Cómo usar direcciones sigilosas en Ethereum (EIP-5564)

En abril de 2026, la actualización del roadmap de Vitalik Buterin titulada "Statelessness, Stealth, and Soul-Bound Tokens" devolvió a la EIP-5564 al primer plano del debate: aproximadamente 1,4 millones de direcciones de Ethereum aparecen ya en al menos un cluster de Chainalysis, y la distancia entre "seudónimo" y "privado" nunca había resultado tan evidente. La EIP-5564 es la respuesta de Ethereum a esa brecha: una forma estandarizada de recibir ETH, ERC-20 o ERC-721 en una dirección de un solo uso, recién derivada, que ningún observador externo puede vincular con tu nombre ENS público ni con tu billetera principal. La idea está tomada casi al pie de la letra de Monero, donde las direcciones sigilosas son comportamiento por defecto desde 2014, pero adaptada al mundo basado en cuentas y nativo de la EVM. Esta guía recorre cómo funciona el estándar, cómo se utiliza con las herramientas de billetera actuales, en qué se diferencia de la implementación madura de Monero, y dónde están los peligros más evidentes. Si tu objetivo final es convertir esos ETH privados a XMR para obtener garantías más fuertes, MoneroSwapper se encarga del puente sin KYC; pero antes, conviene entender qué te ofrece realmente una dirección sigilosa dentro del propio Ethereum.

Por qué Ethereum necesitaba direcciones sigilosas

El relato de privacidad por defecto de Ethereum siempre fue incómodo. Cada transacción ata públicamente a un emisor, un destinatario y un importe a dos direcciones de larga vida, y los nombres ENS hacen que esas direcciones sean legibles por humanos en Etherscan con un solo clic. En cuanto donas a una dirección pública, liquidas una propina, recibes un airdrop o cobras un salario en stablecoins, la dirección receptora queda atada para siempre a tu historial on-chain. Tornado Cash cubrió parcialmente este hueco hasta que la OFAC sancionó al contrato inteligente en agosto de 2022, y las condenas posteriores a dos de sus desarrolladores en 2024 congelaron la mayor parte del uso legítimo por particulares.

La EIP-5564 plantea otro enfoque. En lugar de juntar fondos en un conjunto de anonimato compartido, permite que el emisor derive una dirección de destino completamente nueva, de un solo uso, que solo el destinatario real puede gastar, sin coordinación previa, sin un mezclador en contrato inteligente y sin compartir nunca la clave privada principal del destinatario. Las propiedades que aporta son:

• No vinculabilidad: un observador externo no puede deducir que dos pagos sigilosos pertenecen al mismo destinatario, aunque su meta-dirección esté publicada en abierto.
• No interactividad: el emisor solo necesita la meta-dirección publicada del destinatario, sin handshake previo, sin clave simétrica compartida ni puente Tor.
• Acceso solo de escaneo: una clave de visualización permite que servicios externos (una billetera caliente, un servidor watch-only, una app de móvil) detecten pagos entrantes sin capacidad de gasto.
• Compatibilidad hacia atrás: el estándar funciona para transferencias de ETH, ERC-20, ERC-721 y ERC-1155 sin tocar ningún contrato de token en ninguna cadena.

La contrapartida es que la EIP-5564 no oculta los importes de las transacciones y no rompe el vínculo entre una salida sigilosa y la dirección a la que termina barriéndose. No es RingCT. Pero para el uso cotidiano (pagar a un freelance, recibir un airdrop de NFT, aceptar una donación, cobrar un sueldo) reduce drásticamente lo que un observador externo puede correlacionar con tu identidad pública.

Cómo funciona realmente la EIP-5564

La EIP-5564, redactada por Toni Wahrstätter, Matt Solomon, Ben DiFrancesco y Gary Ghayrat y finalizada como ERC de Standards Track en marzo de 2024, define dos piezas: un esquema canónico para derivar direcciones sigilosas a partir de una meta-dirección publicada y un contrato anunciador singleton que publica claves públicas efímeras para que los destinatarios encuentren sus pagos sin tener que escanear toda la cadena.

