¿Bisq es seguro? Análisis honesto de seguridad para 2026

En abril de 2022, un atacante explotó un fallo en uno de los protocolos de intercambio de Bisq y se llevó alrededor de 250.000 USD entre BTC y XMR antes de que la red congelara las operaciones. Bisq sobrevivió, parcheó el bug y siguió funcionando sin demasiado ruido. Cuatro años después, la misma pregunta no deja de aparecer en foros de privacidad, en r/Bisq y en hilos de Hacker News en español: ¿Bisq sigue siendo aquella opción segura y resistente a la censura que prometía ser, o el ecosistema ya pasó página? Este análisis recorre los riesgos reales — diseño del protocolo, custodia, la nueva arquitectura de Bisq 2, privacidad en las rampas de entrada y cómo se compara Bisq con servicios de swap instantáneo como MoneroSwapper para quien solo quiere una conversión privada de BTC a XMR.

La respuesta corta tiene matices. Bisq es técnicamente uno de los exchanges con menos confianza requerida que siguen operando, pero «seguro» depende de qué amenaza te preocupa. ¿Perder fondos por un hackeo? ¿Que un comprador filtre tu identidad? ¿Que tu banco marque la cuenta? Cada una tiene una respuesta distinta, y la mayoría de las reseñas en español las mezclan sin distinguir. Vamos a separarlas como corresponde.

Qué es realmente Bisq en 2026

Bisq es una red de intercambio peer-to-peer construida sobre Tor, con dos versiones que conviven. Bisq v1 (la original) utiliza un escrow multifirma 2 de 2 sobre Bitcoin más una fianza de seguridad para mantener honestas a ambas partes durante una operación fiat-cripto. Bisq 2 — lanzado en versión estable en 2024 y ya recomendado por defecto para usuarios nuevos — introduce varios «protocolos de intercambio», entre ellos Bisq Easy (sin escrow, basado en reputación, pensado para principiantes con cantidades pequeñas) y Bisq MuSig (un protocolo multifirma refinado para operaciones grandes). Ambas versiones son de código abierto, ambas enrutan cada conexión por servicios ocultos de Tor y ninguna exige verificación de identidad dentro de la propia plataforma.

• Sin operador central: no existe una empresa Bisq que custodie tus fondos. La red es una federación de pares que ejecutan el cliente de escritorio.
• Tor por defecto: cada oferta, mensaje y salto de operación viaja por enrutamiento cebolla; no hay fallback a clearnet.
• Modelo de fianza: en v1 y MuSig, tanto el creador como el receptor bloquean colateral, de modo que abandonar la operación cuesta dinero.
• Arbitraje humano: las disputas pasan por mediadores elegidos y, si hace falta, árbitros — no por un motor automático de AML.
• BTC en el centro: Bisq sigue siendo principalmente un sitio para Bitcoin. Monero está soportado como activo intercambiable en ambos lados, pero la coordinación del cierre todavía depende de confirmaciones en la cadena de Bitcoin.

Esa arquitectura responde a la primera pregunta de seguridad: ¿puede la plataforma escaparse con tu dinero? No. No hay nada con qué escaparse, porque no hay plataforma en el sentido custodial. Solo eso ya coloca a Bisq en una categoría muy distinta de KuCoin, Binance o cualquier exchange centralizado «sin KYC».

El historial real de seguridad

La historia de Bisq sirve como prueba de estrés útil porque, a diferencia de la mayoría de los DEX, ha sido atacado en producción de verdad y ha sobrevivido.

El exploit de protocolo de abril de 2022

El incidente de 2022 sigue siendo el episodio que marca su historial. Un atacante descubrió que la dirección utilizada como respaldo en operaciones disputadas podía sustituirse silenciosamente y, en un solo fin de semana, vació unos 3 BTC y 4.000 XMR antes de que la red se pausara. La DAO de Bisq (el órgano de gobernanza on-chain que paga a los colaboradores en tokens BSQ) votó compensar a los usuarios afectados con los ingresos futuros por comisiones. En cuestión de semanas el protocolo se parcheó y las operaciones en v1 se reanudaron. No se robaron claves, no se filtró la identidad de nadie — pero varias personas perdieron los fondos que tenían en operaciones activas.

La lección que conviene interiorizar: un escrow multifirma que depende de una transacción de respaldo correctamente codificada es tan seguro como el código que valida esa transacción. La respuesta de Bisq — post-mortem público, plan de compensación votado por la DAO y parche abierto — es como debería reaccionar un sistema de mínima confianza. Compáralo con el silencio que suele seguir a los exploits de los exchanges centralizados.

