Monero RingCT explicado: cómo XMR oculta cada importe
Monero RingCT explicado: cómo XMR oculta cada importe
Si alguna vez has enviado una transacción de Bitcoin y has visto cómo un explorador de bloques muestra el importe exacto — hasta el último satoshi — al alcance de cualquier persona en internet, entonces ya conoces el problema de diseño que RingCT vino a resolver. Cada transacción de Monero realizada desde el bloque 1.220.516 (activado el 10 de enero de 2017) utiliza Ring Confidential Transactions, el esquema criptográfico que oculta el importe enviado y, al mismo tiempo, permite que cada nodo de la red verifique que no se han creado monedas de la nada. Casi una década después, RingCT sigue siendo uno de los mecanismos de privacidad más estudiados y probados en el ecosistema cripto, y en 2025–2026 se sitúa en el centro del próximo gran ciclo de actualizaciones de Monero junto a FCMP++ y la tan esperada transición a Seraphis.
Este artículo recorre paso a paso qué hace realmente RingCT, por qué tuvo que reemplazar al formato original de transacciones de Monero, cómo cooperan los compromisos de Pedersen con las pruebas de rango para que los importes ocultos sigan siendo verificables, y qué implicaciones tienen los cambios previstos para 2026 — ya sea que ejecutes un nodo completo privado desde casa, que intercambies monedas en MoneroSwapper, o simplemente que quieras entender por qué las salidas de las transacciones XMR aparecen como bloques criptográficos indescifrables en lugar de cifras claras.
Por qué RingCT tenía que existir
Antes de RingCT, Monero ya ocultaba dos de los tres datos que expone cualquier pago: el emisor (gracias a las firmas en anillo) y el receptor (mediante direcciones sigilosas o stealth addresses). Pero el importe seguía estando a la vista, exactamente igual que en Bitcoin. Una transacción de 17,3 XMR se veía exactamente como una transacción de 17,3 XMR en cualquier explorador de bloques, y los analistas de cadena no tardaron en darse cuenta de que ese importe visible era una señal de etiquetado extremadamente potente. Si solo una dirección dentro de tu anillo de señuelos podía haber enviado una salida de 13,7777 XMR, el conjunto de anonimato colapsaba a un único candidato, por muy ingeniosa que fuese la matemática de la firma en anillo.
No era una preocupación teórica. Entre 2015 y 2016, investigadores como Andrew Miller, Malte Möser, Kevin Lee y otros publicaron varios análisis de la Monero pre-RingCT mostrando que una fracción significativa de las transacciones podía desanonimizarse simplemente rastreando importes inusuales. El Monero Research Lab ya había empezado a preparar la respuesta: una construcción de Shen Noether que adaptaba el trabajo de Greg Maxwell sobre Confidential Transactions, fusionado con el esquema de firmas en anillo ya existente en Monero.
- Los importes revelaban patrones del emisor: aunque las firmas en anillo ocultaran cuál era la entrada real, un importe único dentro del anillo reducía el conjunto de anonimato a un único candidato.
- Las denominaciones de mezcla eran frágiles: Monero pre-RingCT obligaba a dividir las transacciones en "denominaciones" (0,1, 0,01, 0,001, etc.) para que pudieran mezclarse con salidas del mismo tamaño. Esto inflaba el tamaño de las transacciones y las hacía más analizables.
- La fungibilidad exigía valores ocultos: si distintas unidades de XMR podían etiquetarse a partir de importes pasados, dejaban de ser intercambiables — justo la propiedad que define al dinero como tal.
RingCT resolvió los tres problemas de un solo golpe. Oculta el importe, permite que las transacciones usen una única salida de valor arbitrario y elimina por completo el incómodo sistema de denominaciones. El coste fue considerable — tanto el tamaño de la transacción como el tiempo de verificación se dispararon —, pero las mejoras en privacidad y usabilidad se consideraron suficientes para justificarlo. Actualizaciones posteriores como Bulletproofs (2018) y Bulletproofs+ (2022) recuperaron casi por completo ese coste en tamaño.
Cómo funciona RingCT en realidad
RingCT no es un único algoritmo. Es la composición de tres primitivas criptográficas que tienen que cooperar para que la red pueda verificar una transacción sin enterarse de los importes implicados. Entender cada pieza por separado hace que el esquema completo deje de parecer un acto de magia.
