El secuestro express del cripto-inversor ya no es una rareza policial. Hay decenas de casos documentados en el mundo, varios en América Latina, donde un atacante obliga a la víctima a entregar sus fondos digitales mediante coerción física. Hasta ahora, la criptografía no tenía respuesta. Un doctorando de la Universidad Nacional de La Plata escribió 92 contratos inteligentes, cuatro circuitos de conocimiento cero y un protocolo entero para que la víctima pueda —sin que el secuestrador lo note— entregar fondos falsos en lugar de los reales. Se llama ZK-Sentinel. Y ya está desplegado.
En una habitación, en un pueblo de Madrid, hay una notebook conectada a un monitor externo. En la pantalla, un terminal corre comandos contra una red de prueba de Ethereum. Cada vez que se ejecuta una transacción, lo que ocurre del otro lado es matemáticamente sorprendente: dos retiros de fondos que un observador externo —incluido un atacante apuntando con un arma— no puede distinguir entre sí. Uno transfiere los fondos reales. El otro transfiere fondos señuelo a una dirección de descarte. Pero no hay forma, observando la blockchain, de saber cuál es cuál.
Eso no existía hasta hace unos meses. Ahora existe, está desplegado en testnet, y lo escribió un investigador argentino.
Un problema que la criptografía tradicional no había mirado
La narrativa pública sobre criptomonedas se mueve entre dos polos. En uno, los entusiastas hablan de soberanía financiera y libertad. En el otro, los reguladores hablan de lavado, evasión y delito. Entre los dos, prácticamente nadie habla del problema más concreto y cotidiano para el usuario común: el ataque físico.
El llamado wrench attack —ataque de la llave inglesa, en jerga criptográfica— describe la situación donde un atacante, en lugar de intentar romper la criptografía, simplemente obliga al usuario a desbloquear sus fondos. La cita se ha vuelto canónica en el ambiente: por más fuerte que sea tu cifrado, no resiste a un humano dispuesto a hacerte daño hasta que entregues la contraseña.
Los casos documentados se cuentan por decenas. En Estados Unidos, en Francia, en Holanda, en España, en México, en Argentina, en Brasil. Familias enteras secuestradas en sus casas mientras los atacantes esperan a que se ejecute la transferencia. Inversores interceptados a la salida de eventos de criptomonedas. Empresarios obligados a transferir bajo amenaza a sus seres queridos. La respuesta tradicional de la industria fue evasiva: usá cold wallets, no presumas, no compartas información. Es decir, medidas de comportamiento que no resuelven el problema técnico.
ZK-Sentinel lo resuelve técnicamente. Y eso es, hasta donde la literatura académica permite afirmar, una primicia.
Cómo funciona, sin entrar en matemática pesada
La criptografía moderna ofrece una herramienta llamada prueba de conocimiento cero —zero-knowledge proof, ZKP—. Permite demostrar que se conoce un secreto sin revelarlo. Es la base de protocolos de privacidad financiera como Tornado Cash o Zcash. Lo que esos protocolos hacen es ocultar el vínculo entre quien deposita y quien retira, manteniendo la privacidad de las transacciones.
Lo que nunca habían hecho es ocultar la intención del usuario.
ZK-Sentinel introduce una construcción llamada dual-nullifier con selector aritmético. La explicación técnica completa requiere álgebra modular sobre cuerpos finitos, pero la idea es accesible: cuando el usuario deposita fondos, el sistema genera dos identificadores criptográficos, no uno. Uno está atado a su frase secreta primaria —la que usa todos los días—. El otro está atado a una frase secreta señuelo, llamada Shadow Passphrase, que el usuario configura para emergencias.
Cuando el usuario retira fondos en condiciones normales, ingresa su frase primaria y los fondos reales salen. Cuando un atacante lo obliga a retirar, el usuario ingresa la frase señuelo. El sistema entonces ejecuta una transacción que, a ojos de cualquier observador externo, es absolutamente indistinguible de la operación normal: misma estructura, mismo gas, mismo tiempo, mismos pasos. Pero los fondos transferidos son fondos señuelo previamente designados, no los fondos reales del usuario.
El atacante ve una transacción exitosa. Verifica el saldo recibido. Suelta a la víctima. Y los fondos reales siguen en el pool, intactos.
Por qué esto era considerado imposible hasta ahora
La razón por la que ningún protocolo previo había resuelto esto tiene que ver con la naturaleza misma de los circuitos criptográficos. Los sistemas de pruebas de conocimiento cero no admiten ramificaciones condicionales tradicionales —el clásico if-else de cualquier programa—. Si el circuito tuviera dos caminos visibles, uno para “modo normal” y otro para “modo coerción”, el atacante podría inspeccionar la transacción y notar la diferencia.
Sería como tener un botón rojo de pánico que cambia el color de tu cara: el atacante lo nota y ajusta la coerción.
Lo que hizo el investigador argentino fue construir un selector aritmético dentro del circuito. En lugar de un if-else, una multiplicación. La fórmula es desarmadamente simple:
nullifier_salida = a × nullifier_real + (1 − a) × nullifier_señuelo
donde a vale uno o cero dependiendo de la combinación de dos señales: si la frase ingresada fue la primaria o la señuelo, y si un componente de inteligencia artificial integrado al protocolo —llamado ZKML— detectó signos de estrés en el comportamiento del usuario.
