211service.com
Las transacciones de Bitcoin no son tan anónimas como todos esperaban
Un número cada vez mayor de comerciantes en línea ahora ofrecen la posibilidad de pagar con la criptomoneda Bitcoin. Una de las grandes promesas de esta tecnología es el anonimato: las transacciones se registran y se hacen públicas, pero se vinculan únicamente con una dirección electrónica. Entonces, independientemente de lo que compre con sus bitcoins, la compra no se puede rastrear específicamente hasta usted.
Esto es útil para algunos, pero el anonimato no es perfecto. Los expertos en seguridad lo llaman privacidad seudónima, como escribir libros bajo un seudónimo. Puede preservar su privacidad mientras el seudónimo no esté vinculado a usted. Pero tan pronto como alguien hace el enlace a uno de sus libros anónimos, se revela la artimaña. Todo su historial de escritura bajo su seudónimo se hace público. Del mismo modo, tan pronto como sus datos personales se vinculen a su dirección de Bitcoin, también se revelará su historial de compras.
Eso plantea una pregunta importante para las personas que esperan usar Bitcoin para realizar compras anónimas: ¿qué tan fácil es vincularlas con sus transacciones de Bitcoin?
Hoy recibimos una respuesta gracias al trabajo de Steven Goldfeder en la Universidad de Princeton y varios amigos. Estos tipos dicen que la forma en que se filtra la información durante las compras ordinarias hace que sea sencillo vincular a las personas con las transacciones de Bitcoin que realizan, incluso cuando los compradores usan protecciones de privacidad adicionales, como CoinJoin.
Los principales culpables son los rastreadores web y las cookies: pequeños fragmentos de código incrustados deliberadamente en sitios web que envían información a terceros sobre la forma en que las personas usan el sitio. Los rastreadores web comunes envían información a Google, Facebook y otros para rastrear el uso de la página, las cantidades de compra, los hábitos de navegación, etc. Algunos rastreadores incluso envían información de identificación personal, como su nombre, dirección y correo electrónico.
De esta manera, la información sobre una transacción se filtra a la Web, donde los gobiernos, las fuerzas del orden público y los usuarios malintencionados pueden recopilarla y analizarla fácilmente.
La pregunta que investigan Goldfeder y compañía es qué tan fácil es usar esta información para conectar a las personas con sus transacciones de Bitcoin. Este proceso requiere que el intruso conozca la información de identificación personal de una persona (nombre y correo electrónico, por ejemplo) y luego la vincule con una dirección de Bitcoin específica.
El equipo comenzó enumerando a los principales comerciantes que permiten transacciones con Bitcoin. Se les ocurrieron 130 de ellos, incluidos Microsoft, NewEgg y Overstock.
Luego estudiaron cómo los rastreadores web filtran información de cada uno de estos sitios durante el proceso de compra. Descubrimos que al menos el 53/130 de los comerciantes filtran información de pago a un total de al menos 40 terceros, con mayor frecuencia desde las páginas del carrito de compras, dicen Goldfeder y compañía.
La mayor parte de esta fuga de información es intencional con fines publicitarios y analíticos. Pero los investigadores también dicen que también se envía información adicional. Descubrimos que muchos sitios web de comerciantes tienen filtraciones de información mucho más graves (y probablemente no intencionales) que revelan directamente la transacción exacta en la cadena de bloques a docenas de rastreadores, dicen.
Esas son malas noticias para las personas que esperan mantener sus compras de Bitcoin en el anonimato. Pero incluso cuando la transacción exacta se mantiene oculta, aún es posible establecer el enlace cuando la filtración incluye el monto y el tiempo de la compra.
En ese caso, el intruso debe convertir el monto de la compra en Bitcoins utilizando el tipo de cambio en ese momento y luego buscar en la cadena de bloques una transacción de ese monto en ese momento. Esto revela la dirección Bitcoin del usuario. Cualquier otra compra realizada con esa dirección es trivial de rastrear.
Hay un par de factores adicionales que hacen que este proceso sea más complicado. El rastreador web puede filtrar el costo del producto pero no incluir el envío, por lo que la compra total de Bitcoin puede no estar clara.
También puede haber una brecha entre el momento en que el usuario vio la página de la que se filtró la información (el carrito de pago, por ejemplo) y el momento en que realmente se realizó la compra. Las compras de Bitcoin tienen una marca de tiempo, por lo que es más difícil rastrearlas si no se conoce la hora con precisión.
El monto de la compra generalmente se da en una moneda local, como dólares o libras, y luego se convierte en Bitcoin en el momento de la compra. Debido a la gran variabilidad en las tasas de cambio de Bitcoin, puede ser difícil calcular el valor exacto de Bitcoin si no se conoce con precisión el tiempo de compra.
Todos estos factores hacen que sea más difícil vincular a las personas con sus transacciones de Bitcoin, pero de ninguna manera es imposible. Encontramos que la vinculación única es posible en más del 60% de los casos para valores realistas de estos parámetros, dicen los investigadores.
Hay formas de ocultar aún más las transacciones de Bitcoin. Uno de los más populares es CoinJoin, un servicio que vincula a los usuarios que desean realizar pagos similares y luego les permite pagar juntos. Esto mezcla sus bitcoins, lo que dificulta su identificación.
Pero Goldfeder y compañía señalan que si una persona usa CoinJoin para realizar varias compras de esta manera, es sencillo volver a vincularlas: si la víctima emplea 3 rondas de CoinJoin y el adversario observa dos de los pagos de la víctima, puede vincularlos de vuelta a su billetera (a pesar de la mezcla) con un 98% de precisión.
Hay varias formas en que los compradores pueden protegerse utilizando herramientas como Ghostery, AdBlock Plus o uBlock Origin. Estos son útiles, pero a veces pueden pasar por alto los rastreadores y otras veces impiden las compras por completo. Tales defensas pueden ser bastante efectivas, pero están lejos de ser perfectas, dicen Goldfeder y compañía.
Todo esto será una noticia deprimente para las personas que esperan preservar su privacidad en línea.
Pero también será música para los oídos de los organismos encargados de hacer cumplir la ley que esperan rastrear actividades nefastas. Al igual que prácticamente todos los ataques de anonimización de las criptomonedas, nuestras técnicas podrían usarse para crear herramientas forenses para uso de las fuerzas del orden, admiten Goldfeder y compañía.
Y como todas las técnicas de desanonimización, eso tendrá ventajas y desventajas.
Ref: arxiv.org/abs/1708.04748 : Cuando la cookie se encuentra con la cadena de bloques: riesgos de privacidad de los pagos web a través de criptomonedas