Una de las bases fuertes de la tecnología blockchain ha sido la idea de que puede sostener el anonimato de sus usuarios al momento de hacer una transacción en la red Bitcoin. Sin embargo, durante los últimos tres años varios desarrollos han estado enfocados en reforzar esa idea porque el sistema no ofrecía toda la seguridad y el anonimato que los usuarios exigen.
Un reciente estudio, a cargo de un grupo de investigadores liderados por Arvind Narayanan, profesor de la Universidad de Princeton, reveló cómo puede filtrarse información a través de distintos sitios web utilizados por la comunidad para hacer sus compras online.
El punto crucial de la fuga de información recae directamente en la capacidad que tienen los rastreadores de terceros de intervenir en los procesos de compras por internet. En el momento de realizar una compra la información sobre el precio del producto, la dirección web desde dónde se hace la solicitud de compra o incluso la información personal de un cliente, puede filtrarse a través de servicios que rastrean datos para otras compañías.
Según Arvind Narayanan, esa fuga de información puede conducir a un posible atacante hasta la llave pública de un usuario de Bitcoin. Por supuesto, hay algunas soluciones que mitigan estas vulnerabilidades. Por ejemplo, una manera de proteger las direcciones de las carteras Bitcoin es mediante extensiones de exploradores. Un servicio que ofrecen Adblock Plus y uBlock.
En este sentido, el grupo de investigadores realizó pruebas a través de un método de anonimato denominado CoinJoin, diseñado por Gregory Maxwell, que fue diseñado para mezclar varias direcciones de carteras de dos o más usuarios de manera simultánea, y posteriormente mezclarlas durante las transacciones para ocultar la procedencia de cada una de las transacciones.
Utilizando una herramienta de medición de la privacidad denominado OpenWPM, el grupo de investigadores realizó un seguimiento a 130 sitios que aceptan Bitcoin. El resultado del análisis que pueden leer en su detallado estudio, es que la información se fuga tanto de los comercios que ofrecen el servicio de compra como de las carteras, incluso cuando están protegidas por sistemas como CoinJoin.
La descripción del procedimiento puede resumirse de la siguiente manera: un usuario hace compras en dos sitios y luego se dirige a un tercero. Cada uno de los sitios donde este usuario hace compras tiene el mismo sistema de seguimiento que cede la información a un tercero. A través de la primera compra el comerciante cede el código QR de la transacción. El rastreador enlaza las tres compras por medio de las cookies del navegador del usuario. Posteriormente, el rastreador es capaz de identificar las cantidades de bitcoins en la blockchain que corresponden a las primeras dos compras.
Incluso si el usuario tomó la precaución de utilizar CoinJoin para evitar revelar de dónde provine el bitcoin, el rastreador puede identificar que ambas transacciones se hicieron a través de CoinJoin, sólo porque es posible confirmar que la misma cartera o dirección estuvo involucrada en las dos compras hechas por el método CoinJoin.
Evidentemente, el problema del anonimato en la red Bitcoin es un área de investigación que está siendo tomada en cuanta por numerosos investigadores. Otras plataformas como Zcash y Monero ofrecen protocolos y criptomonedas que intentan mitigar los inconvenientes relacionados con la fuga de información.
El hecho de que muchos sitios web ya posean datos personales como dirección de domicilio, correos electrónicos, nombres de usuarios, permite que estos sistemas de rastreos sean proclives a exponer a terceros la identidad de un usuario que desea permanecer anónimo.
Otras plataformas como Zcash y Monero ofrecen protocolos y criptomonedas que intentan mitigar los inconvenientes relacionados con la fuga de información.
Por otro lado, esos mismos sistemas de rastreo podrían permitir que la técnica utilizada por el grupo de investigadores de este estudio pueda ser utilizada como una herramienta forense para encontrar a personas que han cometido crímenes cibernéticos: transacciones que presentan robo, financiamientos ilícitos o de actividades ilegales, lavado de dinero y casos de ransomware.
Las vulnerabilidades que permiten el rastreo de identidades o direcciones pueden llegar a ser muy sutiles, sobre todo cuando múltiples sistemas interactúan. Pero el reconocimiento de cómo funcionan los errores en Bitcoin es una ventaja que los investigadores podrán utilizar para mejorar la red en el futuro.
5