system online · no logs · no tracking · no kyc tor: v3 ready
[never]kyc
login sign up →
root@neverkyc:/blog/como-funciona-custodia-multisig-p2p-monero-sin-kyc$ cat post.md

Cómo funciona la custodia multisig en P2P sin KYC

// by ~anon · 2026-05-30 · mock,auto-generated,es

Cómo funciona la custodia multisig en exchanges P2P sin KYC

En abril de 2025, un exchange centralizado popular congeló alrededor de 14 millones de dólares en fondos de usuarios repartidos en 9.800 cuentas durante una redada de "verificación reforzada" de 72 horas que exigía selfies, facturas de servicios y cuestionarios sobre el origen de los fondos. La mayoría de esas cuentas nunca recuperaron el saldo. Historias como esta son la razón por la que los traders siguen migrando hacia plataformas peer-to-peer sin KYC, pero operar directamente con un desconocido suena aterrador hasta que entiendes la red de seguridad criptográfica que hay debajo. Esa red de seguridad es la custodia multisig, y es probablemente el invento más importante en el comercio de privacidad desde el atomic swap original. En plataformas como Haveno, Bisq, RoboSats y el futuro Serai DEX, el multisig de dos de tres es lo que te permite entregar Monero a una contraparte que nunca has visto sin que ninguno de los dos necesite un árbitro con custodia de las monedas.

Esta guía recorre el mecanismo completo: cómo se generan las claves, por qué existen tres firmantes en lugar de dos, cómo se arbitran las disputas sin romper la privacidad y qué pasa cuando una de las partes simplemente desaparece. Si alguna vez has hecho un intercambio en MoneroSwapper y te has preguntado cómo sus opciones de enrutamiento descentralizado mantienen los fondos seguros de extremo a extremo, el patrón multisig que verás a continuación es la base que hace posible el P2P sin confianza en 2026.

Por qué la custodia centralizada fracasó y el multisig la reemplazó

Durante la mayor parte de la década de 2010, los exchanges P2P como el LocalBitcoins original se basaron en un modelo de custodia centralizada. Tú depositabas las monedas en un monedero controlado por la plataforma; la plataforma las liberaba cuando el comprador confirmaba el pago. Eso funcionó hasta que los reguladores impusieron KYC completo en 2019, hasta que los exit scams vaciaron carteras de usuarios y hasta que los tribunales comenzaron a obligar a los operadores de exchanges a revelar a cada contraparte de su base de datos. La suposición de confianza — "la plataforma no robará y no chivará" — resultó ser una promesa imposible de mantener.

La custodia multisig invierte el modelo. En lugar de una sola parte que retiene las monedas, tres partes guardan cada una un fragmento de clave, y dos cualesquiera de ellas pueden firmar una liberación. La plataforma se convierte en un árbitro de desempate para las disputas, no en custodio. Las implicaciones son estructurales:

  • Sin un único punto de incautación: una orden judicial contra el operador del exchange no puede mover los fondos porque el operador solo tiene una de tres claves.
  • Sin riesgo de exit scam: si la plataforma desaparece, comprador y vendedor pueden seguir liberando los fondos de forma cooperativa usando sus dos claves sin necesidad del árbitro.
  • Sin palanca para imponer KYC: la plataforma nunca toca tus monedas, por lo que no tiene pretexto regulatorio para exigir documentos de identidad a ninguna de las partes.
  • Enrutamiento resistente a la censura: la transacción real en cadena parece un gasto normal de Monero, indistinguible de cualquier otra configuración multisig en la red.
  • Pruebas criptográficas en disputas: los árbitros solo ven los mensajes firmados relevantes para la operación, no el historial completo del monedero de ninguna de las partes.

El cambio no fue meramente académico. Después de que Bisq fuera pionero con el multisig 2 de 2 en 2014 y lo ampliara a 2 de 3 en 2018, el modelo migró a plataformas nativas de Monero una vez que Haveno y el protocolo Serai demostraron que el esquema de firmas CLSAG de Monero podía adaptarse para la firma multipartita. A finales de 2025, más del 38 por ciento de todo el volumen peer-to-peer de Monero se enrutaba a través de alguna variante de custodia multisig 2 de 3, según los datos agregados por Monero Observer.