Riesgos rutinarios desde 2022

Desde el parche de 2022 los incidentes de portada han cesado, pero hay problemas menores que siguen modelando la seguridad del usuario:

• Retrocesos bancarios: SEPA Instant ha reducido el riesgo para operaciones europeas, pero el SEPA legacy, las transferencias inmediatas con ventana de devolución y cualquier método con plazo de reversa siguen siendo un vector real. Quien recibe el fiat puede verlo retirado días después.
• Denuncias del comprador: un comprador malicioso puede declarar la transferencia SEPA como «fraude» a su banco, dejando la cuenta del vendedor marcada aunque el arbitraje de Bisq le dé la razón.
• Caídas de Tor: Bisq depende por completo de la red Tor. Problemas sostenidos en Tor — como la congestión de los servicios v3 en 2023 — se traducen en operaciones atascadas a mitad de flujo.
• Clientes desactualizados: quien corre versiones varios minor por detrás se pierde parches de seguridad y se arriesga a ver ofertas obsoletas.

Si una operación en Bisq sale mal, el peor escenario rara vez es «desaparece tu cripto»: lo habitual es que «tu extracto bancario tenga ahora una serie de transferencias raras». Planifica primero el lado fiat.

Privacidad real frente al marketing de privacidad

A Bisq se le suele describir como «totalmente privado», lo cual es una exageración. La propia plataforma nunca ve tu identidad real, pero el ciclo de vida de la operación expone información a tu contraparte y, de forma indirecta, a tu banco.

En Bisq, tú y la persona del otro lado intercambiáis lo que exija el método de pago elegido. Para SEPA eso significa nombre completo e IBAN. Para Bizum, un número de móvil. Para Revolut, el tag. El cliente de Bisq nunca transmite esto a ningún servidor, pero la contraparte sí lo ve — y esa contraparte podría ser un investigador, una empresa de análisis de cadena o, simplemente, alguien que guarda registros. En una operación de BTC, la huella en cadena también es visible para el mundo a través de la dirección multifirma del depósito, que varios proveedores forenses ya etiquetan como relacionada con Bisq.

Para operaciones con Monero la historia de privacidad mejora mucho. En cuanto el XMR llega a tu wallet, las firmas en anillo, las direcciones stealth y RingCT borran el rastro. Pero el lado BTC de un swap BTC-a-XMR en Bisq sigue siendo tan identificable como cualquier otra transacción de Bitcoin. Quien busca una salida realmente privada suele combinar Bisq con un wallet que permita «churning» o, cada vez más, mandar el BTC directamente a un servicio de swap que entregue XMR en una dirección recién creada.

Bisq frente a los swaps instantáneos: comparativa práctica

Para la mayoría de quien busca «¿Bisq es seguro?», la pregunta de fondo es si usar Bisq o si un swap instantáneo como MoneroSwapper, FixedFloat o SimpleSwap consigue el mismo resultado con menos fricción. La respuesta honesta depende de qué compromiso puedes asumir.

Propiedad	Bisq (v1 / MuSig)	Bisq Easy	Swap instantáneo (p. ej. MoneroSwapper)
Custodia durante la operación	Multifirma 2 de 2, no custodial	Basada en reputación, el emisor confía en el receptor	El servicio custodia brevemente
Identidad en la plataforma	Ninguna	Ninguna (solo Tor)	Ninguna en los niveles sin KYC
Identidad ante la contraparte	Sí (datos fiat)	Sí (datos fiat)	No (solo ves una dirección de swap)
Tiempo para liquidar BTC→XMR	30 min a varias horas	15-45 min	10-30 minutos habitual
Comisiones	0,1-0,7 % + comisiones de minero	Negociadas	Spread de 0,5-1,5 %, sin comisión fija
Exposición a contracargos	Alta (lado banco)	Alta	Ninguna — cripto a cripto
Límites	Hasta ~1 BTC, más con antigüedad de cuenta	Solo pequeño (típicamente < 0,01 BTC)	Límites por operación más altos sin KYC
Riesgo de seguridad realista	Marcado bancario, bugs de protocolo	Default de la contraparte	Insolvencia o incautación del servicio

Lo que muestra realmente la tabla: Bisq optimiza la ausencia de confianza en la capa de protocolo, pero traslada el riesgo al carril fiat. Los swaps instantáneos absorben el riesgo de la operación a cambio de un pequeño spread, pero reintroducen un momento custodial. Ninguno es «más seguro» en abstracto — son más seguros frente a amenazas distintas. Un usuario centrado en la privacidad que ya tiene BTC y solo quiere XMR tendrá casi siempre una experiencia más fluida y de menor riesgo en un servicio de swap. Quien necesita entrar en la economía cripto con efectivo, SEPA o una cuenta bancaria propia sigue teniendo en Bisq una de las pocas opciones creíbles sin KYC.

Checklist de seguridad antes de operar en Bisq

Si has decidido que Bisq es la herramienta adecuada, la secuencia siguiente resume las precauciones que los traders veteranos repiten una y otra vez en el foro de Bisq y en r/Bisq. No es exhaustiva, pero saltarse cualquiera de estos pasos es donde se concentran las pérdidas evitables.

