Cada vez más sitios web de compras aceptan criptomonedas como método de pago, pero los usuarios deben de estar prevenidos de estas transacciones que pueden ser utilizadas para eliminar su anonimato, incluso si están utilizando técnicas como CoinJoin.

Dos Ataques 

Los investigadores independientes Dillon Reisman, Steven Goldfeder, Harry Kalodner y Arvind Narayanan de la universidad de Princenton han demostrado que los rastreadores en línea de terceros proveen una gran cantidad de información para identificar una transacción en la cadena de bloques, ligar esta información a la cookie del usuario y finalmente obtener su identidad.

“Basándonos en las cookies de rastreo, la transacción puede ser ligada a las actividades del usuario a través de Internet y con base en las técnicas bien conocidas de direcciones de Bitcoins, puede ser ligado a otras transacciones con Bitcoins”, comentaron.

Además, con el conocimiento de que una gran cantidad de negocios usan un débil PII (Información Personal Identificable) para los usuarios como el nombre o dirección email para el rastreo, se ha vuelto obvio que los rastreadores puedan ser fácilmente ligados a las transacciones de los usuarios y su perfil web e identidad.

Pero, hasta donde se conoce,se creía que usando técnicas para mezclar como la ya mencionada CoinJoin u otro tipo de mezcla de monedas podría prevenir el ligar la dirección de Bitcoin con la identidad del usuario. Desafortunadamente, eso no es cierto.

“Mostramos que una pequeña cantidad de información adicional, por ejemplo, dos (o más) transacciones que fueron hechas por la misma entidad, es suficiente para romper el efecto de mezcla. Mientras tanto, está disponible información auxiliar para una gran cantidad de entidades (negocios, otras contrapartes como sitios web que aceptan donaciones, intermediarios para el proceso de pagos y redes de espionaje) los rastreadores web están en la posición ideal para realizar este ataque”, destacaron.

Los investigadores también analizaron los sitios web de 130 negocios que aceptan Bitcoins como forma de pago y descubrieron lo siguiente:

• 53 de los 130 filtraron información de pago de terceras partes (mayormente de forma intencional, para publicidad y con propósitos de análisis).
• 17 de los 130 envían y reciben direcciones Bitcoin o precios con denominación BTC de un tercero.
• 43 de los 130 envían alguna forma de información de precios en los carritos sin denominación BTC a terceros.
• 28 de los 130 comparten eventos del carrito con terceros.
• 49 de los 130 filtraron alguna forma de PII a 137 aplicaciones de terceros, y 21 de estos terceros también reciben información relevante sobre las transacciones.

¿Cómo pueden los usuarios protegerse a sí mismos?

Usar extensiones del navegador como uBlock Origin, AdBlock Plus o Ghostery para el bloqueo de rastreadores no provee una protección total, particularmente si la contraparte es una red de espionaje para el proceso de pago. Y usando mejores técnicas para la mezcla, como una multi ronda, es parcialmente efectivo.

Por ahora, los investigadores creen que usar otro tipo de criptomoneda es una mejor opción.

“Desafortunadamente la aproximación de los Bitcoins al anonimato es solo una protección, otras criptomonedas dirigen la privacidad hacia el protocolo y prometen no rastrear las transacciones”, argumentaron.

“El más conocido de estos es Zcash, basado en el protocolo Zerocash, y Monero, basado en el protocolo Cryptonote. Zcash es computacionalmente más caro pero provee una rigurosa cantidad de propiedades de seguridad. Para el segundo, Monero, tiene un soporte para el vendedor utilizado al momento de la escritura, pero aún es menor que Bitcoin o incluso Litecoin y principalmente en sitios de servicios ocultos que comercializan productos ilícitos. Mientras alguna debilidad en el anonimato ha sido descubierta recientemente en Monero, creemos que esto no es susceptible a un ataque de intersección de cluster.”