La meta-dirección: dos claves, no una

Cada destinatario de EIP-5564 publica una meta-dirección sigilosa con la forma st:eth:0x.... En ella se codifican dos claves públicas secp256k1 comprimidas concatenadas:

• Clave pública de gasto (P): derivada de una clave privada de gasto de larga vida que el destinatario mantiene offline, idealmente en una hardware wallet.
• Clave pública de visualización (V): derivada de una clave privada de visualización que el destinatario puede entregar a un software watch-only sin exponer la capacidad de gasto.

Esta división es exactamente la misma separación entre View key y Spend key que Monero adoptó de CryptoNote en 2014. La clave de gasto firma las transferencias salientes; la clave de visualización permite que una billetera detecte pagos entrantes sin poder moverlos. Esa separación es lo que permite que una Ledger o una Trezor custodie la clave de gasto mientras una billetera caliente en tu portátil ejecuta el escáner en segundo plano.

Derivación de una dirección de un solo uso

Para enviar a una meta-dirección sigilosa, el emisor ejecuta el siguiente protocolo en el lado cliente, sin interacción on-chain hasta el último paso:

1. Genera una clave privada efímera aleatoria r y calcula su clave pública R = r·G, donde G es el generador de secp256k1.
2. Calcula un secreto compartido S = r·V mediante ECDH estándar contra la clave pública de visualización del destinatario.
3. Aplica un hash al secreto compartido: s = keccak256(S).
4. Deriva la clave pública sigilosa P_stealth = P + s·G.
5. Toma la dirección Ethereum de P_stealth. Esa será la dirección receptora de un solo uso.
6. Envía los fondos a esa dirección y llama al contrato Announcer con la clave pública efímera R, el byte de view-tag y un identificador de esquema.

El destinatario, o más precisamente un servicio de escaneo que custodie la clave de visualización, ve el anuncio, recalcula s = keccak256(v·R) (donde v es la clave privada de visualización), deriva la misma P_stealth y encuentra los fondos aparcados en la dirección Ethereum correspondiente. Solo quien tenga la clave privada de gasto puede firmar entonces una transacción desde esa dirección: la clave privada de gasto específica de cada salida es p_stealth = p_spend + s.

La optimización del view-tag

Sin optimizaciones, cada destinatario tendría que derivar P_stealth por cada anuncio publicado en la cadena, millones de operaciones al día a escala completa. La EIP-5564 incluye un view-tag de un solo byte en cada anuncio: el primer byte de keccak256(S). Los escáneres descartan 255 de cada 256 anuncios tras una sola comparación de bytes, así que un destinatario típico procesa por completo solo cerca del 0,4% de los anuncios. Esto sitúa el coste de escaneo de la EIP-5564 en el mismo orden de magnitud que el escaneo con view-key de Monero después de que Monero 0.18 incorporara el view-tag opcional en 2022. El truco lo documentaron originalmente investigadores de Zcash en 2021 y se ha convertido desde entonces en un patrón estándar en los diseños de direcciones sigilosas.

EIP-5564 frente a las direcciones sigilosas de Monero

Como los usuarios de Ethereum preguntan a menudo si la EIP-5564 hace innecesario Monero, conviene comparar los dos diseños de forma explícita. Comparten el mismo núcleo matemático, pero difieren enormemente en lo que el resto del protocolo oculta y en si la privacidad es una característica opcional o una garantía de partida.

Propiedad	EIP-5564 (Ethereum)	Monero (CryptoNote + RingCT)
Dirección receptora de un solo uso	Sí (por pago)	Sí (por salida)
Anonimato del emisor	No: la dirección del emisor es pública	Sí: oculto por firma en anillo CLSAG
Ocultación del importe	No: visible en los logs de transferencia	Sí: compromisos de Pedersen + Bulletproofs
Uso por defecto	Opcional por transacción	Obligatorio para cada salida
Escaneo con view-key	Sí (clave de visualización EIP-5564)	Sí (View key de Monero)
Privacidad a nivel de red	Ninguna estandarizada	Difusión Dandelion++
Hard forks futuros previstos	Ninguno programado	FCMP++ / Seraphis Jamtis (en curso)
Tamaño del conjunto de anonimato	Todos los anuncios EIP-5564 (~cientos al día)	Conjunto UTXO completo (tras FCMP++)

En resumen: la EIP-5564 oculta a quién se paga, mientras que Monero además oculta quién paga y cuánto paga. Si tu modelo de amenaza es "vigilancia on-chain ocasional" y ya vives en el ecosistema Ethereum, la EIP-5564 supone una mejora real respecto del statu quo. Si tu modelo de amenaza incluye analítica profesional de cadenas con clustering de grafos completo, o si necesitas fungibilidad en el lado receptor, Monero sigue siendo estructuralmente más fuerte porque cada salida tiene exactamente el mismo aspecto a nivel de protocolo.

