El análisis de los rastros públicos que dejan todas las transacciones de Bitcoin podría permitir a la policía identificar a muchos usuarios de una moneda que a menudo se supone anónima.
La moneda digital Bitcoin se ha ganado la reputación de ofrecer privacidad. Sin embargo, un nuevo análisis del registro público de todas las transacciones de bitcoins sugiere que podría ser sorprendentemente fácil para una agencia de aplicación de la ley identificar a muchos usuarios de la moneda. Entre los usos populares de bitcoins están los juegos de azar ilícitos y las compras en un mercado en línea llamado Silk Road, donde se comercializan abiertamente drogas ilegales.
La nueva investigación, realizada por un equipo de la Universidad de California en San Diego (EE.UU.), llega en un momento en que la inversión en la economía Bitcoin está en pleno auge, aunque está siendo investigada por las autoridades estadounidenses. En lo que va de 2013, el Departamento de Seguridad Nacional de EE.UU. se ha apoderado de un total de 5 millones de dólares (3,8 millones de euros) de Mt Gox, el mayor centro de intercambio donde convertir bitcoins en monedas convencionales. El mes pasado, el regulador financiero de Nueva York citó a 22 empresas para recopilar información acerca de sus relaciones con Bitcoin.
"El protocolo de Bitcoin todavía tiene un enorme potencial para el anonimato", señala Sarah Meiklejohn, que dirigió el proyecto de investigación, "pero la forma en que la gente lo utiliza no logra el anonimato en absoluto".
Su análisis se ha centrado en el rastro dejado por las transacciones digitales de bitcoins, un mecanismo utilizado para proporcionar confianza en una moneda que no tiene el respaldo de un Gobierno o cualquier otra autoridad. El software de la moneda que ejecutan los usuarios colabora a través de Internet para mantener la contabilidad global, llamada 'blockchain', que registra todas las transacciones Bitcoin realizadas.
El 'blockchain' solo registra las direcciones únicas de las 'carteras' bitcoin individuales, y nada sobre la gente que las usa. Sin embargo, Meiklejohn y sus colegas han creado mapas de ese registro que podrían ayudar a la policía a encontrar empresas que tengan información de identificación de usuarios específicos. Una agencia podría, por ejemplo, seguir el flujo de bitcoins de una transacción ilegal a un intercambio de bitcoins, para después citar a esa empresa. "Esto no sería difícil de realizar con los patrones actuales de utilización", señala Meiklejohn.
Es difícil invertir grandes cantidades en bitcoin o conocer las ganancias dentro de la economía de bitcoin, legal o no, sin el uso de un intercambio. Las empresas responsables de estos intercambios manejan cada mes operaciones valoradas en millones de dólares, lo que les da un claro incentivo para cooperar con las autoridades y cumplir con las regulaciones financieras. Mt Gox requiere una copia de un documento oficial de identidad con fotografía y un comprobante de domicilio antes de que una persona pueda hacer una conversión entre monedas convencionales y bitcoins.
Meiklejohn asegura que ha discutido su investigación con representantes de una agencia de aplicación de la ley de EE.UU., a petición de esta. En la Conferencia de Medición de Internet que se celebrará en Barcelona el próximo mes será presentado un artículo sobre el trabajo.
Los investigadores utilizaron dos técnicas para desentrañar una maraña de 12 millones de direcciones y 16 millones de transacciones del 'blockchain', cubriendo los movimientos de unos cuatro millones de bitcoins. En primer lugar, se hizo un mapa de red de todas las direcciones basado en las transacciones entre ellas. Cuando las direcciones se concentraban en grupos reducidos, eso sugería su pertenencia a personas u organizaciones individuales.
Después, el mapa se reforzó con el etiquetado de direcciones vinculadas con personas o servicios conocidos. Parte de la información necesaria para hacerlo provino de búsquedas en línea de personas o empresas que habían compartido públicamente sus direcciones de Bitcoin. Los investigadores también hicieron negocios con cerca de 100 empresas y servicios Bitcoin diferentes para identificar más direcciones, comprando desde varios productos de café a una máscara de Guy Fawkes.
El mapa final aún no está acabado, y vincula solo 1,8 millones de direcciones de los 12 millones que pertenecen a un total de 2.197 entidades, pero podría tener un gran alcance. "Los servicios que seríamos capaces de nombrar representan una porción importante de lo que está pasando", señala Meiklejohn.
El análisis de la Universidad de California sugiere algunos lugares fáciles donde la ley podría empezar a aplicarse en caso de que fuera necesario perseguir a ciertas personas por transacciones ilegales con bitcoins. Por ejemplo, los investigadores registraron una gran cantidad de transacciones directamente entre Mt Gox y Silk Road, el mercado donde se negocia con drogas ilegales y otros servicios. Eso significa que si se extendiera una citación judicial a Mt Gox, se podría identificar inmediatamente a muchas personas que hayan hecho uso de Silk Road.
En teoría, podría ser posible esconderse de dicho análisis con un 'servicio de mezcla', que por una cuota mezcla bitcoins de diferentes fuentes. Sin embargo, los servicios existentes no son fiables. Quizá nunca sean capaces de lavar grandes sumas porque esconder una gran cantidad de dinero en efectivo, como el botín de un atraco con malware, exigiría tener varias cantidades igualmente grandes con las que mezclarla.
La nueva investigación proporciona una evidencia importante de cómo el diseño de Bitcoin limita la privacidad de los usuarios, afirma Ian Miers, estudiante graduado en la Universidad Johns Hopkins, que dirige el trabajo de Zerocoin, un sistema prototipo que podría ser incorporado en bitcoin o una moneda digital similar y garantizar transacciones totalmente anónimas. Miers cree que el grupo de la Universidad de California es el primero en demostrar el alcance del enfoque utilizado.
Mucha gente dentro de la comunidad Bitcoin sigue sin ser consciente de las posibilidades de este tipo de ataques, afirma Miers. "Aunque los propios desarrolladores de Bitcoin y otras personas dentro de la comunidad son muy conscientes de la falta de privacidad que en teoría tiene el servicio, no es evidente que la población general de usuarios sea igual de consciente", señala.
El estudio de la Universidad de California ha encontrado evidencias de que al menos algunos criminales saben que la privacidad de Bitcoin es limitada. A finales de 2012, un sofisticado ladrón robó 3.257 bitcoins, que hoy día tienen un valor de más de 400.000 dólares (304.878 euros), mediante la difusión de un tipo de malware que transfería dinero de usuarios de Bitcoin sin su conocimiento. Casi un año después, la mayoría de las monedas robadas no han ido a ninguna parte, lo que sugiere que la persona que las robó tiene problemas para cobrar sin revelar su identidad, concluye Meiklejohn.