Seguridad de frases mnemónicas BIP39: ¿Es posible romperlas?

En este artículo partiremos de los principios técnicos para analizar sistemáticamente los límites de seguridad de las frases mnemónicas y las claves privadas, y explicaremos por qué, bajo el estándar BIP39, romperlas mediante fuerza bruta es prácticamente imposible. A través de un examen profundo del espacio de combinaciones del vocabulario, ayudaremos al lector a disipar los malentendidos sobre colisiones de frases mnemónicas y a comprender el verdadero nivel de riesgo. Si deseas conocer los detalles matemáticos y de implementación detrás de todo esto, continúa leyendo.

Recientemente se ha vuelto común que alguien nos proporcione una dirección y nos pida “crackear” de forma cualitativa la clave privada del propietario. Puedo decirte con claridad que, debido a las limitaciones físicas del hardware actual, la probabilidad de lograr un ataque de fuerza bruta dirigido a una única dirección es prácticamente 0.

Las frases mnemónicas que cumplen con el estándar BIP39 son casi imposibles de romper; la probabilidad de colisión es menor que el número de átomos en el universo, lo que las hace inviable en la práctica. Incluso utilizando supercomputadoras de manera continua, resultaría extremadamente difícil obtener la misma frase mnemónica o la clave privada correspondiente en un tiempo razonable.

¿Podría una frase mnemónica ser descubierta mediante prueba y error?

Muchos usuarios se preocupan por la seguridad de las frases mnemónicas y temen que dos personas distintas puedan generar la misma frase que conduzca a la misma dirección. La respuesta es: no, no ocurre.

El estándar BIP39 más utilizado emplea un vocabulario fijo de 2 048 palabras. Las combinaciones más comunes son de 12 y 24 palabras:

• Combinaciones de 12 palabras: \(2048^{12} = 5.44 \times 10^{39}\)
• Combinaciones de 24 palabras: \(2048^{24} = 2.96 \times 10^{79}\)

Un número del orden de \(10^{79}\) se acerca a la cantidad total de átomos en el universo; por lo tanto, un ataque de fuerza bruta es inviable. Incluso si se utilizara la supercomputadora más potente desde el origen del cosmos hasta hoy, el cálculo seguiría siendo insuficiente.

El BIP39 define reglas estrictas para generar la semilla a partir de la frase mnemónica; las palabras deben combinarse siguiendo el orden del vocabulario. Introducir arbitrariamente 24 palabras aleatorias no producirá una dirección de criptomoneda válida. La probabilidad de que dos personas elijan exactamente la misma combinación de 24 palabras (incluyendo el orden) es \(1 / 2048^{24}\), equivalente a buscar un átomo específico dentro del universo.

En la práctica, incluso una combinación de 12 palabras ya ofrece una seguridad más que adecuada; a mayor número de palabras, mayor es la entropía de la semilla y, por ende, más difícil resulta una colisión.

Prueba el generador de frases mnemónicas de Ian Coleman (BIP39 - Mnemonic Code) y crea varias frases para percibir su aleatoriedad.

Cálculo detallado de la probabilidad de colisión

Aunque el algoritmo es público, el espacio real de colisiones equivale a aproximadamente \(2^{136}\). En una instancia de GPU de AWS de gama alta (p2.8xlarge, equipada con 8 × K80), se observó lo siguiente:

• Velocidad de cálculo: 80–88 M intentos/segundo (aprox. 8 × 10⁷ intentos/segundo)

Es decir, alrededor de 80 millones de pruebas por segundo. Incluso si la capacidad computacional ascendiera al nivel de 1 G (\(2^{30}\)) intentos, todavía se necesitarían \(2^{106}\) intentos, una cifra que permanece fuera de alcance.

La generación de direcciones de Bitcoin implica principalmente los algoritmos ECDSA, SHA‑256 y RIPEMD‑160. Con aceleración por GPU, estos pasos consumen muy poco tiempo; el cuello de botella se sitúa en el filtro Bloom. El filtro Bloom, implementado como una estructura de HASHMAP multinivel, brinda la máxima eficiencia para determinar si un elemento pertenece a un conjunto, aunque aún existen posibilidades de optimización.