Lo importante es que esa multiplicación se ejecuta dentro del circuito de conocimiento cero, donde nada de lo que ocurre es observable. Para cualquiera mirando la blockchain, las dos transacciones son matemáticamente idénticas. Eso es lo que el investigador llama, en la documentación formal del protocolo, “tranquilidad como principio de diseño”: las acciones del usuario bajo coerción tienen que ser observacionalmente idénticas a las acciones normales. Si no lo son, no hay protección real.
La arquitectura completa, en cifras
ZK-Sentinel no es un experimento académico aislado. Es un sistema desplegado, funcional, en redes públicas de prueba.
- 92 contratos inteligentes distribuidos en seis categorías de activos: tokens nativos, stablecoins, activos envueltos, tokens de DeFi, activos del mundo real (RWA) tokenizados y monedas digitales de banco central (CBDC).
- 12 tokens soportados, incluyendo Ether, USDC, DAI, tokens emergentes de RWA y un euro digital experimental.
- Dos redes de despliegue: Ethereum Sepolia (44 pools) y Arbitrum Sepolia (48 pools).
- Patrón Diamante (EIP-2535) con 10 facetas modulares y 104 funciones, lo que permite actualizar componentes sin redesplegar el contrato entero.
- Direcciones sigilosas (ERC-5564) con un mecanismo llamado ViewTags que aceleran 255 veces el escaneo del usuario para detectar pagos entrantes.
- Cuatro circuitos criptográficos —depósito, retiro dual, retiro parcial y disclosure selectivo— compilados con Groth16, el sistema de pruebas más eficiente disponible para Ethereum.
- Oráculos de cumplimiento con cuatro niveles de KYC y límites diferenciados para CBDC: 50.000 unidades por día, 10.000 por transacción.
- Validación empírica sobre 10.000 transacciones simuladas: un clasificador entrenado para distinguir entre transacciones normales y coaccionadas alcanza el 50,3% de precisión —es decir, estadísticamente indistinguible del azar—. Esa es la métrica que valida formalmente la propiedad de “tranquilidad”.
Todo esto está documentado en una tesis doctoral de más de 6.000 líneas de LaTeX, con diagramas TikZ, pruebas formales, tablas de gas, y direcciones de contratos verificables en Etherscan.
Más allá del secuestro: privacidad y compliance simultáneamente
Hay otra capa del problema que ZK-Sentinel resuelve, y que merece párrafo aparte.
Después de que el Tesoro de Estados Unidos sancionara a Tornado Cash en agosto de 2022, la pregunta que dominó el debate técnico fue si era posible diseñar un sistema simultáneamente privado y verificable desde el punto de vista regulatorio. La propuesta de Privacy Pools, formulada por Vitalik Buterin y un grupo de coautores en 2023, planteó la dirección general: el usuario debe poder demostrar que sus fondos no provienen de direcciones sancionadas, sin revelar cuál es el depósito específico.
ZK-Sentinel implementa esa propuesta y la extiende. Cada retiro genera obligatoriamente una prueba de inocencia contra una lista de direcciones marcadas. Cada usuario puede demostrarle a un auditor que su depósito cumple con un rango de monto, una ventana temporal y un nivel de KYC, sin revelar cuál de los miles de depósitos del pool es el suyo. Es lo que en el lenguaje técnico se llama disclosure selectivo con vinculación a nonce de auditoría —y la implementación concreta es novedosa hasta donde la literatura permite verificar.
Esto importa porque resuelve el dilema que tiene paralizado al mercado regulatorio europeo: privacidad real para el ciudadano, verificabilidad real para el regulador. Ningún protocolo previo combinaba las dos cosas con esta granularidad.
El componente que nadie esperaba: machine learning dentro del circuito
Hay una capa más. Y es la que probablemente más le interesará al lector que sigue de cerca el avance de la inteligencia artificial.
ZK-Sentinel integra ZKML —Zero-Knowledge Machine Learning— en su flujo de decisión. Dos modelos pequeños, una red neuronal recurrente (LSTM) y un perceptrón multicapa (MLP), entrenados para detectar patrones de estrés biométrico. Esos modelos se compilan a circuitos Halo2 con la herramienta EZKL, lo que significa que la inferencia del modelo se ejecuta dentro de una prueba de conocimiento cero. Ni los datos de entrada del usuario, ni los pesos del modelo, ni el output, son visibles desde fuera. Y aun así, el resultado de la inferencia condiciona la decisión del circuito sobre qué nullifier liberar.
Esto es ingeniería criptográfica de frontera. La integración de aprendizaje automático verificable dentro de un protocolo de privacidad financiera, condicionando un mecanismo anti-coerción, no se había documentado antes con esta combinación específica de componentes. La nota de cautela que el propio investigador incluye en su documentación es importante de citar: el modelo fue entrenado con datos sintéticos, y la validación con datos biométricos reales bajo protocolos éticos aprobados queda como trabajo futuro. Eso no es una debilidad —es honestidad académica.