Paso a paso: recibir y gastar pagos sigilosos

Este recorrido asume que utilizas Umbra (umbra.cash) o la billetera Fluidkey, las dos implementaciones de EIP-5564 listas para producción en Ethereum mainnet a mediados de 2026. El flujo es esencialmente idéntico en Base, Optimism y Arbitrum, todos ellos con el mismo Announcer singleton desplegado en la dirección canónica. Si estás probando el protocolo, hazlo primero en Sepolia: el gas es gratuito y el mismo SDK funciona sin cambios.

1. Genera tu meta-dirección sigilosa. Conecta una billetera que custodie tu clave de firma principal. Tanto Umbra como Fluidkey derivan tus claves privadas de gasto y de visualización de forma determinista a partir de una firma sobre un mensaje fijo, así que no necesitas una semilla mnemónica aparte y puedes recuperar el acceso desde cualquier dispositivo que tenga tu clave principal.
2. Publica o comparte la meta-dirección. La cadena resultante tiene un aspecto similar a st:eth:0x03ab...c1de. Puedes registrarla contra tu nombre ENS (el campo de resolver stealth-meta-address está estandarizado en la ERC-5564 y lo soporta el resolver público de ENS) o, simplemente, compartir la cadena fuera de banda por Signal, correo electrónico o una página de solicitud de pago. Una vez publicada, cualquiera puede pagarte sin coordinación adicional.
3. Recibe un pago. El emisor deriva una dirección de un solo uso del lado cliente y publica un anuncio en el contrato Announcer. Tu billetera escanea los nuevos anuncios bloque a bloque, los filtra por view-tag y muestra los depósitos coincidentes en la interfaz en torno a 12 segundos tras la confirmación en mainnet (o unos 2 segundos en la mayoría de L2).
4. Financia el gas en la dirección sigilosa. Como cada salida sigilosa vive en una dirección única sin saldo de ETH previo, gastarla requiere pagar gas. Las billeteras lo resuelven de tres formas: una meta-transacción patrocinada vía Gelato o Pimlico, un patrón "pull" en el que el receptor quema una fracción pequeña del importe entrante como gas, o un relayer integrado nativamente en la propia billetera. Hagas lo que hagas, no financies el gas desde una billetera doxeada: eso vincula la salida al instante.
5. Gasta o barre los fondos. Firma el gasto con tu clave de gasto derivada. Si barres varias salidas sigilosas a una única dirección consolidada las vinculas inmediatamente entre sí, así que consolida solo cuando esa vinculación te resulte aceptable. Si no, encamina los fondos por Railgun, hacia una dirección fresca de depósito en un CEX, o, para fungibilidad completa, conviértelos a XMR a través de MoneroSwapper y recíbelos en una Subaddress de Monero recién creada.

Regla práctica: una salida sigilosa es solo tan privada como la dirección a la que acabes barriéndola. Trata el destino del barrido como la decisión real de privacidad, no la dirección sigilosa en sí.

Billeteras y herramientas en 2026

El panorama de implementaciones de EIP-5564 se ha consolidado en los dieciocho meses desde que se finalizó el estándar. A mediados de 2026, las opciones aptas para producción son:

• Umbra Protocol: la implementación de referencia. Frontend de código abierto, desplegado en Ethereum mainnet, Optimism, Arbitrum, Polygon PoS, Base y Gnosis Chain. Soporta ETH, cualquier ERC-20 y ERC-721. Mantenido por ScopeLift, auditado por Trail of Bits en 2023.
• Fluidkey: una billetera sigilosa orientada al consumidor, con apps de iOS y Android, arquitectura sobre cuentas Safe y patrocinio integrado de meta-transacciones, de modo que el destinatario nunca tiene que prefondear una dirección sigilosa con ETH para gas. Cerró una ronda semilla de 1,8 M USD en noviembre de 2024 y procesó más de 40 M USD en pagos sigilosos a final de 2025.
• Labyrinth: combina las direcciones sigilosas EIP-5564 con un mezclador en un L2 de Ethereum para ocultar también importes y emisor. Se acerca más a una pila de privacidad completa, pero todavía requiere confianza parcial en el operador del L2 y hereda su política de censura.
• StealthSwap: un frontend al estilo de Uniswap que permite intercambiar fondos hacia una dirección sigilosa de forma atómica. Útil para recibir el resultado de una operación en un DEX sin revelar tu billetera de destino al relayer que ejecuta la orden.
• Daimo Pay (modo Stealth): el incorporado más reciente, añadido en febrero de 2026. Apuntado a pagos recurrentes como nóminas y suscripciones, donde la generación automatizada de direcciones sigilosas es la verdadera ventaja.

Para personas desarrolladoras, el contrato Announcer canónico está desplegado en 0x55649E01B5Df198D18D95b5cc5051630cfD45564 en todas las cadenas EVM que reflejan el espacio de direcciones de Ethereum; fíjate en el sufijo "5564" deliberado, que coincide con el número de la EIP, una pista pequeña pero útil para la auditabilidad. El SDK de referencia @scopelift/stealth-address-sdk se encarga del parseo de meta-direcciones, la generación de claves efímeras, la codificación del anuncio y el filtrado por view-tag del lado escáner. Integrarlo en una dApp existente lleva, en líneas generales, una tarde a un equipo de Solidity con experiencia.

Límites de modelo de amenaza con los que debes contar

La EIP-5564 es una mejora real, pero quedan varias categorías de ataques. Ninguna es un fallo del estándar: son consecuencias de ejecutar una mejora de privacidad sobre una capa base transparente, donde la mempool, el bloque y los receipts siguen siendo visibles globalmente.

• Exposición del emisor: la dirección que envía sigue siendo pública. Si envías desde tu dirección ENS principal, lo único que se oculta es el destinatario, y un analista de cadena puede aún construir un grafo de "quién pagó a direcciones sigilosas, cuándo y por cuánto".
• Correlación de importes: un pago sigiloso de 4,173 ETH seguido casi al instante por una transferencia de 4,173 ETH a otro sitio sugiere muy fuertemente vinculación. Las cifras redondas y los importes atípicos son especialmente reveladores.
• Correlación temporal: los anuncios sigilosos son públicos; si escaneas y barres en el mismo minuto, las herramientas de vigilancia pueden acotar qué anuncio era tuyo por simple correlación de ventanas de tiempo.
• Metadatos en el barrido: barrer hacia Binance, Bitso o Coinbase ata la salida sigilosa a una identidad con KYC en el proveedor de compliance del exchange. Barre hacia Railgun, un mezclador en L2, o convierte a XMR si de verdad necesitas romper el rastro.
• Filtración por el pago del gas: si financias el gas de una dirección sigilosa desde una billetera doxeada, acabas de etiquetar la salida para cualquier observador. Usa siempre un relayer o un barrido autofinanciado.
• MEV entre cadenas: algunos relayers de puentes registran la dirección sigilosa en su indexador. Trata cualquier puente como una posible superficie de desanonimización y prioriza rutas de atomic swap siempre que puedas.

Preguntas frecuentes

¿La EIP-5564 hace que mis transacciones de Ethereum sean completamente privadas?

No. La EIP-5564 oculta al destinatario de un pago; en concreto, rompe el vínculo entre tu dirección publicada (o tu nombre ENS) y la dirección que recibe realmente los fondos. No oculta la dirección del emisor, el importe transferido ni el momento. Para una garantía de fungibilidad completa, en la que importes, emisores y destinatarios queden ocultos por protocolo, sigues necesitando una cadena como Monero, donde toda transacción usa firmas en anillo y compromisos de importe por defecto. Mucha gente trata la EIP-5564 como un "primer salto" para recibir y luego convierte a XMR para almacenamiento y gasto posterior.

¿Tengo que compartir mis claves privadas con un proveedor de billetera para usar direcciones sigilosas?

