¿Para qué sirven los mezcladores y por qué se persiguen?
Los servicios mezcladores (tumblers) aumentan la privacidad en las blockchains públicas: desdibujan el rastro entre remitente y destinatario. Al mismo tiempo, esa misma capacidad es utilizada activamente por hackers y blanqueadores de capitales. En consecuencia, los mezcladores se sitúan en el centro del conflicto entre el derecho a la confidencialidad y los objetivos de AML/controles de sanciones.
Por ello, este material tiene como objetivo explicar de forma clara y detallada cómo están construidos los mezcladores (incluido Tornado Cash), cuáles son sus posibles usos y riesgos, cómo los ven los reguladores y, por último, hacia dónde evoluciona la regulación de la privacidad en cripto.
Qué son los mezcladores y cómo funcionan
CoinJoin: transacción on‑chain conjunta con múltiples entradas y salidas; tras ella, por lo general, resulta imposible asociar de forma inequívoca qué entrada corresponde a qué salida.
Mezclador por contrato inteligente: contrato en la red (p. ej., Ethereum) donde depósito y retirada se separan en el tiempo y se confirman mediante una prueba ZK sin revelar el vínculo; es decir, se verifica el «conocimiento del secreto», no la ruta de los fondos.
Servicio con custodia: el operador toma tus monedas bajo control, las mezcla y devuelve otras — más sencillo, pero requiere confiar en el operador.
Enfoque sin custodia: tus fondos no pasan a un tercero (por ejemplo, CoinJoin en wallets); aun así, errores de higiene de direcciones merman la privacidad.
Historia y evolución: de los tumbler a los mezcladores ZK
| Servicio/enfoque | Red | Tipo | Estatus | Tecnología clave | Características/riesgos |
|---|---|---|---|---|---|
| Tornado Cash | Ethereum | Sin custodia | 🟡 Funciona exclusión de OFAC 21.03.2025 | zk-SNARK |
|
| Wasabi (CoinJoin) | Bitcoin | Sin custodia | 🟢 Activo | CoinJoinWabiSabi |
|
| Samourai Whirlpool | Bitcoin | Sin custodia | 🟢 Activo | CoinJoin |
|
| ChipMixer | Bitcoin | Con custodia | ⛔ Cerrado operativo de fuerzas del orden | «Fichas» (chips) |
|
| Blender.io | Bitcoin | Con custodia | ⛔ Sanciones de OFAC desde 2022 | Tumbler |
|
| Sinbad.io | Bitcoin | Con custodia | ⛔ Incautación/embargo | Tumbler |
|
| JoinMarket | Bitcoin | Sin custodia | 🟢 Activo | CoinJoin |
|
Tornado Cash: diseño, sanciones y debates
Cómo funciona Tornado Cash
Mecánica: pools de depósito de denominaciones fijas, emisión de «notes» (secretos) y retirada posterior con prueba ZK → se forma un conjunto de anonimato.
- En primer lugar, no hay operador con custodia: la lógica reside en el contrato inteligente.
- En segundo lugar, el anonimato crece con el número de depósitos de igual denominación.
- Por último, existe un compromiso: comodidad y fortaleza de la privacidad vs riesgos regulatorios.
✅ Puntos a favor
- Privacidad robusta en L1 sin confiar en un intermediario.
- Modelo verificable criptográficamente (zk‑SNARK).
- En consecuencia, baja dependencia de intermediarios de infraestructura.
❌ Puntos en contra
- Persisten riesgos de cumplimiento normativo para residentes de jurisdicciones estrictas.
- La «etiqueta» a la salida puede alertar a exchanges/servicios KYC.
- Errores de UX (reutilización de direcciones, fusión de UTXO) reducen la privacidad.
Lo esencial: Tornado Cash mostró los límites de «prohibir código» y, a la vez, planteó al sector la difícil cuestión de la responsabilidad de los desarrolladores de protocolos de privacidad.
Importante: verifica el estatus vigente en tu jurisdicción. En EE. UU., las direcciones de Tornado Cash fueron excluidas de la SDN el 21.03.2025; además, los controles de cumplimiento normativo de los proveedores se mantienen.
Casos precedentes y actualizaciones 2024–2025
Actualizaciones regulatorias
- 21 de marzo de 2025, EE. UU.: OFAC excluyó las direcciones de Tornado Cash de la lista SDN (delisting oficial); en consecuencia, el riesgo de sanciones sobre las direcciones del protocolo en EE. UU. se eliminó.
- UE 2024–2025: aprobado el paquete AML (AMLR/AMLA): desde el 10 de julio de 2027 los CASP en la UE no podrán proporcionar ni alojar cuentas cripto anónimas ni servicios/activos que aumenten la ofuscación (incluidas las anonymity‑enhancing coins); además, la Travel Rule rige en la UE desde el 30.12.2024.
Precedentes judiciales
En breve: el entorno regulatorio se suavizó en EE. UU. (delisting de OFAC), mientras que en la UE se refuerza el control a través de proveedores (CASP) y la Travel Rule; por tanto, los usuarios siguen necesitando higiene de direcciones y cautela al off‑ramp.