La novena capa de defensa: la transferencia sigilosa anidada
Y todavía hay una más. Es la pieza que el investigador formaliza en la tesis como contribución novedosa: la Stealth Shielded Transfer, o transferencia sigilosa anidada.
La idea: en los protocolos previos, transferir un activo dentro de un pool a otra dirección requería retirar y re-depositar —operaciones costosas y observables—. ZK-Sentinel define una operación atómica que transfiere la propiedad de un compromiso dentro del mismo pool a una dirección sigilosa generada por el receptor, sin retirar, sin re-depositar, y sin revelar quién es el receptor. El ahorro de gas frente a la alternativa anterior es de aproximadamente 60%. La novedad técnica es que ningún protocolo público —Tornado Cash, Zcash, Railgun, Aztec, Umbra, Nocturne— combina pool de privacidad, transferencia atómica intra-pool, y direcciones sigilosas, en una sola operación.
Por qué esto es noticia desde la Argentina
La criptografía aplicada de frontera se construye, históricamente, en lugares muy concretos: el grupo de Eli Ben-Sasson en el Technion, el grupo de Dan Boneh en Stanford, los equipos de StarkWare, Aztec, o0Labs y Ethereum Foundation. Son grupos con presupuestos de cientos de millones, decenas de doctorandos, post-docs pagados y acceso a infraestructura de cómputo industrial.
La pregunta razonable es cómo termina apareciendo, en ese mapa, una contribución técnica desde un investigador individual en La Plata, dirigido por Marcelo Errecalde, Leticia Cagnina y Verónica Gil-Costa de la Universidad Nacional de San Luis, sin presupuesto institucional, financiando sus propias estadías de investigación y trabajando desde una habitación en un pueblo de Madrid.
La respuesta, observando con atención, no es romántica sino estructural. La frontera de la criptografía aplicada se ha vuelto, en los últimos cinco años, fundamentalmente democrática. Las herramientas son abiertas: Circom, snarkjs, Foundry, EZKL, Halo2. Los testbeds son públicos: Sepolia, Arbitrum Sepolia. La literatura académica circula en preprints accesibles. Lo que limita la entrada no es ya el capital ni el acceso institucional —es la combinación de tres cosas raras juntas: dominio matemático profundo, capacidad de ingeniería de sistemas a escala industrial, y la disciplina de escribir y publicar formalmente lo que se construye.
Esa combinación, cuando aparece, produce trabajo de frontera. Y produce —eventualmente— citas, prestigio académico y capacidad de influir en el diseño de los protocolos que mediarán la próxima década del internet financiero.
El portafolio editorial activo
ZK-Sentinel no es un trabajo aislado. Forma parte de un programa de investigación más amplio que incluye un protocolo de detección automatizada de vulnerabilidades en contratos inteligentes (Zentinel-Audit, con 55 herramientas integradas y una tasa de verificación del 63,6% sobre el benchmark estándar Damn Vulnerable DeFi), un detector de manipulación de oráculos en tiempo real, y una serie de seis papers sobre lavado de dinero algorítmico publicados en formato preprint.
Los venues académicos donde estos trabajos están en distintas etapas de revisión son los más exigentes del campo: IEEE Transactions on Dependable and Secure Computing, IEEE Symposium on Security and Privacy, ACM Conference on Computer and Communications Security, Financial Cryptography 2027, USENIX Security. La defensa de la tesis está prevista para enero de 2027 en la Facultad de Informática de la Universidad Nacional de La Plata.
Lo que queda pendiente, dicho con honestidad
Ningún sistema de criptografía aplicada está terminado en testnet. ZK-Sentinel todavía no fue auditado externamente por una firma profesional —el costo típico de una auditoría seria de un protocolo de este tamaño ronda los 200.000 a 500.000 dólares—. La ceremonia de trusted setup multipartita para producción todavía no se realizó. Los modelos ZKML fueron entrenados sobre datos sintéticos. El despliegue en mainnet requiere capital y tiempo que un investigador individual no tiene de forma trivial.
Eso no resta valor a lo construido. Lo encuadra. Lo que ZK-Sentinel demuestra hoy, sin lugar a dudas, es que el problema técnico —el wrench attack observacionalmente indistinguible, la integración de ZKML con anti-coerción, la transferencia sigilosa anidada, el cumplimiento granular— es resoluble. Esa demostración es la contribución científica. Lo que viene después es ingeniería, capital y tiempo.
“La criptografía moderna nos enseñó que la matemática puede proteger nuestra privacidad. Lo que faltaba era enseñarle a la matemática a protegernos cuando el atacante no es un algoritmo, sino una persona con la capacidad de hacernos daño.”
Mientras tanto, en una habitación en un pueblo de Madrid, la notebook sigue conectada al monitor externo. En la pantalla, un terminal sigue corriendo transacciones contra Sepolia. Cada una es matemáticamente indistinguible de la siguiente. Y en algún lugar del mundo, alguien que todavía no lo sabe, podría estar a salvo gracias a 92 contratos inteligentes que un argentino escribió, una línea por vez, durante dos años.