Cómo leer una transacción de Bitcoin: guía completa de análisis en cadena

El registro público de bitcoin no es solo una base de datos, sino una herramienta extremadamente poderosa para el análisis. Cada transacción deja una huella imborrable, y con la habilidad adecuada, cualquier transferencia se puede rastrear desde el remitente hasta el destinatario. Toda una industria se ha construido sobre esto: los traders siguen el movimiento de las ballenas, los expertos en análisis forense de blockchain recuperan fondos robados, y los departamentos de cumplimiento filtran las monedas "sucias". En este artículo, analizaré cómo analizar transacciones de forma independiente, automatizar el proceso y dónde están los límites incluso del rastreo más avanzado.
Parte 1. Análisis manual de transacciones
Paso 1. Búsqueda de una transacción por TXID
Cada transferencia en la blockchain tiene un identificador único: TXID, o hash de transacción. Es una cadena de 64 caracteres generada por el algoritmo SHA-256 basada en todos los datos de la transferencia: entradas, salidas, montos y firmas. Es prácticamente imposible falsificar dicho hash: el más mínimo cambio en los datos produce un resultado completamente diferente. En esencia, es un "número de recibo" con el que cualquier nodo de la red puede encontrar y verificar la operación.
¿Cómo obtener el TXID? Si la transferencia ya se realizó, abra el historial de la billetera o el exchange; junto a la operación suele haber un enlace "Ver en el explorador". Si solo tiene la dirección del remitente o destinatario, péguela en la barra de búsqueda de cualquier explorador de blockchain. Se abrirá el historial de la dirección, donde podrá identificar la transacción deseada por el monto y la fecha, y su hash se encontrará en la página de la operación misma.
Paso 2. Analizamos la estructura de la transacción: entradas, salidas y cambio
A diferencia de una cuenta bancaria, bitcoin no almacena el saldo como un número único. La red funciona según el modelo UTXO (Unspent Transaction Output): los fondos existen como "billetes" individuales de diferentes denominaciones. No se puede gastar un "billete" parcialmente; al pagar, se consume por completo y, a cambio, la red crea dos nuevas salidas: una para el destinatario y la segunda como cambio de vuelta al remitente a una dirección nueva.
Ejemplo: Alice tiene una salida de 5 BTC y transfiere 0,01 BTC a Bob. En la blockchain aparece una entrada de 5 BTC, un pago de 0,01 BTC y un cambio de ~4,99 BTC (menos la comisión). Cualquier observador puede ver esta operación a través del explorador: un pago "redondo" se distingue fácilmente de un cambio "fraccionario". En esta característica se basa la determinación de la dirección de cambio en el análisis forense de blockchain.
Paso 3. Verificamos las confirmaciones y el mempool
Una transacción enviada no llega instantáneamente a la blockchain. Primero, termina en el mempool, una cola común de operaciones que esperan ser incluidas en un bloque. Los mineros dan prioridad a las operaciones con comisiones más altas, por lo que con una comisión demasiado baja, la transferencia puede quedarse atascada por mucho tiempo. Tan pronto como la operación entra en un bloque, recibe su primera confirmación. Con cada bloque posterior, el nivel de confiabilidad aumenta y la probabilidad de cancelación se vuelve cada vez menor. Para sumas pequeñas, generalmente bastan una o dos confirmaciones; para sumas grandes, seis.
Es fácil seguir esto en tiempo real mediante el hash: el explorador mostrará si la transferencia está en la cola, en qué bloque entró, cuántas confirmaciones ha recibido y qué comisión pagó el remitente.
Paso 4. Rastreamos el camino de la moneda
Cada entrada de una nueva operación hace referencia a una salida específica de una de las anteriores, mediante su hash. Por lo tanto, las transferencias no se acumulan en una sola cadena, sino en una red ramificada. El movimiento de los fondos se puede rastrear en ambas direcciones: hacia adelante a nuevas direcciones y hacia atrás, hasta la transacción coinbase, donde las monedas aparecieron por primera vez como recompensa por minar un bloque. En la práctica, el analista sigue las direcciones de salida y observa hacia dónde fueron los fondos después, paso a paso, hasta que se forma la cadena completa. Así, en la blockchain aparecen rutas características: una transferencia a un exchange, la fragmentación de una suma grande o la retirada de fondos robados a través de varias billeteras intermedias.