Otros mezcladores y enfoques: Wasabi, Whirlpool, ChipMixer, Blender, Sinbad
Wasabi / Whirlpool (CoinJoin)
Es decir, wallets de autocustodia con CoinJoin: no entregas tus monedas a un operador, sino que te conectas con participantes para transacciones conjuntas.
- En primer lugar, Wasabi (WabiSabi) — importes arbitrarios y mezcla por rondas.
- En segundo lugar, Whirlpool — pools de denominaciones fijas y «lavado» reiterado.
✅ Puntos a favor
- Modelo sin custodia: los fondos permanecen bajo control del usuario.
- Además, profunda integración con Tor y soporte de hardware wallets.
- Por último, UX maduro y amplia disponibilidad.
❌ Puntos en contra
- El coordinador en algunas soluciones introduce riesgo de censura de UTXO.
- Se requiere liquidez y tiempo para las rondas.
- Y, por supuesto, persisten comisiones y riesgo de errores de privacidad.
Lo esencial: CoinJoin sigue siendo un compromiso funcional para la privacidad en BTC si, primero, se mantiene higiene de direcciones y, segundo, no se mezclan UTXO «limpios» con «etiquetados».
ChipMixer / Blender / Sinbad (tumbler)
He aquí los «blenders» con custodia clásicos: el operador recibe depósitos, mezcla y retira a nuevas direcciones.
- Por un lado, se logra una ofuscación intensa de flujos.
- Por otro, la vulnerabilidad frente a las fuerzas del orden sigue siendo alta.
✅ Puntos a favor
- Rápido y sencillo para el usuario final.
- A veces, mezcla muy profunda con pools grandes.
❌ Puntos en contra
- Riesgo de pérdida de fondos en redadas y cierres.
- El operador puede conservar logs o cooperar con investigaciones.
- Alta «toxicidad» del origen de las monedas para el cumplimiento normativo.
Lo esencial: la era de los mezcladores centralizados se desvanece: los riesgos legales suelen pesar más que la comodidad.
Regulación: EE. UU., UE y casos clave
Términos y marcos clave
OFAC / SDN: Oficina de Control de Activos Extranjeros de EE. UU. y su lista de personas/direcciones bloqueadas. El 21.03.2025 Tornado Cash fue excluido de la SDN.
IEEPA: Ley de Poderes Económicos de Emergencia Internacional de EE. UU.; bajo ella, OFAC impone sanciones. En el caso Van Loon, la apelación consideró que los contratos inteligentes inmutables no constituyen «propiedad» según la IEEPA.
Section 311 (FinCEN): medida especial para «clases de transacciones con alto riesgo de blanqueo»; en 10/2023 FinCEN propuso incluir el CVC mixing en dicha clase (NPRM), con obligaciones de reporte adicionales para entidades financieras.
AMLR / AMLA (UE): nuevo reglamento y autoridad de supervisión AML/CFT de la UE. Desde el 10.07.2027 los CASP no podrán proporcionar ni alojar cuentas cripto anónimas ni servicios/activos que aumenten la ofuscación (incluidas privacy‑coins).
Travel Rule (UE): regla de transmisión de datos del remitente y destinatario para transferencias de criptoactivos por parte de proveedores (CASP). En la UE rige desde el 30.12.2024 según el Reglamento (UE) 2023/1113.
EE. UU.: sanciones, FinCEN y causas penales
En primer lugar, tras el delisting de Tornado Cash, los riesgos de sanciones se redujeron específicamente para la interacción con direcciones del protocolo. En segundo lugar, persisten riesgos penales para personas concretas (véanse los casos de desarrolladores). Por último, la iniciativa de FinCEN en virtud de la Section 311 refuerza las obligaciones de reporte de bancos y compañías de pago respecto al CVC mixing.
UE: AMLR/AMLA y Travel Rule
Por un lado, la UE enfatiza el papel de los proveedores (CASP) y los datos de las transferencias (Travel Rule). Por otro, las wallets de autocustodia no están prohibidas. En consecuencia, los usuarios se topan con filtros precisamente en las rampas de entrada y salida de compañías licenciadas.
Reino Unido: supervisión basada en riesgos
Como resultado de la implantación de la Travel Rule y el enfoque de la FCA, el énfasis también se desplaza a la verificación del origen de fondos y a la analítica de comportamiento. Las herramientas técnicas de privacidad no están prohibidas directamente.
Panorama general
- EE. UU.: en primer lugar, se corrigen las listas de sanciones; en segundo, hay causas contra operadores y desarrolladores; en suma, FinCEN pone el acento en el reporte para instituciones financieras.
- UE: prohibiciones para CASP sobre cuentas anónimas y «anonymity‑enhancing coins» hacia el 10.07.2027; además, la Travel Rule ya rige.
- Tendencia: el foco se desplaza del «código» a los frontends, la infraestructura y los responsables/gobernanza de las DAO.
