Cada vez más comerciantes en línea permiten pagar con la criptomoneda Bitcoin. Una de las grandes promesas de esta tecnología es el anonimato: las transacciones se registran y se hacen públicas, pero sólo se vinculan a una dirección electrónica. Así que compre lo que compre con sus bitcoins, la compra no se puede rastrear específicamente hasta usted.

Esto es útil para algunos, pero el anonimato no es perfecto. Los expertos en seguridad lo llaman privacidad seudónima, como escribir libros bajo un alias. Usted puede preservar su privacidad, siempre y cuando no esté vinculado al seudónimo. Pero en cuanto se crea un vínculo con uno de sus libros anónimos, la artimaña se revela. Todo su historial de escritura bajo su seudónimo se convierte en público. Del mismo modo, tan pronto como sus datos personales se vinculan a su dirección de Bitcoin, su historial de compra también se descubre.

Esto plantea una pregunta importante para las personas que desean usar Bitcoin para realizar compras anónimas: ¿cuán fácil resulta vincularlas con sus transacciones de Bitcoin?

Hoy recibimos una respuesta gracias al trabajo del investigador de la Universidad de Princeton (EEUU) Steven Goldfeder y unos cuantos colegas. El equipo afirma que la forma en que se producen fugas de información durante las compras ordinarias hace que sea sencillo vincular a las personas con las transacciones en Bitcoin que hacen, incluso cuando los compradores usan protecciones adicionales de privacidad, como CoinJoin.

Los principales culpables son los rastreadores web y las cookies, pequeños fragmentos de código deliberadamente incrustados en sitios web que envían información a terceros sobre la forma en que las personas utilizan el sitio. Los rastreadores web comunes envían información a Google, Facebook y otros para realizar un seguimiento del uso de las páginas, cantidades de compra, hábitos de navegación, etcétera. Algunos rastreadores incluso envían información personal identificable como nombre, dirección y correo electrónico.

De esta manera, la información sobre una transacción se filtra en la web, donde los gobiernos, las fuerzas de seguridad y los usuarios malintencionados pueden recopilarlos y analizarlos fácilmente.

La pregunta que Goldfeder y su equipo investigan es cómo de fácil es utilizar esta información para conectar a la gente y sus transacciones en Bitcoin. Este proceso requiere que el intruso conozca la información de identificación personal de un individuo (nombre y correo electrónico, por ejemplo) y, a continuación, la vincule con una dirección Bitcoin específica.

El equipo comenzó listando los principales comerciantes que permiten transacciones Bitcoin. Recopilaron 130 entre los que figuran Microsoft, NewEgg y Overstock.

A continuación estudiaron cómo los rastreadores web obtienen información de cada uno de estos sitios durante el proceso de compra. La investigación detalla: "Encontramos que al menos 53 de los 130 comerciantes filtran información de pago a un total de al menos 40 terceros, la mayor parte de las veces desde las páginas del carro de la compra".

La mayor parte de esta filtración de información es intencional con fines de publicidad y análisis. Pero los investigadores dicen que también se envía información adicional: "Encontramos que muchos sitios web mercantiles tienen fugas de información mucho más graves (y probablemente no intencionales) que revelan directamente la transacción exacta en la cadena de bloques a docenas de rastreadores".

Esa es una mala noticia para la gente que espera mantener en el anonimato sus compras con Bitcoin. Pero incluso cuando la transacción exacta se mantiene oculta, todavía es posible hacer el vínculo cuando la filtración incluye la cantidad y el momento de la compra.

En ese caso, el espía necesita convertir el importe de la compra a Bitcoins utilizando el tipo de cambio en ese momento y luego buscar en la cadena de bloques una transacción de esa cantidad en ese momento. Esto revela la dirección Bitcoin del usuario. Después, rastrear cualquier otra compra realizada usando esa dirección es cosa de niños.

Hay un par de factores adicionales que hacen este proceso más complicado. El rastreador web podría filtrar el coste del producto, pero no incluir el del envío, por lo que la compra total en Bitcoin puede no estar clara. También puede haber un lapso de tiempo entre el momento en que el usuario vio la página desde la que se filtró la información (desde la cesta de la compra, por ejemplo), y el momento en que se hizo efectiva la compra. Las compras con Bitcoin llevan un sello temporal, por lo que resulta más difícil rastrearlas si no se conoce el momento exacto.

El monto de la compra generalmente se da en una moneda local, como dólares o euros, y luego se convierte a Bitcoin en el momento de la compra. Debido a la gran variabilidad en los tipos de cambio de Bitcoin, puede ser difícil calcular el valor exacto de Bitcoin si el momento de compra no se conoce con exactitud.

Todos estos factores hacen que sea más difícil vincular a las personas a sus transacciones Bitcoin, pero no es imposible. Goldfeder afirma: "Encontramos que la vinculación única es posible en más del 60% de los casos para valores realistas de estos parámetros".

Hay formas de ocultar aún más las transacciones de Bitcoin. Una de las más populares es CoinJoin, un servicio que agrupa a los usuarios que quieren hacer pagos similares y luego les permite pagar juntos. Esto mezcla sus Bitcoins, haciendo más difícil identificarlos.

Pero Goldfeder y coautores señalan que si un individuo usa CoinJoin para hacer varias compras de esta manera, es fácil vincularlas. El investigador señala: "Si la víctima emplea tres rondas de CoinJoin y el adversario observa dos de los pagos de la víctima, puede vincularlas a su billetera (a pesar de la mezcla) con un 98% de precisión".

Hay varias maneras en que los compradores pueden protegerse usando herramientas como Ghostery, AdBlock Plus o uBlock Origin. Estos son útiles, pero a veces pueden omitir rastreadores y en otras ocasiones evitar las compras por completo. "Estas defensas pueden ser bastante efectivas, pero están lejos de ser perfectas", dicen Goldfeder y colaboradores.

Todo esto supondrá un jarro de agua fría para la gente que espera preservar su privacidad en línea. Pero también será música para los oídos de las fuerzas de seguridad que tengan la esperanza de perseguir actividades nefarias. "Al igual que prácticamente todos los ataques de desanonimización a las criptomonedas, nuestras técnicas podrían ser utilizadas para construir herramientas forenses para la aplicación de la ley", admiten Goldfeder y colegas. Y al igual que todas las técnicas de desanonimización, esto tendrá ventajas e inconvenientes.

Ref: arxiv.org/abs/1708.04748: When the Cookie Meets the Blockchain: Privacy Risks of Web Payments via Cryptocurrencies