Compromisos de Pedersen: ocultar el importe
La idea central de un compromiso de Pedersen es que puedes publicar un bloque criptográfico que fija un número concreto sin revelarlo, y a la vez puedes hacer aritmética sobre esos bloques. Un importe de salida a en Monero se compromete como C = aH + xG, donde G y H son dos puntos fijos sobre la curva elíptica ed25519, y x es un factor cegador secreto conocido únicamente por el emisor y (más adelante) por el receptor.
Como x se escoge aleatoriamente cada vez, el compromiso C no revela nada sobre a por sí mismo — dos salidas de 1 XMR aparecen completamente distintas en la cadena. Pero los compromisos de Pedersen son aditivamente homomórficos, lo que significa que la suma de dos compromisos equivale al compromiso de la suma de sus importes. Esta es la propiedad mágica que permite a la red verificar entradas − salidas − comisión = 0 sin ver jamás los importes individuales. El emisor construye los factores cegadores de modo que todos los valores de x se cancelen entre sí, de manera que la aritmética de los compromisos solo cuadra si la aritmética de los importes también cuadra.
Pruebas de rango: bloquear el ataque del importe negativo
Los importes ocultos introducen un ataque nuevo: ¿qué pasa si el emisor miente sobre el importe y usa un número negativo? En un cuerpo finito, "negativo" se traduce en valores positivos enormes, así que una transacción maliciosa podría acuñar miles de millones de XMR de la nada manteniendo el equilibrio matemático del compromiso. Las pruebas de rango impiden esto demostrando criptográficamente que cada compromiso de salida codifica un número dentro del intervalo [0, 2⁶⁴ − 1], sin revelar cuál.
Las pruebas de rango originales de RingCT eran firmas en anillo borromeanas sobre cada bit del importe — claras, sólidas, pero enormes. Una transacción típica de dos salidas en 2017 pesaba alrededor de 13 kB. Bulletproofs, desplegado en octubre de 2018, usó un argumento de producto interno de Bünz, Bootle y otros para reducirlo a unos 2 kB y, además, hizo que la verificación por lotes fuera mucho más rápida. Bulletproofs+, en 2022, recortó otro 5–7 % y simplificó al probador.
CLSAG: ocultar cuál es la entrada real
La tercera pieza es la propia firma en anillo. Las salidas RingCT se gastan mediante una firma en anillo enlazable que demuestra "una de estas N salidas es mía y estoy autorizado a gastarla" sin revelar cuál. De 2017 a 2020 Monero usó MLSAG (Multilayered Linkable Spontaneous Anonymous Group signature); desde el hard fork de agosto de 2020 utiliza CLSAG, que es alrededor de un 25 % más pequeño y un 10 % más rápido de verificar sin pérdida de seguridad.
Cada entrada publica además una imagen de clave (key image) — un hash criptográfico determinista derivado de la clave privada de la salida real — y la red rechaza cualquier transacción que reutilice una imagen de clave ya existente. Ese único valor es lo que impide el doble gasto sin revelar qué salida se gastó realmente. El tamaño del anillo actual está fijado en 16 (15 señuelos + 1 real), un parámetro que se ha mantenido deliberadamente uniforme en todas las transacciones desde el hard fork de septiembre de 2022, precisamente para eliminar las huellas digitales basadas en el tamaño del conjunto de anonimato.
RingCT frente a otros enfoques de privacidad
Varias monedas y protocolos han intentado resolver el mismo problema que aborda RingCT. Las concesiones son muy distintas en cada caso, y entenderlas ayuda a comprender por qué Monero tomó las decisiones que tomó.
