Saltar al contenido

Qué métodos utilizan para romper tu privacidad al usar Bitcoin y cómo combatirlos (Parte II)

En la primera parte de esta serie de artículos se explicaron cuatro de los métodos que utilizan espías y empresas de vigilancia para rastrear las transacciones de los usuarios de Bitcoin. En este artículo se continuará con el resto y te entregaré estrategias y herramientas que te ayudarán a combatirlos.

La privacidad de Bitcoin no es absoluta ni tampoco inexistente, el nivel de privacidad tiene mucho que ver con cómo interactúas con la red Bitcoin y qué tan confidencial o desvinculada está tu información personal de esa interacción. La transparencia de la Blockchain de Bitcoin puede facilitar la vigilancia, la recolección de datos y el espionaje financiero, sin embargo, si los usuarios no revelasen información sensible para la privacidad, como su identidad real (procesos de KYC) o su ubicación geográfica (dirección IP) los atacantes no contarían con información suficiente para desanonimizarlos.

La privacidad al usar Bitcoin es esencial, porque aporta eficiencia y seguridad:

  • No se pueden establecer precios de manera competitiva y eficiente si proveedores y clientes pueden acceder a la información financiera de una empresa, ver todas sus transacciones y estrategias de inversión.
  • Si los delincuentes tienen acceso a tu información financiera (gastos, ingresos y ahorros) pueden utilizarla para atacarte y extorsionarte. Por lo tanto, la privacidad y la seguridad siempre irán de la mano.

Buscar la privacidad en Bitcoin poco tiene que ver con delincuentes detrás de un ordenador, con actos criminales que se tratan de encubrir o con el lavado de dinero (que puede existir). La privacidad en Bitcoin tiene que ver con la seguridad, la protección de los usuarios y un derecho humano.

Métodos que utilizan para romper tu privacidad al usar Bitcoin y cómo combatirlos

Qué la luz de Bitcoin no te ilumine demasiado.

5. Análisis de los gastos por lotes

El gasto por lotes es una técnica que se utiliza para reducir la tarifa minera al realizar un pago con bitcoin. Se agrupan varios pagos en una sola transacción. Esta técnica es muy utilizada por exchanges, casinos y otros gastadores de alto volumen.

Por ejemplo, BOB, ALICE y STAICY quieren realizar un retiro de sus BTC del Exchange de Coinbase.

Gasto por lotes realizado por un Exchange

La Exchange paga a los tres en una transacción única para ahorrar en tarifa de minería.

¿De qué forma te afecta?

  • Los destinatarios que participan en la transacción pueden ver la cantidad de BTC y la dirección de los otros destinatarios. Uno de los destinatarios (adversario) pueden realizar un rastreo de tu UTXO para saber en qué la gastaras o eventualmente puede conocer tu saldo total si la consolidas con tus ahorros.

¿Cómo combatirlo?

  • Utilizando servicios de Coinjoins.
  • Realizando retiros de tus BTC en transacciones individuales.
  • Usando Exchange P2P sin custodia (cómo HodlHodl y Bisq). Las monedas se intercambian directamente entre las partes involucradas (vendedor/comprador).

6. Script inusuales

Un script es una lista de instrucciones registradas en cada transacción que describe cómo la siguiente persona que quiera gastar los BTC transferidos puede acceder a ellos.

Por ejemplo, si SEAN paga a su empleados (BOB, ALICE, STAICY y JOE) usando la billetera multifirma de su empresa, un adversario puede determinar que Script utiliza SEAN para pagar a sus empleados, rastrear las transacciones y obtener información financiera de la empresa.

Transacción en la que una multisig (multifirma) paga a direcciones de firma única.

La mayoría de los scripts de bitcoin son de firma única. Existen otros, siendo el más común de ellos el de firma múltiple.

¿De qué forma te afecta?

  • Si utilizas un script que es particularmente inusual puede filtrar información simplemente por ser tan único.

¿Cómo combatirlo?

  • Evitando el uso de Script poco comunes (como las multifirmas) para realizar pagos cotidianos.
  • Usando multifirmas solo para los BTC que tienes para ahorros a muy largo plazo.

7. Pago del comprador misterioso

Un pago del comprador misterioso se da cuando un adversario te envía BTC para obtener información relevante y privada. Funciona incluso si evitas la reutilización de direcciones.

transacción realizada por un pagador misterioso.

¿De qué forma te afecta?

  • Si haces pública una o varias de tus direcciones en redes sociales para recaudar donativos.
  • Si tienes un comercio en línea, el adversario podría comprar un artículo pequeño. En la interfaz de pago se le mostraría una de las direcciones de bitcoin de tu tienda. El adversario paga, y ahora podrá rastrear esa entrada observando en un explorador de bloques. Recoletará información sobre ti y tu tienda.

¿Cómo combatirlo?

  • No muestres tus direcciones públicas en redes sociales.
  • Para recolectar donaciones utiliza PayNyms de Samourai Wallet.
  • Utilizando la herramientas de privacidad de los CoinJoins.
  • Usando en tu comercio procesadores de pago como BTC Pay Serverquerecientemente incluyeron la herramienta de PayJoin P2EP.
  • Utiliza billeteras que te alarmen sobre posibles ataques de Polvo, Samourai Wallet posee esa función.