Resumen por regiones
| Región | Estatus de los mezcladores / Tornado Cash | Tendencia 2025→2027 | Qué debería hacer el usuario |
|---|---|---|---|
| EE. UU. US | Se levantaron las sanciones (delisting 21.03.2025). Las causas contra fundadores van aparte. |
FinCEN impulsa la medida especial 311 para CVC mixing (NPRM 10/2023). Finalización — en curso. |
Segregar direcciones y espaciar en el tiempo; evitar enlaces directos a KYC tras un mezclador. |
| UE EEA | AMLR: prohibición para CASP de cuentas cripto anónimas y de servicios/activos que aumenten la ofuscación (incluidas privacy‑coins). La Travel Rule rige desde el 30.12.2024. |
AMLR se aplica desde el 10.07.2027. | Planificar el off‑ramp: monedas privadas/modo anónimo no pasarán por CASP. |
| Reino Unido UK | Travel Rule en vigor desde el 01.09.2023, supervisión basada en riesgos (FCA). Casos puntuales/analítica de cadena. |
Convergencia con FATF, presión sobre proveedores. | Higiene de direcciones; segregación UTXO/direcciones; evitar depósitos directos tras mezcladores. |
Qué significa en la práctica
Por qué se usan: privacidad vs abusos
Escenarios legítimos
- En primer lugar, proteger el secreto financiero de particulares y empresas.
- En segundo lugar, seguridad: no revelar el balance ni la trayectoria de la wallet principal.
- Por último, donaciones anónimas y actividad en regímenes represivos.
Lo esencial: la privacidad es una necesidad legítima; así, su ausencia en registros públicos crea riesgos reales para los usuarios.
Abusos
- Blanqueo de ganancias tras hacks/estafas y elusión de sanciones.
- También, «lavado» de ingresos de mercados darknet y ransomware.
- Además, ocultación de rastros de corrupción y suministros ilegales.
Importante: mezclar no garantiza anonimato total: errores de higiene de direcciones, coincidencias de importes/tiempos y la salida a plataformas KYC — todo ello, por desgracia, aumenta la probabilidad de desanonimización.
Práctica de cumplimiento normativo: higiene rápida de direcciones
Conjunto mínimo de pasos que reduce la «etiqueta» de las transacciones y el riesgo de preguntas por parte de exchanges y bancos.
- Segrega fondos «limpios» y fondos que hayan rozado mezcladores o monedas privadas (direcciones/wallets distintas).
- Luego, respeta demoras temporales; evita importes o patrones únicos que te destaquen del pool.
- Después, no fusiones UTXO con historiales distintos en una sola salida; evita reutilizar direcciones.
- Tras un mezclador, no retires directamente a un exchange KYC; crea una capa intermedia (y no hacia tu cuenta principal).
- Por último, lleva un mini «expediente» de las trayectorias de fondos (enlaces a tx/capturas): acelerará las respuestas a solicitudes de cumplimiento.
Alternativas a los mezcladores: monedas privadas, LN, enfoques ZK
Monero (XMR): privacidad «por defecto» (firmas en anillo, direcciones stealth, RingCT); en consecuencia, al observador le resulta más difícil asociar remitente e importe.
Zcash (ZEC): privacidad opcional mediante zk‑SNARK (direcciones «blindadas» z‑addr); sin embargo, no todos utilizan los pools blindados.
Lightning Network: pagos off‑chain y enrutamiento en cebolla que aumentan la privacidad del uso de BTC; además, las comisiones suelen ser menores que on‑chain.
Privacy Pools: pruebas ZK de «limpieza» de fondos sin revelar la ruta — un intento de conciliar privacidad y AML; así, aparece espacio para un «cumplimiento anónimo».
Cómo medir la privacidad en la práctica
- Anonymity set: cuántos depósitos o retiros del mismo tipo «cubren» tu transacción.
- Linkability (vinculabilidad): probabilidad de vincular entrada y salida por importes, tiempos o comportamiento.
- Entropy (entropía): cuán equiprobables son los candidatos de correspondencia para tu transacción.
Posibles vías de regulación y equilibrio de intereses
- Neutralidad tecnológica: apuntar a los delitos, no a las herramientas.
- Responsabilidad de desarrolladores: línea fina entre publicar código y favorecer el blanqueo.
- Licenciar mezcladores: prácticamente inaplicable sin destruir la privacidad.
- Prohibiciones directas: eficaces contra servicios con custodia, pero alejan a usuarios legítimos.
- Invertir en analítica: cuanto mayor sea la capacidad de esclarecimiento, menor la necesidad de prohibiciones.
- Compromisos ZK: divulgación selectiva y pruebas de «limpieza» sin desanonimización.
La respuesta sistémica debe nacer del diálogo entre la industria y los reguladores. Las prohibiciones por sí solas alejan a los usuarios legítimos y no eliminan las causas raíz de la criminalidad; no obstante, ignorar los abusos es imposible. El equilibrio es alcanzable combinando persecución dirigida de infractores, normas tecnológicamente neutrales e implantación de «cumplimiento anónimo» basado en ZK.
Lo esencial: la privacidad no es enemiga de la ley. Así, el objetivo es un sistema financiero que, al mismo tiempo, respete los derechos individuales y garantice la seguridad.