Una visión general de la cadena de bloques

Bitcoin no es anónimo. Como explicamos a continuación, es seudónimo, una distinción importante. También es una moneda digital descentralizada, de igual a igual, que no tiene un tercero intermediario (por ejemplo, un emisor de tarjetas de crédito, un procesador comercial o un banco) que intervenga para verificar una transacción entre un comprador y un vendedor. Al no haber un tercero, debe haber otra forma de verificar una transacción entre dos usuarios y evitar el problema del «doble gasto» (es decir, una forma de garantizar que un usuario no gaste el bitcoin que ha transferido previamente).

Aquí es donde entra en juego el blockchain, el aspecto verdaderamente revolucionario de las criptodivisas como el bitcoin. Un blockchain es un libro de contabilidad público y distribuido, en el que se registran todas las transacciones. A diferencia de los sistemas de pago tradicionales en los que el libro de contabilidad es mantenido por un solo tercero, un libro de contabilidad blockchain se distribuye a través de un grupo de ordenadores (miles de ellos), cada uno con su propia copia de las transacciones blockchain.

Cada bloque de transacciones en un blockchain es confirmado por los usuarios de la red peer-to-peer, llamados «mineros», que compiten para resolver un complejo problema computacional. El primer minero que consigue validar la transacción la transmite a la red, que comprueba los resultados. Una vez comprobados, las nuevas transacciones se añaden como un nuevo bloque a la cadena de bloques. En el caso del bitcoin, el minero que primero verificó con éxito esta transacción es recompensado por la red con bitcoins recién creados. A partir de julio de 2016, la recompensa se redujo de 25 a 12,5 bitcoins, y se espera que la recompensa se reduzca aún más a 6,25 bitcoins en 2021.

Anonimato frente a seudonimato

Debido a que la blockchain de bitcoin es un registro público permanente de todas las transacciones accesible por cualquier persona en cualquier momento, no es anónima. Por el contrario, las transacciones en la blockchain están encriptadas con criptografía de clave pública que enmascara las identidades reales de los individuos detrás de las transacciones. Esto hace que el bitcoin sea seudónimo. En cada transacción de bitcoin, a cada usuario se le asignan dos claves digitales: (1) una clave pública o dirección -la dirección es en realidad un hash derivado de la clave pública, pero a efectos de este artículo, usamos estos términos indistintamente- que todo el mundo puede ver y se publica en la blockchain de bitcoin, y (2) una clave privada, que sólo conoce el usuario y es su «firma.»

La clave privada es utilizada por otros para verificar que la transacción fue efectivamente firmada por ese usuario. El blockchain de bitcoin sólo mostrará que una transacción ha tenido lugar entre dos claves públicas (un identificador de 34 caracteres alfanuméricos aleatorios), indicando la hora y el importe de la transacción.

Rastrear los bitcoins hasta los individuos

El cifrado podría crear la impresión de que estas transacciones son visibles pero no se pueden relacionar con individuos concretos. Sin embargo, el bitcoin no es tan imposible de rastrear como el cifrado puede dar a entender. Vincular una transacción encriptada a un individuo real es posible – no es un riesgo remoto. Hay varias formas de que esto ocurra.

Los usuarios que confían en una bolsa de comercio de bitcoins (como Bitfinex, Binance o Kraken) para intercambiar divisas por bitcoins tienen que divulgar su información personal a esa bolsa para crear una cuenta. La información recopilada por la bolsa varía, pero normalmente incluye, como mínimo, el nombre y los apellidos del usuario y, posiblemente, un número de teléfono. La central también puede recoger la dirección IP del usuario. Si estas centrales fueran objeto de una violación de la seguridad de los datos, la información personal de un usuario podría quedar expuesta. Además, algunos intercambios centralizados ofrecen gestionar los fondos de bitcoin de los usuarios y las claves privadas de los usuarios en su nombre.

También hay proveedores de servicios de cartera en línea que gestionan las carteras de los usuarios en su nombre. Un monedero es un programa de software que almacena una colección de pares de claves públicas y privadas de un usuario. El almacenamiento de claves privadas hace que estos intercambios centralizados, y los proveedores de servicios de monedero online, sean los principales objetivos de los delincuentes porque, como ya se ha dicho, cualquiera que tenga acceso a la clave privada de un usuario podrá crear una transacción de bitcoin válida. Un hacker que acceda a la clave privada de un usuario puede enviar todos los bitcoins de ese usuario a él mismo, o a cualquier intermediario de su elección.

En el pasado se produjeron varias violaciones de alto perfil de los intercambios, incluyendo el hackeo en febrero de 2014 de Mt. Gox, que fue el mayor intercambio de bitcoins del mundo. El ataque a Mt. Gox supuso la pérdida de 850.000 bitcoins valorados entonces en 450 millones de dólares. Así, los hackers que se hacen con el control de la cuenta de la bolsa o del monedero online de un usuario no sólo acceden a su información personal y a su historial de transacciones, sino también a los fondos de bitcoins del usuario.

Las bolsas también están cada vez más sujetas a requisitos normativos que podrían llevar a las entidades gubernamentales a acceder a la información personal de un usuario. La valoración del bitcoin se desplomó recientemente cuando la Comisión del Mercado de Valores de Estados Unidos publicó una declaración en la que advertía de que las plataformas en línea que comercian con activos digitales que se ajustan a la definición de «valores» se considerarían bolsas según las leyes de valores y tendrían que registrarse en la SEC o mostrar una exención de registro. Aunque la SEC no ha tomado ninguna medida hasta la fecha, esto significa que los intercambios de criptodivisas podrían estar sujetos a las estrictas regulaciones de valores aplicables a las bolsas de valores nacionales.