8. Reutilización forzada de direcciones

Se produce cuando un adversario paga una (a menudo pequeña) cantidad de bitcoin a direcciones que ya han sido utilizadas.

Este ataque a veces se lo llama incorrectamente un ataque de polvo.

BOB recibe un pago (1.5 BTC) en su dirección “X” que gasta en otra transacción, un adversario le envía un pago (0.0001 BTC) para forzar la reutilización de la dirección “X”. El espía puede rastrear lo que haga BOB si entrada participa en una próxima transacción de BOB.

BOB recibe en su dirección “X” 1,5 BTC de un pago realizo por SEAN y los gasta en otra TX. Un adversario le realiza un pago de 0.0001 BTC a BOB en la dirección “X” ya usada, para espiarlo en sus próximos pagos.

¿De qué forma te afecta?

  • Tu adversario espera que tu billetera use las monedas atacantes como entrada en una transacción más grande. Lo que revelará tus otras direcciones a través de la heurística de entradas comunes.
  • Si consolidas la UTXO atacante con otras que corresponden a tus ahorros, tu adversario conocerá el monto total de tus fondos.
  • Tu adversario puede usar este tipo de ataque para descubrir tus gastos.

¿Cómo combatirlo?

  • Utilizar una billetera cómo Samourai wallet que te alerta si están siendo víctima de este tipo de ataques.
  • Utilizar una billetera que te permita administrar tus UTXOS, tales como: Samourai Wallet, Electrum Wallet o Wasabi Wallet. Te permiten hacer Control-Coin.
  • El comportamiento correcto de las billeteras deberia ser no gastar monedas que hayan llegado a direcciones vacías ya utilizadas.

9. Correlación de montos

La correlación de cantidades se refiere a la búsqueda de montos en las salidas de las transacciones de toda la cadena de bloques.

Si Incluyes cierta cantidad de bitcoins en una transacción CoinJoins (C.J), el coordinador de la transacción te cobra una tarifa por el servicio. Luego de efectuarse la transacción C.J te entregarán la cantidad bitcoins que inicialmente incluiste menos tarifas del servicio. Un espía podría usar la correlación de los montos para desarmar la tecnología de privacidad. Buscando en la cadena de bloques las transacciones con una característica determinada.

Un espía puede romper la tecnología de privacidad (mezclador) por medio del análisis de montos.

¿De qué forma te afecta?

  • La correlación de cantidad podría usarse para romper una tecnología de privacidad buscando en la cadena de bloques las transacciones con una cantidad de salida cercana al monto inicial.
  • Si mencionas en tus redes sociales que te vas de vacaciones y que gastarás $5000 en BTC, un espía puede buscar todas las transacciones en la cadena de bloques en un período de tiempo y encontrar transacciones con cantidades de salida cercanas a $5000. Incluso si se encuentran varias coincidencias, todavía le da al espía una buena idea de qué direcciones de bitcoin te pertenecen y llegará a tu informacion privada como saldo y ahorros en BTC.

¿Cómo combatirlo?

  • Usando Cahoots como Stonewallx2 y Stowaway de SamouraiWallet, que te permiten hacer gastos tipo Mini-CoinJoins y PayJoins respectivamente.
  • Dividiendo el envío de bitcoins resultantes de la herramienta de privacidad (CoinJoin)en muchas transacciones con salidas de montos diferentes.
  • No reveles tus planes y qué monto de bitcoins gastarás.

10. Correlación de tiempos

Se refiere al análisis de la información del tiempo, periodo y frecuencia en que se realizan las transacciones de Bitcoin, para escoger candidatos de haberlas realizado.

¿De qué forma te afecta?

  • Si un adversario descubre de alguna manera el momento en que realizaste una transacción interesante (monto alto), puede buscar en la cadena de bloques en ese período de tiempo y marcarte como posible candidato de haberla realizado.

¿Cómo combatirlo?

  • Eligiendo de forma aleatoria el tiempo en el que se transmite varias de tus transacciónes de bitcoin.
  • Dejando espacios entre cada transacción y usando tarifas de minería diferentes.
  • Realizando tus transacciones en horas que se consideran de descanso para tu zona horaria.
  • Utilizando saltos de direcciones en tus transacciones, como lo hace Ricochet de Samourai wallet.

Sobre el autor de este artículo

Aprender y enseñar sobre Bitcoin son de las actividades que más disfruto. Si  quieres apoyar mi trabajo, en temas de Seguridad y Privacidad en el uso de Bitcoin, puedes hacer una libre aportación via Lightning network u on chain 🙌
P_Hold

Paynyms (Samourai Wallet)

PM8TJLCBidk5DFPG8Q8HwpRthCEQRJm5BRCzgUPdVYzJnRqfTH4WzKBkdCk5HnBBmfCtuVhuuB9ipvyu89AjiZ6XDe9TpefZdj7wEjR8Cp2LMX9Zzndp +muddymath92c