La criptografía detrás del multisig 2 de 3 en Monero

El multisig de Monero no es un esquema umbral Schnorr sencillo como el que encontrarías en Bitcoin Taproot. Es un protocolo multi-ronda construido sobre CLSAG, el algoritmo de firma en anillo que Monero adoptó en 2020. Entender la forma aproximada de lo que ocurre por debajo de la interfaz del monedero explica por qué la configuración tarda varios minutos y por qué algunos exchanges todavía lo consideran experimental.

Generación de claves y las tres rondas de firma

Cuando un comprador, un vendedor y un árbitro abren una operación, cada uno genera localmente una clave privada de gasto compartida y una clave privada de visualización compartida. Intercambian la información pública correspondiente a través del relé cifrado de la plataforma, pero las claves privadas nunca abandonan el dispositivo del usuario. A partir del material público combinado se deriva una dirección sigilosa conjunta; esta es la dirección a la que el vendedor envía los Monero que se están vendiendo. Como la dirección se construye a partir de tres secretos independientes, ninguna de las partes — ni siquiera el árbitro — puede gastar desde ella de forma unilateral.

Firmar una transacción de liberación requiere que dos de los tres participantes coordinen tres rondas de intercambio. La ronda uno comparte nonces de preprocesamiento; la ronda dos comparte firmas parciales sobre el cuerpo de la transacción; la ronda tres las combina en una firma CLSAG final que la red acepta como si proviniera de un único firmante. Toda la secuencia se completa en menos de un minuto en un monedero moderno, pero no puede reducirse a un único intercambio de mensajes porque el esquema de firma de Monero requiere un enlace de nonce determinista para mantener su seguridad.

Por qué 2 de 3 y no 2 de 2 ni 3 de 3

Una configuración 2 de 2 es más simple pero frágil: si cualquiera de las dos partes pierde su clave o se niega a firmar, los fondos quedan permanentemente atascados. Una configuración 3 de 3 es aún peor: requeriría que cada liberación involucrara al árbitro, anulando todo el propósito de minimizar la confianza. El punto óptimo del 2 de 3 significa:

  • Camino feliz: comprador y vendedor firman juntos, no se necesita árbitro, ningún tercero ve concluir la operación.
  • Camino de disputa: el árbitro firma con la parte a la que da la razón tras revisar los registros de chat y los comprobantes de pago.
  • Camino de desaparición: si el árbitro se esfuma (plataforma caída, cuenta comprometida), las dos partes que cooperan todavía pueden cerrar la operación.

La clave del árbitro suele ser ella misma una clave multisig controlada por una federación de árbitros en lugar de una única persona, lo que añade otra capa de descentralización. La mainnet de Haveno, por ejemplo, utiliza un pool rotativo de árbitros comunitarios respaldados con un colateral en XMR que perderían si se les pillara coludiendo.

Time locks y la ruta de abandono

Toda custodia multisig incluye un time lock — normalmente de 24 a 72 horas después de que el vendedor marque el pago como recibido. Si ambas partes guardan silencio, el time lock permite al vendedor reclamar los fondos unilateralmente una vez expirada la ventana. Esto evita que los trolls abran una operación y desaparezcan para fastidiar al vendedor indefinidamente. La duración exacta se negocia al abrir la operación y queda codificada en la lógica de custodia inteligente de la plataforma; en Bisq el valor por defecto es de 30 días para operaciones en fiat, mientras que en Haveno es mucho más corto porque no interviene confirmación de pago fiat.

Comparativa de la custodia multisig en las principales plataformas sin KYC

No todas las custodias multisig están implementadas igual. Algunas plataformas siguen dependiendo de un único árbitro, otras de una federación; algunas soportan Monero de forma nativa, otras requieren representaciones envueltas. Las diferencias importan porque cambian tu perfil de riesgo en el peor de los casos.

PlataformaEsquema multisigModelo de árbitroMonero nativoTiempo típico de liquidación
Haveno (mainnet) Multisig CLSAG 2 de 3 Pool rotativo federado con XMR en garantía Sí, directamente en cadena 15 a 40 minutos
Bisq 1 (legado) Multisig BTC 2 de 2 con bono Un único árbitro por región No, BTC enrutado a XMR mediante un segundo swap 1 a 2 horas incluyendo swap
Bisq 2 (2025+) Basado en reputación, multisig opcional Mediador (no custodial) Parcial, usa atomic swap XMR-BTC 30 a 90 minutos
RoboSats (gateway Lightning) 2 de 2 con hold invoice Coordinador de RoboSats No, XMR vía agregador de swap 20 a 60 minutos
Serai DEX (testnet 2026) Firmas umbral FROST Conjunto de validadores (basado en Substrate) Sí, cross-chain mediante firmas umbral 10 a 25 minutos
RetoSwap (antes Haveno Reto) Multisig CLSAG 2 de 3 Operado por un equipo con registro público de disputas Sí, directamente en cadena 15 a 35 minutos