1. Verifica el binario. Descarga solo desde bisq.network y comprueba la firma PGP contra las claves de los mantenedores. Hay instaladores falsos de Bisq circulando en todos los buscadores grandes.
2. Usa una wallet recién creada. Dedica una wallet específica a Bisq, no tu cold storage de largo plazo. El cliente de Bisq mantiene claves para el colateral de las operaciones; trátalo como una hot wallet.
3. Elige el método de pago con cuidado. SEPA Instant, Bizum y el efectivo en mano tienen menor riesgo de contracargo. Evita por completo métodos tipo PayPal.
4. Opera con makers consolidados. El cliente muestra la antigüedad de la cuenta y el estado de firmado. Filtra ofertas de cuentas con menos de dos meses para cualquier cosa que no sea calderilla.
5. Usa siempre la última versión del cliente. Cada release trae correcciones a nivel de protocolo. Ir más de dos minor versions por detrás es un riesgo serio.
6. Prepara el destino del XMR. Para operaciones BTC→XMR, deja lista la wallet receptora (Feather, Cake o una subdirección de Monero CLI) antes de iniciar la operación. Una errata en la dirección desde la ventana de operación es irrecuperable.
7. Mantén la ventana de operación abierta. Bisq exige que ambos clientes estén en línea para las confirmaciones. Desconectarse a media operación es la causa más habitual de disputas.
8. Documéntalo todo. Captura la referencia SEPA, el ID de la operación y los mensajes por Tor. Si se invoca el arbitraje, es lo primero que piden los mediadores.

Para quien el objetivo real es solo el tramo BTC-a-XMR sin exposición fiat, el mismo checklist se reduce a dos pasos: envía BTC a un swap y recibe XMR en una subdirección de Monero nueva. MoneroSwapper es uno de los servicios que hace este intercambio sin KYC y canaliza el lado entrante por mirrors accesibles desde Tor, lo que mantiene la huella operativa comparable a una operación en Bisq pero sin la exposición del carril bancario.

Caso práctico: una operadora europea, dos rutas

Imagina a una usuaria preocupada por la privacidad, residente en España, que ya tiene 0,3 BTC en frío y quiere convertirlos a XMR para holdear a largo plazo. Las dos rutas realistas en 2026 se ven muy distintas.

Ruta A — Bisq MuSig. Carga una wallet de Bisq desde el cold storage, paga la comisión de la operación en BSQ para abaratar costes, publica una oferta de venta de BTC por EUR vía SEPA Instant y espera. Aparece un taker en unos 90 minutos. Intercambian datos SEPA por Tor, ella recibe los euros, libera el BTC y a continuación abre una segunda operación ofreciendo EUR por XMR. Tiempo total transcurrido: alrededor de seis horas, repartido en dos sesiones. Gasto en comisiones: aproximadamente 0,4 %. Resultado en privacidad: las contrapartes han visto su nombre completo y su IBAN; su banco tiene ahora dos transferencias entrantes y salientes inusuales en 48 horas. El XMR en sí es privado, pero el rastro fiat que lo rodea no lo es.

Ruta B — Swap instantáneo. Envía los 0,3 BTC desde un UTXO ya mezclado con CoinJoin a una dirección de swap en MoneroSwapper, indica una subdirección de Monero recién creada como destino y recibe el XMR en unos 20 minutos. Sin participación fiat, sin mensajes con contraparte, sin registro bancario. Gasto en comisiones: lo que cueste la minería de Bitcoin más un spread del 0,8 %. Resultado en privacidad: el lado BTC arrastra lo que arrastrara el UTXO de origen; el lado XMR es privado desde el momento en que llega. Ni una huella fiat.

La Ruta A es «más segura» frente a la amenaza de que desaparezca un custodio tercero. La Ruta B lo es frente al cierre de cuenta bancaria o frente a una empresa de análisis de cadena que asocie tu actividad con tu identidad real. La mayoría de los usuarios — cuando piensa bien contra qué quiere protegerse — elige la Ruta B para el tramo BTC-a-XMR y reserva Bisq para el problema más difícil: meter o sacar fiat sin pasar por KYC.

Bisq 2 y la cuestión de la reputación

Bisq 2 introduce algo que v1 nunca tuvo: una capa explícita de reputación. Bisq Easy, el protocolo de entrada, no tiene escrow. En su lugar, las cuentas takers acumulan «BSQ quemado» (el token de gobernanza de Bisq) o credenciales de cuenta firmadas, y las ofertas de cuentas con poca reputación se ocultan directamente con el filtro por defecto. Es una decisión deliberada — Bisq Easy está pensado para operaciones pequeñas en las que el coste operativo del multifirma no compensa.

