Qué métodos utilizan para romper tu privacidad al usar Bitcoin y cómo combatirlos (Parte I)

Para mejorar tu privacidad lo primero que debes establecer es cuál es tu adversario, conocer sus herramientas y las estrategias que utiliza para vigilarte. En el caso de la blockchain de Bitcoin, tus adversarios son los espías (empresas de análisis, hackers, gobiernos totalitarios, etc.), que buscan identificar a los usuarios con métodos que van desde la detección de las direcciones de cambio hasta la recolección de datos personales y metadatos.

En este artículo encontrarás una explicación sencilla de estos métodos y cómo combatirlos.

Bitcoin es un protocolo de transferencia de valor sin necesidad de confianza y una forma de efectivo electrónico descentralizado. Para conseguir esa propuesta de valor, Bitcoin utiliza un libro contable público (Blockchain) que puede ser auditado en tiempo real por todos.

Quien quiera puede acceder al libro contable de Bitcoin y comprobar que se cumplen todas las reglas predeterminadas. Por ejemplo, que no se genera una cantidad mayor de bitcoins a los preestablecidos y que cada moneda se gasta solo una vez. La transparencia conduce a problemas de privacidad, porque cada transacción puede ser vista por todos, incluyendo espías, empresas de vigilancia, regímenes totalitarios y ladrones. Las empresas de vigilancia utilizan métodos de análisis para degradar la privacidad de los usuarios y luego poder vender la información financiera recolectada.

¿Cómo trabaja para romper tu privacidad?

Un adversario intentará vincular varias de las direcciones que él cree que te pertenecen y creará con ellas agrupaciones. Luego intentara vincular las direcciones agrupadas con tu identidad en el mundo real para espiarte y crear una cadena de vigilancia.

Métodos que utilizan para romper tu privacidad al usar Bitcoin y cómo combatirlos

1. Gasto de entradas múltiples

Premisa que establece que en una transacción bitcoin todas las entradas son propiedad de la misma entidad o persona.

Considera una transacción bitcoin con las entradas “A”, “B” y “C”; y salidas “X” y “Z”.

Transacción Bitcoin con tres Entradas y dos Salidas.

Según el análisis de gastos con entradas múltiples, las entradas “A”, “B” y “C” son de la misma entidad o persona.

¿De qué forma te afecta?

Si recibes en tu billetera pequeñas cantidades de BTC y luego pagas una cantidad grande creas transacciones de entradas múltiples.

¿Cómo combatirlo?

• CoinJoins, ayudan a generar transacciones de entradas múltiples que no pertenecen a la misma entidad o persona. Lo que crea un falso positivo que confunde a los analistas y rompen esta heurística.
• Coin Control, Te permite pagar con tu(s) UTXO(s) de forma inteligente al escoger la moneda adecuada (monto necesario) sin que tengas que usar más de una entrada al pagar.
• Usando Cahoots como Stonewallx2 y Stowaway de SamouraiWallet, que te permiten hacer gastos tipo Mini-CoinJoins y PayJoins respectivamente.

Samourai Wallet tiene la opción de CoinJoins y PayJoins desde tu dispositivo móvil.

2. Detección de la dirección de cambio

La dirección de cambio (o vuelto) es la dirección pública en la que recibes el restante de BTC cuando haces un gasto parcial.

Transacción Bitcoin en la que la entrada “A” paga a la dirección “X” y el cambio vuelve a la dirección de cambio “Z”.

La detección de la dirección de cambio es una grave pérdida de privacidad porque le permite a tu adversario crear un vínculo entre la entrada (UTXO con la que pagas) y una de las salidas (UTXO de cambio), es decir, tu adversario tendrá la certeza de que eres el dueño de una de las salidas. La dirección de cambio se puede detectar usando varios métodos, siendo el más básico el estudio del formato de entradas y salidas.

Considera una transacción bitcoin con las entradas “A” (legacy 1) y salidas “X” (SegWit “bc1”) y “Z” (legacy “1”).

Transacción Bitcoin donde entrada “A” que paga a la dirección “X” que es de formato distinto y se crea un cambio que va a la dirección “Z” con el mismo formato de la entrada “A”.

Por medio de los formatos de las direcciones se puede determinar que la salida “X” es la de pago y la “Z” es la de cambio y pertenece al dueño de la dirección “A”.

¿De qué forma te afecta?

• La detección de la dirección de cambio le permite a tu adversario saber en que dirección está tu UTXO de cambio (moneda de vuelto). Si consolidas esa moneda con otras se puede conocer tu saldo total.
• La dirección de cambio le permite a tu adversario conocer el tipo de la App que usas como billetera bitcoin.
• La detección de la dirección de cambio le permite saber a tu adversario que formato de dirección utilizas.

¿Cómo combatirlo?

• Utilizando una dirección de cambio con mismo formato que la de pago, te permite ocultar cual es la salida de cambio y la salida de pago.
• Si no puedes seleccionar el formato de tus direcciones de cambio, pídele a quien pagas (tu contraparte) que te entregue una dirección pública de formato similar a tus direcciones de cambio.
• Evita usar RBF (Remplazo de la tarifa de minería) o CPFP (el Hijo paga por el padre) al realizar o recibir un pago. Usa una herramienta adecuada para seleccionar la tarifa de minería que mejor se adapta a tu requerimiento.
• No uses configuraciones multifirmas para realizar pagos parciales o cotidianos.
• Utiliza billeteras como Samouraiwallet que de forma predeterminada y automática genera direcciones de cambio de formato similar a la dirección de pago.