No, pero sí necesitas compartir tu clave privada de visualización con el software que escanea pagos entrantes. La clave de visualización solo otorga la capacidad de detectar pagos, no de gastarlos. La clave privada de gasto (la que puede mover los fondos) puede permanecer en una hardware wallet o en almacenamiento en frío. Es la misma arquitectura que utiliza Monero: una billetera watch-only en un servidor siempre encendido usando la View key, y una billetera fría para firmar transacciones con la Spend key.

¿Por qué a la EIP-5564 se la llama a veces "la propuesta sigilosa de Vitalik"?

Porque Vitalik Buterin publicó el borrador original en una entrada de blog titulada "An incomplete guide to stealth addresses" en enero de 2023, lo que dio el pistoletazo de salida a la estandarización formal que terminó siendo la EIP-5564. La criptografía es mucho más antigua: el whitepaper CryptoNote de Nicolas van Saberhagen introdujo las direcciones de un solo uso en 2013, y Monero las puso en producción en 2014. La entrada de Vitalik tiene el mérito de haber popularizado el diseño dentro de Ethereum y haberlo hecho viable políticamente como estándar opcional en lugar de como cambio por hard fork.

¿Se pueden usar direcciones sigilosas en L2 como Base o Arbitrum?

Sí. El contrato Announcer canónico de la EIP-5564 está desplegado en la misma dirección en todos los L2 EVM relevantes, incluidos Base, Optimism, Arbitrum One, Polygon PoS y Gnosis Chain. Tanto Umbra como Fluidkey soportan pagos sigilosos entre rollups. Las comisiones en pagos sigilosos en L2 suelen estar por debajo de 0,05 USD en 2026, lo que vuelve insignificante el coste de escaneo para usuarios finales y elimina uno de los mayores puntos de fricción que tenía el estándar en mainnet en 2024.

¿Cómo se compara el coste de escaneo con ejecutar una billetera Monero?

Es razonablemente similar, gracias a que ambos comparten la optimización del view-tag. Un escáner típico de EIP-5564 lee 1 byte de cada anuncio y solo calcula la derivación completa de curva elíptica para el ~0,4% que pasa el filtro de view-tag. Monero añadió el mismo truco en 2022; ambos ecosistemas tomaron prestada la idea, de forma independiente, de investigación previa de Zcash. En hardware doméstico, un año entero de anuncios sigilosos en Ethereum mainnet se escanea en unos segundos, más rápido que la sincronización inicial de una billetera Monero recién creada.

¿Qué pasa si pierdo mi clave de visualización pero conservo la de gasto?

Perderías la capacidad de encontrar fácilmente tus pagos entrantes, pero no la capacidad de gastarlos una vez localizados. Podrías hacer un escaneo por fuerza bruta derivando todas las direcciones sigilosas posibles a partir de cada anuncio usando solo tu clave de gasto, algo extremadamente costoso pero viable. En la práctica, tanto en Umbra como en Fluidkey las dos claves se derivan de forma determinista a partir de la firma de tu billetera principal, así que puedes volver a derivar la clave de visualización en cualquier momento en que reconectes la billetera de origen.

Conclusión

La EIP-5564 es la mejora de privacidad más pragmática que ha entregado Ethereum desde la era de Tornado Cash: una primitiva criptográfica real, no una etiqueta de marketing, y que encaja de forma limpia sobre la separación entre View key y Spend key que Monero ya demostró a escala una década antes. Para pagos, donaciones, salarios y drops de NFT elimina la señal de vigilancia más dañina en Ethereum: la identidad persistente de la dirección receptora. No oculta, sin embargo, ni a los emisores ni los importes; y en el momento en que consolidas las salidas sigilosas en una dirección transparente devuelves casi toda la privacidad que acababas de ganar. El modelo mental correcto es "las direcciones sigilosas son una primitiva de privacidad, no un producto de privacidad". Si tu objetivo es fungibilidad completa (salidas que parezcan idénticas a nivel de protocolo, importes que no sean visibles, emisores no rastreables) el flujo más limpio es recibir en una dirección sigilosa y luego encaminar los fondos por MoneroSwapper para una conversión sin KYC de ETH a XMR que aterrice en una Subaddress de Monero recién generada. A partir de ahí, las firmas en anillo, los Bulletproofs y la difusión Dandelion++ se encargan del resto, y tu huella on-chain se detiene exactamente donde acaba la dirección sigilosa.