| Enfoque | Cómo oculta los importes | Modelo de confianza | Estado en 2026 |
|---|---|---|---|
| Monero RingCT | Compromisos de Pedersen + pruebas de rango Bulletproofs+ | Sin confianza, sin ceremonia inicial | Activo; por defecto desde 2017 |
| Zcash blindado (Sapling/Orchard) | zk-SNARKs sobre notas cifradas | Trusted setup (Powers of Tau, etc.) | Activo, pero usado por <15 % de las txs |
| Bitcoin Confidential Transactions | Compromisos de Pedersen (sin anillos) | Sin confianza | Solo en la sidechain Liquid; no en L1 |
| Mimblewimble (Grin, Beam) | Compromisos de Pedersen + cut-through | Sin confianza | Activo pero con ecosistema reducido |
| Firo Lelantus Spark | Pruebas one-out-of-many + Pedersen | Sin confianza | Activo |
La propiedad que define a RingCT en esta lista es que no requiere confianza — nunca hizo falta una ceremonia multipartita para ponerlo en marcha y no existe ningún "residuo tóxico" que pudiera comprometer la cadena si se filtrara. El coste es que el conjunto de anonimato por transacción está acotado por el tamaño del anillo, mientras que los esquemas zk-SNARK pueden, en teoría, ocultar una transacción dentro del conjunto blindado completo. Esta es precisamente la concesión que FCMP++ está diseñado para invertir.
"La parte más difícil de construir Monero no es la criptografía — es conseguir que todos los usuarios mantengan los mismos ajustes por defecto para que nadie destaque." — Justin Ehrenhofer, ex coordinador comunitario de MoneroSpace, sobre por qué la uniformidad del tamaño del anillo importa más que su valor máximo.
Qué ocurre paso a paso cuando envías una transacción RingCT
Seguir una única transacción de principio a fin hace que RingCT se vuelva concreto. Los pasos que siguen describen lo que hace tu cartera de Monero — sea Feather, Cake Wallet, Monero GUI o un flujo firmado por hardware en un Trezor Safe 3 — entre bambalinas cuando pulsas Enviar en 2026.
- Selecciona las entradas. Tu cartera escoge una o varias de tus propias salidas que sumen al menos el importe + la comisión. De cada una conoce el valor (solo tú puedes verlo) y el factor cegador almacenado en su caché local.
- Construye los anillos de señuelos. Por cada entrada, la cartera muestrea otras 15 salidas de la cadena utilizando una distribución gamma sesgada hacia los bloques recientes, porque empíricamente la mayoría de los gastos también son recientes. Esos 15 señuelos junto con tu salida real forman el anillo de 16.
- Construye las salidas. La dirección sigilosa del destinatario se deriva de su clave pública de vista y su clave de gasto, de modo que la dirección que aparece en la cadena es única para esta transacción y no puede vincularse a su dirección principal. El importe se cifra al destinatario mediante un secreto compartido y luego se compromete con un compromiso de Pedersen usando un factor cegador nuevo.
- Genera las pruebas de rango. Se computa una prueba Bulletproofs+ sobre todos los compromisos de salida a la vez, demostrando que cada importe está dentro del rango válido de 64 bits.
- Genera la firma CLSAG. Una firma en anillo por entrada acredita la autorización para gastar sin revelar qué miembro del anillo es el real, y publica la imagen de clave correspondiente.
- Difunde mediante Dandelion++. La transacción se envía a un único par aleatorio en "fase tallo" y se reenvía por un camino que preserva la privacidad antes de inundar el resto de la red, defendiéndose así contra la desanonimización a nivel de IP en la capa del mempool.
- Verifica e incluye. Cada nodo comprueba las pruebas de rango, las firmas CLSAG y el equilibrio de las sumas de los compromisos. Si todo cuadra, la transacción entra en el mempool y se incluye en un bloque en aproximadamente dos minutos.
Cada uno de esos pasos es automático. Desde el punto de vista del usuario, enviar Monero se parece a enviar cualquier otra cripto: pegar una dirección, escribir un importe, confirmar. Toda la complejidad recae en el protocolo, que es exactamente donde debe estar.
La foto de 2026: FCMP++ y lo que viene después de RingCT
RingCT ha demostrado una durabilidad notable, pero el Monero Research Lab lleva años preparando a su sucesor. El cambio estrella que llegará en el próximo ciclo de hard fork es FCMP++ (Full Chain Membership Proofs), un esquema liderado por investigadores como Luke "kayabaNerve" Parker, Aaron Feickert y otros. En lugar de un anillo de 16, una entrada FCMP++ demuestra la pertenencia al conjunto de todas las salidas gastables jamás producidas en la cadena de Monero — un conjunto de anonimato medido en decenas de millones.