Samourai wallet de forma predeterminada y automática tiene la opción de recibir el cambio en una dirección del mismo formato que la de pago (envío).

3. Análisis de manchas

El análisis de manchas es una técnica que se usa para estudiar el flujo de bitcoins y extraer información privada.

Si con una dirección “A” que está conectada a información relevante para la privacidad (nombre real) y una dirección “B” (anónima) se realiza una transacción que consolida todas las monedas y paga a la dirección “X”. Se sabe que la dirección “X” (y las UTXOs) está “contaminada” con la identidad de la entrada “A”

Transacción Bitcoin en la que BOB consolida sus monedas KYC con monedas sin KYC (anónimas) para hacer un pago. Su identidad mancha todas las monedas (UTXOs).

¿De qué forma te afecta?

Si adquieres BTC en un Exchange en el que debes entregar tu información personal tus monedas quedaran manchadas por tu identidad del mundo real y se podrá vincular tus transacciones con tus datos personales.

Si adquieres BTC usando tu identidad real (KYC) y luego consolidas esas UTXOS (monedas) con otras que adquiriste de forma anónima, todas tus UTXOs quedaran manchadas con tu identidad.

¿Cómo combatirlo?

• Intercambiando tus BTC de forma anónima evitas que tu identidad sea asociada a tus monedas (UTXO).
• Separando (en dos billeteras distintas) las monedas que adquieres usando tu identidad (con KYC) de las que adquieres de forma anónimas (sin KYC).
• Usando plataformas de intercambio P2P en las que no debes entregar tus datos personales (por ejemplo, Bisq y HodlHodl).
• Comprando tus BTC por medio de ATM (Cajeros automáticos).
• Ganado tus BTC al vender algún producto o servicio.
• Intercambiando tus BTC usando dinero en efectivo.
• No publiques tu identidad real y direcciones de BTC en redes sociales.
• No solicites donaciones por medio de direcciones estáticas que se puedan asociar con tu identidad real.
• Usando los PayNyms de SamouraiWallet para recibir donaciones.

4. Análisis de cantidades y montos

Un adversario puede obtener de la blockchain la siguiente información:

• Cantidad de entradas y salidas de cada transacción.
• Monto que pagas (envías) y la tarifa de minería (fee minera).

En el análisis por montos el adversario estudia los pagos que se hacen en números redondos, él puede determinar si los BTC cambian de dueño o si los BTC se están negociando en un país especifico según la tasa de cambio en moneda fiat.

Por medio de análisis de montos también se puede determinar si una dirección es de pago o de cambio (vuelto).

Transacción Bitcoin en la que BOB envía su pago (Enviar todo) a una nueva dirección para tener un numero redondo de 1 BTC (no se produce una salida de cambio o vuelto).

¿De qué forma te afecta?

• Revelando tu riqueza, si envías un pago con un UTXO (de alto valor) que no se gasta por completo, el receptor del pago sabrá por medio de la dirección de cambio cuál es tu riqueza.
• Montos de pago exactos (sin cambio), Los pagos se hacen con cantidades exactas y no generan cambio (o vuelto) son una indicación muy probable de que los bitcoins no cambiaron de dueños y que seguramente estas enviando la cantidad máxima a un Exchange para venderlos.
• Detectando la dirección de cambio (o vuelto), tu adversario puede determinar cuál es tu dirección de cambio porque los montos redondos casi siempre son un pago y si se genera un cambio por lo general es no redondo.

¿Cómo combatirlo?

• Evita realizar pagos de números redondos.
• Guarda UTXOs de valor medio y bajo para los pagos de ese tipo.
• No consolides UTXOs para tener un monto unico.
• No muestres en redes sociales los montos de tus compra de bitcoin.
• No muestres videos en redes sociales de tus pagos con bitcoin.
• Usa billetera como SamouraiWallet que cuenta con la opción de generar un tipo de transacciones especial llamada STONEWALL para evitar la recolección de metadatos.

STONEWALL automáticamente te ayuda a protegerte contra la agrupación de direcciones y otros ataques de desanonimización.

En la segunda parte de este articulo encontraras el análisis de los métodos:

5. Procesamiento por lotes.

6. Script inusuales.

7. Pago del comprador misterioso.

8. Reutilización forzada de direcciones.

9. Correlación de montos.

10. Correlación de tiempos.

Referencias

Privacy

No Confíes, Verifica

Si este artículo/tutorial te ayudó, sientes que has aprendido algo nuevo y quieres apoyar mi trabajo en temas de “Seguridad y Privacidad en el uso de Bitcoin” puedes hacer una libre aportación en cualquiera de los siguientes enlaces:

Para Onchain. puedes hacerlo desde Samourai wallet o mejor con Sparrow Wallet (te costara solo 546 sats la tx de notificacion y luego puedes enviar de manera privada cada vez que quieras). Gracias!!!

+muddymath92c - PayNym Bot

Twitter

P. holdulbricht.