Ten en cuenta que Bisq 1 quedó descontinuado para nuevas operaciones a finales de 2025, a medida que se desplegaba Bisq 2, pero una base de usuarios numerosa lo sigue tratando como el diseño de referencia. Haveno sigue siendo el estándar de oro para multisig nativo de Monero porque hereda el modelo económico de seguridad de Bisq — depósitos de garantía de ambas partes — y lo trasplanta directamente a un activo plenamente respetuoso con la privacidad. Serai DEX, aunque todavía está en testnet al escribir esto, merece seguimiento porque su esquema de firma umbral basado en FROST podría permitir swaps cross-chain sin confianza entre BTC, XMR y ETH sin necesidad de tokens envueltos.

"El sentido del multisig es eliminar la pregunta sobre la confianza en la operación y sustituirla por una pregunta sobre un procedimiento criptográfico. Si tienes que confiar en la plataforma, no es multisig: es un monedero custodial con pasos adicionales."

Paso a paso: una operación multisig P2P de principio a fin

A continuación tienes el flujo canónico con el que te encontrarás en Haveno o en cualquier plataforma 2 de 3 similar. El comprador envía fiat u otra criptomoneda; el vendedor libera Monero desde la custodia. Los nombres de los botones y las pestañas varían, pero los pasos subyacentes son universales.

  1. Ambas partes ingresan un depósito de garantía. Normalmente entre el 10 y el 15 por ciento del tamaño de la operación en XMR, bloqueado en el mismo monedero multisig que retendrá el importe de la operación. Este bono es lo que el árbitro puede recortar en caso de mala fe, y es el pegamento económico que mantiene honesto al sistema.
  2. El vendedor financia la custodia. El importe total de XMR que se va a vender se envía a la dirección sigilosa 2 de 3 recién generada. La transacción debe confirmarse hasta la profundidad de bloques requerida por la plataforma (habitualmente 10 bloques en Haveno) antes de que la operación pueda avanzar.
  3. El comprador envía el pago. Fuera de la cadena — transferencia bancaria, dinero en efectivo por correo, tarjeta regalo u otra criptomoneda — según los términos de la oferta. El comprador marca "pago enviado" en la interfaz de la plataforma.
  4. El vendedor confirma la recepción. Una vez que el vendedor verifica que el pago ha llegado (esto puede tardar segundos en cripto y días en transferencias bancarias transfronterizas), pulsa "pago recibido", lo que activa al monedero del comprador para que ensamble su mitad de la firma de liberación.
  5. Firma entre dos partes. El comprador y el vendedor intercambian sus fragmentos de firma CLSAG a lo largo de tres rondas. Sus monederos combinan los fragmentos en una transacción de gasto válida que libera los XMR más el depósito del vendedor hacia el comprador, y le devuelve al comprador su depósito. Sin intervención del árbitro.
  6. Liquidación en cadena. La transacción combinada se difunde a la red Monero y se confirma en aproximadamente dos minutos. Desde fuera, parece cualquier otra transacción de Monero: ningún observador puede saber que provino de una custodia multisig.

Si el comprador nunca marca el pago como enviado, el vendedor puede recuperar sus fondos tras vencer el tiempo de abandono. Si el comprador marca el pago pero el vendedor se niega a confirmar, el comprador puede abrir una disputa y el árbitro entra en juego.

Gestión de disputas sin romper la privacidad

El flujo de disputas es donde la custodia multisig se gana el sueldo, y también donde la mayoría de los recién llegados malinterpreta las garantías de privacidad. Abrir una disputa no expone tu monedero: solo expone los mensajes y las pruebas que tú eliges enviar al árbitro. En Haveno, la interfaz de disputas permite a cada parte subir adjuntos cifrados (extractos bancarios, capturas de pantalla del chat con la contraparte, recibos del proveedor de pago) que solo el árbitro puede descifrar.