Análisis de la distribución de prefijos de direcciones

Las direcciones de Bitcoin están codificadas en Base58, y sus prefijos siguen una distribución normal. Analizando todas las direcciones P2PKH registradas hasta diciembre 2018 (un total de 377 059 211), se extrajeron los primeros 4 caracteres y se contabilizó su frecuencia. Los diez prefijos más comunes (TOP 10) fueron:

1. 1bit – 23 600
2. 1btc – 23 086
3. 13vs – 21 895
4. 1gbx – 21 329
5. 1gbt – 21 267
6. 1gba – 21 267
7. 1gbb – 21 210
8. 1gbf – 21 206
9. 1gbu – 21 196
10. 1gbr – 21 189

Los prefijos más frecuentes son 1bit y 1btc, que superan al tercer lugar en aproximadamente 10 000 ocurrencias; probablemente se deba a usuarios que generan direcciones “personalizadas” por motivos de ostentación.

En total existen 42 877 combinaciones posibles para los prefijos de 4 caracteres de las direcciones P2PKH. Si el filtro Bloom aplica primero esta lista de prefijos en su nivel inicial antes de pasar al filtrado convencional, se logra una mejora de aproximadamente un orden de magnitud en la eficiencia.

En una máquina local con una GTX 750 Ti, la velocidad de colisión alcanzó los 10 M intentos/segundo. Cambiando a una GPU más potente, como la RX580, se podría igualar teóricamente el rendimiento de la GPU de AWS de gama alta. Sin embargo, incluso con un aumento de 10⁸ veces, solo se cubriría alrededor de \(2^{90}\) del espacio de búsqueda, lejos de ser suficiente.

Comparación entre colisión de claves privadas y poder de minería

En los primeros años del foro bitcointalk, Laszlo Hanyecz debatió si el avance del hardware permitiría que los ingresos por colisión de claves privadas superaran los de la minería. La respuesta de Satoshi Nakamoto fue que lograr esa capacidad de cómputo aún requeriría un tiempo extremadamente largo.

La potencia total de la red Bitcoin ronda los 40 EH (aprox. \(2^{62}\)), equivalente a 4 millones de ASIC Antminer S9 operando simultáneamente durante todo un año. Si la capacidad de colisión de claves privadas alcanzara ese mismo nivel, la probabilidad de colisión se reduciría apenas a alrededor de \(2^{-60}\), un valor todavía insignificante.

Adicionalmente, a medida que la conciencia de seguridad aumenta, las direcciones ya utilizadas son descartadas y los elementos del filtro Bloom se actualizan con frecuencia, lo que incrementa aún más la dificultad de colisión.

Incluso si en el futuro las tarifas de transacción aumentaran y la recompensa por bloque se redujera a la mitad, se estima que los ingresos por minería se mantendrán entre 1 y 10 BTC por bloque. Para lograr una colisión de clave privada válida dentro de un año, se requeriría una velocidad de cálculo de aproximadamente \(2^{90}\), que sigue estando muy por encima de las capacidades tecnológicas actuales.

Conclusión

• Las frases mnemónicas bajo el estándar BIP39 presentan una probabilidad de colisión prácticamente nula; romperlas en la práctica es inviable.
• Incluso empleando los clusters GPU más potentes o optimizando el filtro Bloom, el espacio de búsqueda supera con creces la capacidad computacional disponible.
• Los ingresos obtenidos por una colisión de clave privada no superarán, en el horizonte tecnológico previsible, a los ingresos provenientes de la minería.

Por lo tanto, atacar de forma dirigida la clave privada de una dirección específica es casi imposible; atacar aleatoriamente a un gran número de direcciones con fondos aumenta ligeramente la probabilidad de éxito, pero sigue siendo un evento de magnitud astronómica. Salvo la aparición de tecnologías disruptivas (por ejemplo, computación cuántica a gran escala), estos tipos de ataques no son factibles en la realidad.

Adaptación local

• Pagos: SPEI (México), PSE (Colombia), Mercado Pago (Argentina), Nequi (Colombia).
• KYC: INE en México, DNI en los demás países de LATAM.

Recordatorio fiscal: Cada país tiene sus propias obligaciones tributarias respecto a ganancias y transacciones en criptomonedas. Se recomienda consultar a un asesor fiscal local para cumplir con la normativa correspondiente.

Lectura Relacionada

• Seguridad de carteras: clave privada y seed phrase
• Conserva segura tu frase de recuperación y clave privada
• Comprar USDT de forma segura en Latinoamérica: guía completa

💡 Regístrate en Binance con el código B2345 para el descuento máximo en comisiones. Ver guía completa Binance.