Key Takeaways
Una vulnerabilidad de alta gravedad en Bitcoin Core, el principal software cliente de la red Bitcoin, podría permitir que los mineros colapsen los nodos sin parchear, según una revelación pública de los desarrolladores el 6 de mayo de 2026. Se estima que el 43 por ciento de los nodos de la red siguen expuestos al error, que fue parcheado hace más de un año.
La vulnerabilidad, etiquetada como CVE-2024-52911, fue un error de memoria de "uso después de la liberación" (use-after-free) descubierto por Cory Fields, de la Iniciativa de Moneda Digital del MIT, según el aviso oficial. Fields informó del problema de forma privada el 2 de noviembre de 2024, lo que permitió a los desarrolladores publicar discretamente una solución antes de que actores malintencionados pudieran explotarla.
El error afecta a todas las versiones de Bitcoin Core desde la 0.14.0 hasta la 28.x. Podría activarse si un minero con suficiente potencia de hash enviara un bloque inválido especialmente diseñado, provocando la caída de los nodos vulnerables. Dado que el fallo es un error de memoria, el comunicado afirma que la ejecución remota de código era una posibilidad, aunque poco probable. La corrección se incluyó en la versión 29.0 de Bitcoin Core, lanzada en abril de 2025.
El riesgo principal es la estabilidad de la red, ya que una explotación exitosa podría dejar fuera de línea a una parte significativa de los nodos. El elemento disuasorio integrado del ataque es su coste: un minero tendría que gastar importantes recursos de prueba de trabajo para minar un bloque inválido, renunciando a cualquier recompensa de bloque. Sin embargo, con aproximadamente el 43 por ciento de los nodos ejecutando todavía software vulnerable, según los datos del panel de Clark Moody, la revelación pone de manifiesto el reto constante de coordinar las actualizaciones en un ecosistema descentralizado.
El manejo de la CVE-2024-52911 sirve como estudio de caso sobre la divulgación responsable. Tras el informe privado en noviembre de 2024, el desarrollador de Bitcoin Core Pieter Wuille presentó una solución encubierta solo cuatro días después, etiquetándola erróneamente de forma deliberada para evitar alertar sobre la vulnerabilidad a posibles atacantes. La solución se fusionó en diciembre de 2024 y se distribuyó en abril de 2025. Los desarrolladores esperaron hasta mayo de 2026 para la divulgación pública, después de que la última versión vulnerable del software, la 28.x, llegara oficialmente al final de su vida útil.
En una publicación en X, el desarrollador Niklas Gögge señaló que este fue "el primer problema de seguridad de memoria de la historia" en aproximadamente dos años de avisos de seguridad públicos del proyecto, acreditando a Fields por el proceso de divulgación responsable. El error no afectó a las reglas de consenso de Bitcoin ni introdujo ningún cambio en la cadena.
El incidente subraya la importancia crítica de que los operadores de nodos mantengan su software actualizado a la última versión para garantizar la seguridad y estabilidad de la red.
Este artículo tiene fines informativos únicamente y no constituye asesoramiento de inversión.
