Bitcoin Core divulgó el 6 de junio de 2026 un error de privacidad en la versión 31.0 de su software de nodo, que puede causar que la dirección IP del equipo desde el que se envía una transacción quede expuesta al nodo receptor. Según el aviso oficial, el fallo se origina en una función diseñada precisamente para proteger esa información.
El proyecto señala que el error ocurre cuando el nodo intenta establecer una conexión cifrada con un par en internet convencional (IPv4 o IPv6) y esa conexión falla. En ese caso, el software reintenta la conexión de forma no cifrada y sin enrutar el tráfico a través de Tor, lo que expone la IP real del emisor. La organización advierte que un actor malicioso puede provocar deliberadamente ese fallo para forzar el reintento sin protección.
Publicidad
Bitcoin Core es el equipo de desarrolladores que mantiene el software de referencia para operar nodos en la red Bitcoin. Su repositorio concentra el mayor historial de auditorías de seguridad en el ecosistema y sus avisos de vulnerabilidad son seguidos de cerca por operadores de nodos, exchanges y custodios institucionales.
El fallo contradice una garantía publicada en las notas de la versión 31.0, donde el proyecto afirmaba que la dirección IP del emisor «nunca sería conocida por los receptores» al usar la función privatebroadcast. Según el aviso, las conexiones a través de redes como Tor onion e I2P no se ven afectadas, ya que permanecen protegidas incluso cuando se produce el reintento de conexión.
Condiciones de afectación de Bitcoin Core 31.0
El proyecto precisa que el error solo se activa cuando concurren todas las siguientes condiciones en un mismo nodo:
- Bitcoin Core 31.0 en ejecución con privatebroadcast habilitado.
- Transacciones enviadas mediante el comando sendrawtransaction.
- Tor disponible para conexiones salientes.
- Conexiones directas a internet convencional activas, sin restricciones de red adicionales.
- Protocolo de transporte cifrado BIP324 habilitado (configuración por defecto).
El proyecto aclara que las funciones de billetera estándar —como sendtoaddress o sendall— no utilizan privatebroadcast y no están afectadas.
Corrección de error y medidas provisionales
Bitcoin Core indica que la corrección se distribuirá con la versión 31.1. Mientras tanto, la organización recomienda a los usuarios afectados aplicar una de tres medidas: desactivar la función con privatebroadcast=0; deshabilitar el protocolo cifrado BIP324 con v2transport=0, lo que implica que todas las conexiones del nodo operarán sin cifrado; o redirigir todo el tráfico de internet convencional saliente a través de Tor, solución que según el proyecto incrementa la exposición a ataques Sybil.
El descubrimiento del error es atribuido a Eugene Siegel, según consta en el aviso oficial de Bitcoin Core.
Hasta que la versión 31.1 esté disponible, el proyecto sostiene que ningún usuario de privatebroadcast puede asumir que su dirección IP permanece privada frente al nodo que recibe la transacción.
El error expone una contradicción entre lo prometido en la versión 31.0 y el comportamiento real del software bajo condiciones adversas de red. Bitcoin Core reconoce el fallo, lo atribuye a una interacción no prevista entre el protocolo cifrado BIP324 y el mecanismo de reintento de conexión, y trabaja en una corrección. Mientras tanto, la privacidad de los operadores de nodo que confían en privatebroadcast depende de medidas provisionales que, según el propio proyecto, introducen nuevas limitaciones de seguridad.