Parte 2. Automatización del análisis
El análisis manual es bueno para una o dos transacciones, pero el registro se actualiza cada segundo. Aquí es donde la automatización viene al rescate: los programas solicitan datos de la red por sí mismos, calculan indicadores y envían notificaciones. Analicemos tres niveles de automatización.
Paso 5. Nos conectamos a los datos a través de API
El primer nivel es el acceso programático a la blockchain a través de la API de nodos y exploradores. Por ejemplo, el servicio mempool.space tiene una API REST para solicitudes únicas y una API WebSocket para una conexión permanente, que envía actualizaciones por sí misma. Para verificaciones masivas, son adecuados Blockchair y Bitquery: devuelven datos de muchas direcciones a la vez y admiten webhooks.
Paso 6. Automatizamos la analítica
El segundo nivel son las plataformas que permiten escribir una consulta una vez y obtener un panel listo. En Dune, los datos de la blockchain se consultan en lenguaje SQL y se muestran en gráficos; un informe sobre flujos de exchange o actividad de ballenas se actualiza solo. Flipside funciona de manera similar con un Python-SDK gratuito. La diferencia clave con el método manual: la consulta se escribe una vez y funciona constantemente.
Paso 7. Configuramos monitoreo y alertas
El tercer nivel son las notificaciones en lugar de actualizar la página manualmente. La combinación "API más bot" monitorea las direcciones deseadas y envía una señal tan pronto como los fondos entran o salen. Plataformas como Arkham ofrecen notificaciones listas sobre transferencias y actividad de ballenas. Para una lógica de procesamiento propia, son adecuados los webhooks.
Parte 3. Rastreo y sus límites
Paso 8. Cómo funciona el análisis forense de blockchain
La cúspide de la automatización es el rastreo de monedas robadas. Los motores forenses repiten la lógica del análisis manual, pero a escala de toda la red. La base es la agrupación de direcciones mediante heurísticas. Dos clave: "entrada común" (si en una transacción se gastan varios UTXO, es muy probable que sean controlados por un mismo propietario) y "determinación de la dirección de cambio". Sobre la agrupación, se añade el reconocimiento de esquemas típicos de lavado, como la fragmentación de sumas o el "peeling". Luego viene la evaluación de riesgo y la atribución: la vinculación de grupos a exchanges, servicios o personas reales.
Paso 9. ¿Se puede confiar en la automatización?
El análisis automático tiene una limitación fundamental. La agrupación da una probabilidad, no un hecho. Las heurísticas se equivocan: por ejemplo, la tecnología CoinJoin combina deliberadamente UTXO de diferentes usuarios en una misma transacción, lo que hace que la regla de entrada común falle. Bitcoin no proporciona anonimato, sino seudonimato, una propiedad más débil que un análisis persistente a menudo "rompe", pero no siempre. El resultado sigue siendo una estimación, aunque bien fundamentada. Como destacan en Chainalysis, las heurísticas de atribución dan un resultado probabilístico, no una certeza. Por lo tanto, vale la pena distinguir entre la agrupación automática de direcciones y la atribución verificada por humanos: la primera es una hipótesis, la segunda es una conclusión.
El registro público hace que cada transferencia de bitcoin sea rastreable. Para el trabajo manual, basta con lo básico: conocer el TXID, entender el modelo UTXO y la mecánica del cambio, leer entradas, salidas y confirmaciones en el explorador. La automatización escala este trabajo, y el análisis forense con agrupación proporciona hipótesis, no pruebas. Mi consejo: domine el tema de abajo arriba: primero el explorador, luego la API y los paneles, y solo después las herramientas especializadas. Cuanto más profundo sea el rastreo, más importante será distinguir lo probable de lo probado.