CLSAG es una de esas mejoras que demuestran que una buena criptografía puede ser, a la vez, invisible y trascendente. Hizo que cada transacción de Monero fuera más pequeña, más barata y más rápida de verificar, preservando al mismo tiempo la privacidad del emisor y la protección contra el doble gasto que definen a la moneda, y todo ello sin que los usuarios tuvieran que mover un dedo. Entenderla desmitifica lo que realmente significa "imposible de rastrear": no es magia, sino una firma de anillo cuidadosamente construida con una imagen de clave acoplada.
Si quieres poner esa privacidad a trabajar, el camino más sencillo es adquirir Monero sin entregar tu identidad desde el principio. Puedes comprar Monero de forma anónima a través de MoneroSwapper sin cuenta y sin KYC, y cada salida que recibas estará defendida por las mismas firmas CLSAG descritas aquí en el momento en que la gastes.
🌍 Leer en