La tarea del árbitro es decidir cuál de las dos claves que no son del árbitro será invitada a co-firmar la liberación final. No ve tu identidad en el mundo real salvo que la reveles voluntariamente; no ve tus otras operaciones; no ve el saldo de tu monedero fuera de la custodia disputada. El esquema CLSAG garantiza que, incluso después de resolver una disputa, la transacción en cadena es indistinguible de una liberación por la vía del camino feliz. No hay ninguna "bandera de disputa" incrustada en la cadena de bloques de Monero: esa información se queda dentro de la base de datos de la plataforma, que por su parte suele alojarse en un servidor accesible solo por Tor y con registros mínimos.

Un ejemplo trabajado: imagina a un comprador en Buenos Aires que envía una transferencia SEPA a un vendedor en Madrid por el equivalente en euros a 1,5 XMR. El vendedor afirma que los fondos nunca llegaron. El comprador sube un PDF de confirmación SEPA sellado que muestra que el IBAN de destino coincide con la cuenta declarada por el vendedor. El árbitro inspecciona el PDF, comprueba el historial del vendedor (Haveno mantiene una puntuación de reputación no identificativa) y falla a favor del comprador. El árbitro y el comprador firman entonces la liberación juntos, los XMR se mueven al monedero del comprador y el depósito de garantía del vendedor se pierde a favor del comprador como compensación. Toda la operación no deja rastro público más allá de una única transacción de Monero con apariencia ordinaria.

Donde esto se pone interesante es al combinar la custodia multisig con herramientas de privacidad aguas abajo. Tras recibir fondos de la resolución de una disputa, muchos traders pasan los XMR por un segundo monedero, a veces enrutados a través de los rails de intercambio anónimo de MoneroSwapper para convertirlos en un activo distinto antes de volver a usarlos. Este patrón de "liquidar y después sanear" es excesivo para traders honestos, pero es procedimiento estándar para cualquiera que opere regularmente bajo modelos de amenaza que incluyan firmas de análisis de cadena pasivas.

Modos de fallo habituales y cómo el multisig los previene

Incluso con criptografía sólida, la experiencia de usuario en torno al multisig es donde la mayoría de operaciones se tuercen. Entender los modos de fallo es lo que separa una primera operación fluida de una estresante. Las trampas más comunes en 2025 y 2026 han sido:

  • Problemas de sincronización del monedero durante las rondas de firma: si el monedero de cualquiera de las dos partes no está totalmente sincronizado con la altura de bloque actual, los fragmentos de firma pueden ser rechazados. Solución: sincroniza antes de abrir la operación y mantén el monedero abierto durante toda su duración.
  • Caídas de circuitos Tor: la mayoría de las plataformas funcionan solo sobre Tor, y el colapso de un circuito a mitad de la firma puede dejar la operación colgada. Solución: reinicia el cliente de la plataforma, que normalmente reconstruye el circuito y reanuda desde el último punto de control sin perder el estado de la operación.
  • Desajuste al subir la comisión: si la mempool de Monero está congestionada y la transacción multisig queda sin confirmar, solo una nueva firma con una comisión más alta puede liberarla. Algunas plataformas lo automatizan; otras requieren intervención manual.
  • Fraude en el pago fuera de la cadena: el lado fiat es el eslabón más débil. Los ataques con contracargo en SEPA, las reversiones de PayPal y el efectivo falsificado siguen siendo posibles. El multisig solo protege el lado en cadena, así que la elección del método de pago sigue importando.
  • Pérdida del archivo de monedero antes de firmar: si un comprador pierde su monedero entre enviar el pago y firmar la liberación, solo el árbitro y el vendedor pueden recuperar los fondos, y únicamente si el vendedor coopera. Las copias de seguridad del archivo del monedero multisig no son negociables.

Observa que ninguno de estos modos de fallo implica que la criptografía en sí se haya roto. La matemática ha aguantado perfectamente desde que se lanzó el multisig CLSAG. Cada pérdida de fondos documentada en el comercio P2P de Monero desde 2022 ha sido atribuible a errores de usuario, métodos de pago maliciosos o ingeniería social, no al esquema multisig en sí.

Preguntas frecuentes

¿Puede el árbitro robar mis fondos en un multisig 2 de 3?

No. El árbitro solo posee una de tres claves, y el sistema exige dos firmas para cualquier gasto. El árbitro únicamente puede firmar si también firma el comprador o el vendedor. La única forma en que un árbitro podría "robar" sería coludiendo con la contraparte contra ti, y por eso plataformas como Haveno respaldan a los árbitros con un colateral significativo en XMR y los rotan aleatoriamente en cada operación. Si la colusión está en tu modelo de amenaza, elige una plataforma con una federación en lugar de un árbitro único.