El sistema de reputación es interesante desde la óptica de la seguridad porque cambia quién carga el riesgo. En v1, el protocolo carga el riesgo vía colateral. En Bisq Easy, el taker carga riesgo reputacional si incumple. Para operaciones por debajo de 100 euros funciona razonablemente. Para cantidades mayores no sustituye todavía al escrow MuSig, y el propio equipo de Bisq ha sido explícito al respecto.

Específicamente para Monero, el protocolo MuSig de Bisq 2 con XMR como activo intercambiado todavía está madurando. Los atomic swaps entre BTC y XMR usando firmas adaptadoras (el diseño de COMIT / unstoppable.swap) empiezan a aparecer en builds experimentales de Bisq, pero aún no son lo predeterminado. Cabe esperar que sea el mayor cambio en la historia de seguridad de Bisq en los próximos 18 meses.

Preguntas frecuentes

¿Bisq ha perdido fondos de usuarios alguna vez?

Sí, una vez a escala importante. El exploit de protocolo de abril de 2022 hizo que los traders activos perdieran unos 3 BTC y 4.000 XMR. La DAO de Bisq votó reembolsar a los afectados con futuros ingresos por comisiones, y el protocolo se parcheó en pocos días. Ningún incidente posterior ha provocado pérdidas comparables, pero conviene conocer el caso antes de hacer operaciones grandes.

¿Tengo que pasar KYC en Bisq?

No. Bisq como tal nunca pide identidad. Ahora bien, tu contraparte verá lo que expone el método de pago que elijas — para SEPA, tu nombre completo e IBAN; para Bizum, tu número; para efectivo por correo, tu dirección postal. Tu banco también ve el lado fiat y puede aplicar sus propios disparadores AML. «Sin KYC en Bisq» es cierto; «totalmente anónimo» no.

¿Bisq sigue activo en 2026?

Sí. Bisq v1 está en modo mantenimiento pero sigue procesando operaciones. Bisq 2 es la rama de desarrollo activa, con Bisq Easy como puerta de entrada recomendada y MuSig como protocolo recomendado para cantidades mayores. El volumen es pequeño comparado con los exchanges centralizados, pero constante, y el cliente de escritorio recibe releases con regularidad.

¿Cuál es el método de pago más seguro en Bisq?

El efectivo en mano no tiene riesgo de contracargo ni reporte bancario, aunque sí riesgos operativos obvios. Entre las opciones electrónicas, SEPA Instant se considera de las más seguras porque la liquidación es definitiva en segundos. Los métodos con ventanas largas de reversa — PayPal, transferencias entre particulares en Revolut bajo ciertas condiciones, ACH — son de mayor riesgo y muchos vendedores experimentados los rechazan directamente.

¿Bisq o un swap instantáneo para comprar Monero?

Si ya tienes BTC u otra moneda soportada y tu objetivo es Monero privado, un swap instantáneo suele ser más rápido, más barato para cantidades pequeñas y elimina la exposición al carril fiat. MoneroSwapper y servicios similares accesibles por Tor cierran conversiones BTC-a-XMR en menos de 30 minutos sin verificación de identidad ni intervención bancaria. Reserva Bisq para el caso más difícil de mover fiat y cripto sin KYC, donde sus herramientas siguen siendo genuinamente difíciles de sustituir.

¿Pueden las fuerzas del orden citar a Bisq?

No hay una entidad central a la que citar en el sentido tradicional. La DAO de Bisq es una federación de colaboradores pagados en BSQ. Sin embargo, los mediadores y árbitros individuales son personas reales en jurisdicciones conocidas y conservan evidencias de las operaciones (cifradas) durante la ventana estándar de disputa. Pueden recibir requerimientos por la vía legal, pero no custodian los fondos de la operación y los datos que ven se limitan a lo que las contrapartes compartieron entre sí.

Conclusión

Bisq es seguro en el sentido que más importa: no custodia tus fondos, no sabe quién eres y sus fallos a nivel de protocolo han sido escasos, públicos y recuperables. No es seguro en el sentido coloquial de «nada puede salir mal». Los carriles bancarios del lado fiat, el manejo de los datos de pago por parte de la contraparte y el cuidado operativo necesario para correr el cliente recaen de lleno sobre el usuario. Para 2026, Bisq sigue siendo la herramienta adecuada para operaciones fiat-cripto que necesitan esquivar el KYC, y una opción menos convincente para swaps puramente cripto-cripto, donde plataformas instantáneas como MoneroSwapper entregan el mismo resultado privado con menos fricción y sin exposición bancaria. Elige primero la amenaza contra la que de verdad te defiendes y luego elige el sitio. Lo más difícil de la privacidad en autocustodia es ser honesto contigo mismo sobre qué riesgos te toca cargar a ti.