De forma similar, Corea del Sur anunció una mayor regulación del bitcoin a principios de este año. Según la nueva normativa surcoreana, los usuarios sólo podrán depositar en sus carteras de intercambio si el nombre utilizado en el intercambio coincide con el de la cuenta bancaria del usuario. Las bolsas también están ya sujetas a ciertos requisitos legales, como responder a citaciones, lo que podría obligarles a compartir información personal con las autoridades gubernamentales si así lo exige la ley. Por ejemplo, un tribunal ordenó recientemente a la bolsa estadounidense Coinbase que entregara a la Agencia Tributaria información sobre unos 14.000 de sus clientes. Una breve revisión de las políticas de privacidad en línea de varios intercambios indica que los intercambios compartirán la información de un usuario según sea necesario para cumplir con sus obligaciones legales y reglamentarias.

Análisis de la cadena de bloques

También es posible identificar a los usuarios simplemente analizando las transacciones en la cadena de bloques. Empresas como Elliptic y Chainanalysis han creado negocios basados en la forensia de la blockchain. Estas empresas utilizan el análisis de la cadena de bloques de bitcoin para vincular las direcciones de bitcoin a las entidades web y ayudar a sus clientes a evaluar el riesgo de actividades ilegales. Entre sus clientes se encuentran los intercambios, pero también las entidades gubernamentales. De hecho, el año pasado se hizo público que el IRS está utilizando el software de Chainanalysis para rastrear a posibles evasores de impuestos.

Varios estudios también han demostrado que es posible utilizar el análisis de la red y otros métodos para observar y potencialmente vincular las transacciones de blockchain a ciertos sitios web e individuos. En concreto, un estudio de 2013 realizado por investigadores de la Universidad de California en San Diego y de la Universidad George Mason demostró que era posible etiquetar direcciones de bitcoin pertenecientes a un mismo usuario mediante el análisis de agrupación de direcciones de bitcoin. Se utilizó un pequeño número de transacciones privadas con varios servicios para identificar las principales instituciones (como intercambios o grandes sitios web).

A partir de ahí, los investigadores pudieron obtener información sobre la estructura de la red bitcoin, a dónde van los fondos de las transacciones y qué organizaciones forman parte de ella. Otro estudio realizado por investigadores de ETH Zurich y NEC Laboratories Europe, que analizó las transacciones de bitcoin en una pequeña muestra universitaria, descubrió que el uso de técnicas de agrupación basadas en el comportamiento podía desvelar, en un entorno universitario típico, los perfiles de hasta el 40 por ciento de los usuarios.

Cómo pueden los usuarios de bitcoin mejorar su privacidad

A pesar de estos problemas de privacidad, los usuarios de bitcoin no tienen que desesperar: hay formas de mejorar la propia privacidad en la blockchain de bitcoin. En primer lugar, un usuario de bitcoin puede utilizar una nueva dirección de bitcoin para cada transacción y, por lo tanto, recibirá una nueva clave pública para cada transacción, lo que hace más difícil rastrear las transacciones de un individuo específico a la misma dirección. Este es, en realidad, el enfoque previsto por Satoshi Nakamoto, el seudónimo (y todavía desconocido) fundador de bitcoin, que recomendó en el documento que introdujo por primera vez bitcoinutilizar «un nuevo par de claves … para cada transacción para evitar que se vinculen a un propietario común.»

En segundo lugar, un usuario de bitcoin puede tomar algunas precauciones adicionales para minimizar el riesgo de rastreo en los intercambios de terceros. El usuario podría utilizar el navegador anónimo Tor para acceder al intercambio y crear una cuenta sin incluir ninguna información personal real; la dirección IP del usuario y su información personal no quedarían expuestas.

Tercero, el usuario podría evitar almacenar bitcoins en monederos de terceros en línea, y sólo utilizar monederos de escritorio fuera de línea; eso reduce la exposición a los hackeos de los intercambios. En cuarto lugar, los algoritmos de mezcla de bitcoins, como CoinJoin, vinculan a los usuarios y les permiten pagar juntos de forma que los bitcoins se mezclan. Esto hace que sea más difícil identificar a un usuario en particular porque sólo se publica un grupo de transacciones en la cadena de bloques (aunque los estudios y la investigación han demostrado que incluso CoinJoin presenta debilidades y podría permitir la vinculación de vuelta a un individuo en particular).

La alternativa Monero

Estos problemas de privacidad no han pasado desapercibidos y han surgido criptodivisas alternativas con un mayor enfoque en la privacidad. Monero es la más destacada de estas alternativas. A diferencia del blockchain de bitcoin, que, como hemos señalado, se basa en una criptografía de dos claves (pública y privada), el blockchain de Monero se basa en claves únicas de un solo uso y en firmas de anillo. Con la tecnología de firma en anillo, el firmante real se junta con un grupo de posibles firmantes, formando un «anillo.»

Esto crea una firma distintiva que puede autorizar una transacción. Cuando un individuo inicia una transacción de Monero, el verificador es capaz de establecer que una transacción vino de un grupo, pero no es capaz de determinar la identidad del iniciador cuya clave privada se utilizó para producir la firma. Como resultado, el blockchain de Monero no identifica a un remitente específico, y las direcciones de los receptores y los importes de las transacciones quedan ocultos. Monero se ha convertido en la criptodivisa preferida por los usuarios preocupados por la privacidad.

Aunque bitcoin es un método de pago descentralizado y no regulado, los usuarios deben entender que esto no significa que sus transacciones con bitcoin sean anónimas y estén ocultas al escrutinio. La naturaleza pública de la cadena de bloques (blockchain), combinada con la creciente amenaza de regulación gubernamental, puede conducir a la identificación de los usuarios que realizan transacciones con la moneda.