Bitcoin Core, el cliente de software que utilizan la mayoría de los nodos de la red Bitcoin, ha reconocido un fallo de privacidad que puede exponer la dirección IP de los usuarios que activan su función de transmisión privada. La vulnerabilidad afecta a la versión 31.0, lanzada en abril de 2026, y los desarrolladores ya trabajan en una solución que llegará con la actualización 31.1.
El error se localiza en la opción bautizada como ‘private broadcast’, una herramienta que envía las transacciones a través de la red Tor —una capa de anonimato que oculta la procedencia del tráfico— para impedir que el destinatario sepa desde qué dirección IP se ha originado el pago. Sin embargo, el aviso oficial de los desarrolladores, difundido el 6 de junio, confirma que esta promesa puede romperse.
El problema surge cuando el software intenta establecer una conexión cifrada con otro ordenador de la red. Si ese primer intento fracasa, vuelve a intentarlo de forma silenciosa, pero esta vez sin utilizar Tor. En ese reintento, el destinatario recibe la dirección IP real del remitente, junto con su ubicación aproximada. Para un atacante, provocar esta situación es sencillo: basta con que un nodo malicioso rechace a propósito el protocolo cifrado para forzar la conexión normal que revela la IP.
El riesgo no es menor. La blockchain de Bitcoin es un registro público y permanente: si alguien logra vincular una transacción concreta con una dirección IP, puede identificar a la persona que hay detrás del monedero. «Es como si un mensajero que promete entregar un sobre sin remite, al primer contratiempo, volviera a la oficina y lo reenviara con su matasellos habitual», ilustra esta redacción.
La promesa de privacidad se desvanece con un simple reintento: cualquier nodo hostil puede ver la IP real y asociarla a una transacción.
Según los desarrolladores el hallazgo se debe al investigador Eugene Siegel, y la buena noticia es que solo afecta a quienes tienen activada la función de transmisión privada en la versión 31.0. Las transacciones normales de cartera, que constituyen la inmensa mayoría del tráfico, no están comprometidas.
Quién está en riesgo y qué hacer mientras llega el parche
Los usuarios que hayan actualizado a Bitcoin Core 31.0 y que hayan decidido activar manualmente la opción private broadcast son los únicos expuestos. El resto de los nodos, ya utilicen versiones anteriores o posteriores a la 31.0, no corren peligro. Tampoco las aplicaciones de monedero que no implementen esta función experimental.
Mientras los desarrolladores preparan la versión 31.1, que corregirá definitivamente el fallo, la recomendación oficial es doble: desactivar la función de transmisión privada o, si se desea seguir protegiendo las transacciones, enrutar todo el tráfico del nodo a través de Tor. En la práctica, esto último implica configurar el cliente para que utilice únicamente la red de anonimato, sin permitir conexiones directas.
El aviso completo y las instrucciones técnicas se encuentran en la página oficial de Bitcoin Core. Allí se irá publicando el progreso hacia la versión 31.1, cuyo lanzamiento se espera en las próximas semanas.
La privacidad en Bitcoin, una herida que no termina de cerrar
Este incidente vuelve a poner sobre la mesa una cuestión que persigue a Bitcoin desde sus orígenes: la red es seudónima, pero no completamente anónima. Aunque se han integrado mejoras como Taproot o las transacciones confidenciales en la Lightning Network, la capa base sigue siendo vulnerable a este tipo de fugas de metadatos. Y un error en el cliente de referencia, el que marca el estándar del 98 % de los nodos, tiene un eco enorme.
El hecho de que el mercado apenas se haya inmutado —el bitcoin cotiza cerca de los 63.700 dólares, algo más de 58.000 euros al cambio actual— puede resultar engañoso. La criptomoneda ya ha demostrado en otras ocasiones que las noticias sobre fallos de seguridad tardan en calar en el ánimo de los inversores, pero suelen dejar una huella en la confianza a medio plazo. No hay que olvidar que, hace apenas unos meses, una polémica relacionada con las políticas de retransmisión de transacciones ya había encendido el debate sobre quién mantiene realmente Bitcoin Core y bajo qué criterios.
Que un investigador independiente haya tenido que descubrir un fallo tan básico como un reintento sin anonimato sugiere que los procesos de auditoría de la nueva funcionalidad no fueron lo exhaustivos que deberían. En cualquier sistema que aspire a proteger la privacidad financiera, la robustez no se mide solo por las buenas intenciones, sino por la resistencia a los ataques más elementales. La versión 31.1 promete cerrar esta grieta, pero el episodio deja la incómoda sensación de que la privacidad en Bitcoin sigue siendo un castillo con demasiadas puertas abiertas.
