-
La auditoría fue coordinada por Brink, organización que financia ocho desarrolladores de Core.
-
Actualmente, casi el 80% de los operadores de nodos de Bitcoin corren Bitcoin Core.
Brink, una organización sin fines de lucro que financia desarrolladores de Bitcoin Core, publicó ayer 26 de marzo su Reporte de Impacto de Ingeniería 2025, en el que documenta la primera auditoría de seguridad independiente del cliente Bitcoin Core en sus 16 años de historia, realizada por la firma francesa Quarkslab entre mayo y septiembre de 2025.
Tres ingenieros de seguridad de Quarkslab revisaron durante cuatro meses los componentes más críticos de Bitcoin Core, el software más utilizado para participar en la red Bitcoin:
- La capa de red entre pares (peer-to-peer).
- El mempool: la memoria temporal donde se almacenan las transacciones pendientes de confirmación antes de ser incluidas en un bloque.
- La gestión de la cadena de bloques y la lógica de consenso, es decir, el código que define y hace cumplir las reglas de Bitcoin.
El resultado fue que Quarkslab no encontró vulnerabilidades de severidad crítica, alta ni media. Conforme al reporte de Brink, ese resultado valida públicamente por primera vez la cultura de revisión de código que los desarrolladores de Bitcoin Core han construido durante años.
Adicionalmente, desde Quarkslab desarrollaron nuevas herramientas de pruebas automatizadas para dos escenarios: la conexión de bloques nuevos a la cadena y las reorganizaciones de cadena. Estas herramientas permiten detectar comportamientos inesperados en esos procesos antes de que lleguen a los nodos que los usuarios operan.
Otros avances de seguridad en 2025
Más allá de la auditoría, el reporte de Brink documenta otros avances de seguridad realizados por sus ingenieros durante 2025.
Uno de ellos fue el desarrollo de Fuzzamoto, una herramienta de pruebas automáticas creada por el ingeniero Niklas Gögge que mejora la capacidad del equipo para encontrar vulnerabilidades antes de que lleguen a producción. Las herramientas de prueba tradicionales analizan funciones aisladas del código, como si revisaran cada pieza de un motor por separado.
Fuzzamoto ejecuta un nodo real de Bitcoin Core y le envía secuencias de mensajes de red aleatorios, replicando exactamente cómo un atacante real intentaría encontrar fallas en el sistema.
Gracias a ese enfoque, esa herramienta ya detectó vulnerabilidades reales que ninguna prueba existente habría encontrado, según el equipo de Brink. Entre ellas un error en el código de gestión del mempool que fue identificado mientras el cambio estaba siendo revisado por la comunidad, antes de llegar a producción.
Los auditores de Quarkslab durante la auditoría describieron a Fuzzamoto como «probablemente el camino más valioso para encontrar errores más profundos y complejos».
Adicionalmente, el ingeniero Eugene Siegel descubrió y corrigió de forma independiente una vulnerabilidad registrada públicamente como CVE-2025-54605. El problema era que un atacante podía enviar bloques inválidos al nodo de una víctima que generaban mensajes de registro del sistema sin ningún límite de velocidad, llenando el disco del nodo hasta dejarlo inoperativo.
La corrección, incluida en Bitcoin Core v30, no solo resolvió ese caso puntual sino que implementó un sistema que limita la velocidad a la que el nodo puede generar esos mensajes, cerrando toda esa categoría de ataques de forma permanente.
Otro avance fue SwiftSync, un prototipo desarrollado por Sebastian Falbesoner que redujo el tiempo de sincronización inicial de un nodo nuevo de aproximadamente 41 horas a unas 8 horas.
Por otro lado, como lo reportó CriptoNoticias, el 5 de enero pasado el equipo de Bitcoin Core alertó sobre un error en las versiones 30.0 y 30.1 que podía eliminar todos los archivos de wallets del nodo al intentar migrar un monedero antiguo, con riesgo de pérdida de fondos si no había copias de seguridad. Ambas versiones fueron retiradas como recomendadas y la corrección llegó con Bitcoin Core 30.2.
¿Cuántos nodos corren Bitcoin Core hoy?
Conforme a datos de Coin Dance, la red Bitcoin cuenta actualmente con 22.084 nodos completos públicos activos. De ese total, 17.206 corren Bitcoin Core, el 77,9% del total. Los 4.845 restantes, el 21,9%, corren Bitcoin Knots, una implementación alternativa que creció de forma significativa en 2025 tras la disputa en torno a los cambios en el límite de datos de OP_RETURN introducidos en Bitcoin Core v30.
La distribución actual de los operadores de nodos ilustra tanto la fortaleza como la vulnerabilidad del ecosistema de nodos de Bitcoin: una implementación ampliamente dominante garantiza coherencia en las reglas de consenso, pero también concentra en un solo equipo de desarrollo las decisiones sobre qué cambia y qué no en el software que protege la red.
No obstante, si bien hay predominancia de solamente 2 clientes de Bitcoin, el pasado 23 de marzo se anunció el lanzamiento de ProductionReady Inc., una organización sin fines de lucro respaldada por Samson Mow y Jimmy Song que planea desarrollar una nueva alternativa de cliente de Bitcoin construido sobre el código de Core pero con un proceso de desarrollo más conservador, que restauraría el límite de OP_RETURN a su valor anterior.
La auditoría de Quarkslab, sin ser una solución a ese problema estructural, aporta por primera vez una validación externa del equipo detrás de Core. Después de 16 años, un equipo independiente revisó el código más crítico de Bitcoin y confirmó que el proceso de revisión y mantenimiento que sus desarrolladores construyeron durante años está funcionando. Es un dato que no resuelve el debate sobre la gobernanza del desarrollo de Bitcoin, pero sí establece una línea de base verificable sobre la calidad del trabajo que lo sostiene.