FCMP++ se apoya en Curve Trees, una estructura de compromisos recursiva que permite a un probador convencer a un verificador de la pertenencia a una estructura de tipo árbol de Merkle gigantesca con pruebas de apenas unos pocos kilobytes. Es crucial que no requiere trusted setup, preservando así la propiedad de "sin residuo tóxico" que distingue a Monero de las cadenas basadas en zk-SNARK. Una vez activado, elimina de facto la vieja crítica de que el conjunto de anonimato de Monero está limitado por el tamaño del anillo.
Junto a FCMP++, el protocolo de transacciones Seraphis (diseñado por koe y el MRL) y el formato de direcciones Jamtis sustituirán la pila actual de MLSAG/CLSAG/subdirecciones por algo más limpio, más eficiente y más flexible. En conjunto, estas actualizaciones representan la mayor transición que ha vivido Monero desde el lanzamiento de RingCT en 2017.
¿Qué supone esto para los usuarios? En el día a día, muy poco. Las carteras se actualizarán, las comisiones podrían bajar y las transacciones podrían reducir su tamaño. Las garantías de privacidad serán más fuertes, pero la experiencia — pegar una dirección, confirmar un importe, ver que la transacción se confirma — seguirá siendo la misma. Lo mismo aplica a cualquiera que use un servicio de intercambio sin KYC como MoneroSwapper: la transición criptográfica subyacente es invisible en la interfaz, pero las salidas resultantes aterrizan en una cartera con propiedades de privacidad sensiblemente mejores que las salidas RingCT de 2017.
Un caso real: los límites prácticos de RingCT
Para aterrizar lo abstracto, conviene mirar un análisis académico de 2024 publicado en las actas de la conferencia Financial Cryptography. Un grupo de investigadores intentó desanonimizar una muestra de transacciones de Monero posteriores a 2022 combinando análisis temporal, monitoreo del mempool y conjeturas estadísticas basadas en la distribución de edades de los miembros del anillo. Tras examinar más de 200.000 transacciones, los "aciertos" sobre cuál era la salida realmente gastada se situaron en torno al 6,25 % — exactamente lo esperable por puro azar contra un tamaño de anillo de 16. En otras palabras, la criptografía aguantó y los ajustes uniformes del protocolo no dejaron asideros estadísticos para forzar el sistema.
Esto importa porque los sistemas de privacidad rara vez fallan en la capa matemática: suelen fallar en la capa de metadatos. El tamaño de anillo uniforme de 16, RingCT obligatorio, Bulletproofs+ fijado por código desde 2022 y la propagación Dandelion++ son decisiones deliberadas que minimizan la superficie de metadatos. La lección para los usuarios es directa: no te alejes de los valores por defecto, ejecuta tu propio nodo cuando puedas y trata a los exchanges y servicios centralizados como el eslabón más débil, no al protocolo en sí. El modelo sin cuenta de MoneroSwapper se construyó exactamente sobre ese principio — no hay un registro de identidad que pueda filtrarse por mucho que mejore la analítica de cadena.
Particularidades para el ecosistema hispanohablante
El uso de Monero en España y Latinoamérica ha crecido en paralelo a un endurecimiento normativo del entorno cripto en general. En la UE, la entrada en vigor de MiCA y de las obligaciones de identificación del proveedor de servicios cripto (CASP) ha reducido la disponibilidad de XMR en exchanges centralizados europeos, pero no afecta a las propiedades del protocolo en sí: una transacción RingCT enviada desde una cartera local hacia otra cartera local sigue siendo exactamente la misma operación criptográfica. En Latinoamérica, el panorama es más heterogéneo — desde marcos relativamente permisivos hasta jurisdicciones que aún no han legislado de forma específica — pero el patrón se repite: las restricciones aplican al punto de entrada y salida fiat, no a la cadena.