¿La custodia multisig es realmente sin KYC o las plataformas todavía recogen identificación?

Las verdaderas plataformas P2P multisig no recogen ningún KYC. Haveno, Bisq, RoboSats y Serai nunca ven tus documentos de identidad porque nunca tocan tus fondos y nunca actúan como transmisores de dinero según las definiciones de la mayoría de jurisdicciones. Te conectas por Tor, operas con un seudónimo y tu única "reputación" es una puntuación numérica vinculada a un par de claves específico de la plataforma. El método de pago en fiat que elijas puede seguir exponiendo tu identidad ante tu banco, pero eso es una capa distinta de la propia plataforma.

¿Qué pasa con mis Monero si la plataforma se cae en mitad de una operación?

Como la plataforma solo tiene una clave (la del árbitro), no puede mover los fondos por sí sola. Si tanto el comprador como el vendedor conservan sus claves, pueden firmar juntos para liberar la custodia sin volver a involucrar nunca a la plataforma. La mayoría de plataformas publican el procedimiento de recuperación públicamente para que los traders sepan cómo cerrar la operación de forma manual. El riesgo solo se vuelve serio si la plataforma se cae durante una disputa activa: en ese caso, los fondos afectados pueden quedar bloqueados hasta que los usuarios se coordinen fuera de la plataforma.

¿En qué se diferencia esto de un atomic swap?

Un atomic swap es un intercambio cross-chain sin confianza que usa contratos con bloqueo de tiempo basados en hash; no hay terceros en absoluto. La custodia multisig es una transferencia de un único activo protegida por un requisito de firma a tres partes. Los atomic swaps funcionan muy bien para operaciones cripto a cripto, pero no para cripto a fiat, que es donde brilla la custodia multisig porque la pata de pago fuera de la cadena necesita un árbitro capaz de revisar pruebas si surge una disputa.

¿La custodia multisig añade alguna comisión respecto a una transacción normal de Monero?

Sí, de dos tipos. Primero, la transacción de liberación en cadena es ligeramente más grande que un gasto de firmante único porque incluye datos de firma multipartita, lo que añade en torno a un 30 a un 40 por ciento a la comisión de red, que en términos absolutos de XMR sigue siendo trivial. Segundo, la plataforma normalmente cobra una pequeña comisión porcentual por operación (habitualmente entre el 0,5 y el 1 por ciento en Haveno) para compensar a los árbitros y financiar el desarrollo. Comparado con el spread de un exchange centralizado tras la carga de KYC, esto casi siempre sale más barato.

¿Puede una orden judicial requerir al árbitro para revelar mi operación?

Los registros de un árbitro, si fueran requeridos por orden judicial, revelarían únicamente el ID seudonimizado de la operación, los mensajes cifrados de la disputa (que el árbitro no puede descifrar sin su clave) y la dirección pública multisig. No revelarían tu identidad real salvo que la hubieras divulgado durante la mediación de la disputa. En plataformas operadas por federaciones distribuidas geográficamente (Haveno, Serai) no existe una única jurisdicción a la que dirigir la orden. Esto es estructuralmente distinto de un exchange centralizado, donde una sola orden judicial puede obligar a divulgar todas las cuentas.

Conclusión

La custodia multisig es la tecnología que hace posible un comercio peer-to-peer de Monero verdaderamente sin confianza, sin rendir tu identidad, sin confiar en un custodio y sin tener que inventar criptografía exótica. El modelo 2 de 3 es una primitiva engañosamente simple que resuelve los tres grandes problemas del P2P — fraude de contraparte, incautación de la plataforma y neutralidad del arbitraje — usando nada más que firmas CLSAG estándar y un poco de coordinación de nonces. Para cualquiera que se tome en serio preservar la fungibilidad de sus XMR, aprender cómo funciona este mecanismo ha dejado de ser opcional en 2026; es la alfabetización mínima que se espera de cualquier trader consciente de la privacidad.

Cuando necesites convertir hacia o desde Monero rápidamente y quieras minimizar la exposición a la contraparte sin montar una operación completa en Haveno, MoneroSwapper ofrece una capa de intercambio sin KYC simplificada que complementa al P2P multisig en lugar de competir con él. La combinación — multisig para operaciones de alto valor o con pata fiat, agregación de swap para movimientos rápidos cripto a cripto — es como los usuarios experimentados en 2026 mantienen privacidad y liquidez al mismo tiempo.

← back to blog