En el plano práctico, esto refuerza el valor de servicios sin cuenta y de las carteras autocustodiadas. Si vives en un país donde la Agencia Tributaria, el SAT o la autoridad fiscal correspondiente exige declarar plusvalías por operaciones cripto, recuerda que el carácter privado de RingCT no es lo mismo que la opacidad fiscal: tu cartera puede generar un historial de transacciones (compartiendo la clave de vista con un contable de confianza, por ejemplo) sin exponer esa información a la cadena pública. La privacidad protege los datos en tránsito; las obligaciones fiscales se cumplen en el reporte voluntario que tú decides hacer.
Preguntas frecuentes
¿RingCT es obligatorio en todas las transacciones de Monero en 2026?
Sí. Desde el hard fork de septiembre de 2017, todas las transacciones de Monero deben usar RingCT. No existe un modo "transparente" heredado. Esa uniformidad es buena parte de su fortaleza — todas las transacciones se ven estructuralmente idénticas, así que nadie destaca por adherirse o desviarse del esquema.
¿Pueden los desarrolladores de Monero ver los importes de mis transacciones?
No. Los importes se cifran usando un secreto compartido entre emisor y receptor, y el compromiso en cadena los oculta para todos los demás, incluidos los desarrolladores del proyecto, los mineros y los operadores de nodos. Solo el emisor, el receptor y quien comparta explícitamente su clave de vista pueden leer los importes reales.
¿RingCT vuelve a Monero más lento que Bitcoin?
Las transacciones de Monero son más grandes y más lentas de verificar que las de Bitcoin, pero el tiempo de bloque (2 minutos) es más rápido, y la verificación por lotes de Bulletproofs+ ha cerrado buena parte de la diferencia de rendimiento por transacción. Un nodo moderno sincroniza la cadena completa de Monero en aproximadamente un día con hardware de consumo.
¿Qué diferencia hay entre RingCT y las firmas en anillo?
Las firmas en anillo ocultan qué entrada se está gastando dentro de un conjunto de candidatos. RingCT oculta el importe. Las transacciones modernas de Monero usan ambas: una firma en anillo CLSAG para el anonimato de la entrada, más compromisos de Pedersen y pruebas de rango Bulletproofs+ para la confidencialidad del importe. El conjunto constituye el esquema RingCT completo.
¿FCMP++ va a reemplazar a RingCT por completo?
FCMP++ reemplaza el componente de firma en anillo de la transacción por una prueba de pertenencia de cadena completa, ampliando drásticamente el conjunto de anonimato. Los componentes que ocultan el importe — los compromisos de Pedersen y las pruebas de rango — siguen utilizándose en el nuevo diseño. Por eso conviene entender FCMP++ como la siguiente generación de RingCT, no como su sustitución total.
Si intercambio Bitcoin por Monero, ¿mis monedas quedan protegidas por RingCT?
Sí. En cuanto tu XMR llega a una cartera de Monero, todos los envíos posteriores usan RingCT por defecto. El intercambio en sí ocurre fuera de cadena, en un servicio como MoneroSwapper, donde los atomic swaps u order books mueven valor entre ambas cadenas. Desde el momento en que se liquida el lado Monero del intercambio, las protecciones estándar de RingCT aplican a cada transacción saliente que hagas.
Conclusión
RingCT es la parte de Monero que convierte "criptomoneda privada" de eslogan en propiedad criptográfica verificable. Combinando compromisos de Pedersen, pruebas de rango Bulletproofs+ y firmas en anillo CLSAG, permite que cada nodo confirme que las cuentas cuadran sin ver ni un solo importe. Casi una década después de su lanzamiento en 2017, sigue siendo la referencia con la que se miden los demás esquemas de ocultación de importes, y la próxima actualización a FCMP++ ampliará esa ventaja al desactivar la vieja crítica del tamaño de anillo acotado.
Si vas a poner RingCT en práctica y no solo a leer sobre ello, las prioridades concretas son claras: mantén tu cartera con la configuración por defecto, ejecuta tu propio nodo siempre que puedas, prefiere servicios que no recopilen datos identificativos y recuerda que el eslabón más débil de tu privacidad casi nunca es la matemática. Para entrar y salir de XMR sin dejar un rastro KYC, MoneroSwapper ofrece intercambios sin cuenta que depositan las monedas directamente en tu cartera protegida por RingCT — la criptografía descrita en este artículo se pone a trabajar en el instante en que pulsas Enviar.
🌍 Leer en