En ciberseguridad, el término “honeypot” se refiere a una trampa para los hackers. Pero, ¿Qué significa en el contexto de la analítica de la blockchain?
En los círculos de ciberseguridad, atribución significa identificar a los autores de un hackeo. En el contexto de las criptomonedas, se refiere específicamente a la práctica de los detectives de la cadena de bloques de vincular las direcciones de las carteras seudónimas a actores identificables.
Estos actores pueden ser bolsas o custodios de criptomonedas con licencia, atacantes de ransomware, mercados de la darknet o individuos o entidades sancionados.
Por ejemplo: Cualquiera con una conexión a Internet puede ver que, digamos, el monedero abc123 transfirió 0,5 BTC a zxy987; esta información es bastante inútil por sí misma. Pero una base de datos de rastreo podría documentar que la Oficina de Control de Activos Extranjeros de Estados Unidos ha identificado a zxy987 como perteneciente a un señor de la guerra africano sancionado. O podría mostrar que el bitcoin de abc123 fue robado de un intercambio.
¿Por qué es valiosa la ciberseguridad?
Se trata de una información valiosa para los intercambios que quieren eliminar la actividad ilícita, para los usuarios que quieren mantener sus monedas limpias, para los gobiernos que quieren seguir el dinero. Todo ello se consigue mediante una atribución rigurosa.
Con contratos de investigación potencialmente millonarios en juego, estas empresas tienen una gran necesidad de extraer nuevos datos de atribución. CipherTrace, por ejemplo, ha conseguido 20 contratos con agencias federales, por un valor de hasta 3,5 millones de dólares, desde 2018, siendo el más reciente un trabajo de peritaje, según los registros públicos.
Datos de los contratos de CipherTrace
En una industria que recompensa a los constructores de conjuntos de datos de atribución matizados y detallados -y un campo en el que los delincuentes están hambrientos de inteligencia para ayudarles a escapar de la atención-, proteger la salsa secreta de la atribución es primordial, dijeron dos profesionales de larga data.
No obstante, el Departamento del Tesoro, Ryan ofreció una muestra “de cómo se consigue la atribución de criptomonedas“. Los “honeypots” figuraban como una de las estrategias “activas” en el paquete de diapositivas.
Chainalysis: El as de la atribución de la blockchain
El mayor competidor de CipherTrace comenzó a operar su propia técnica novedosa tres años antes. Fundada en 2014 y valorada en junio en 4.200 millones de dólares, Chainalysis es el gran éxito de la industria del rastreo.
Ha acumulado decenas de millones de dólares en contratos federales vendiendo software que visualiza la actividad en la cadena. Aunque cualquier persona con una conexión a Internet puede examinar por sí misma los registros públicos de la cadena de bloques, se necesita un poco de ayuda para dar sentido a lo que se encuentra en la madriguera del conejo.
Pero el verdadero as comercial del rastreador es su conjunto de datos de atribución, dijeron tres conocedores de la industria. Ninguna otra empresa ha reunido un conjunto de datos sobre carteras tan detallado como el de Chainalysis.
Esto se debe en parte a que ningún otro rastreador tiene una huella comercial tan grande. Chainalysis proporciona software de rastreo a 500 “proveedores de servicios de activos virtuales”, o VASP, como los llaman los reguladores.
Es una relación mutuamente beneficiosa. Las empresas obtienen potentes herramientas de cumplimiento de la normativa sobre criptomonedas, y Chainalysis añade las direcciones de sus carteras a su base de datos global. Sin embargo, no pide a los clientes datos sobre ellos.
“No podemos hablar por todos los demás proveedores. Es posible que otros proveedores pidan más información. Pero Chainalysis solo se ocupa de los datos de las transacciones a nivel de servicio”, explica la empresa en una entrada de su blog de 2019. En otras palabras, sólo identifica a las empresas que sabe que controlan carteras, no a las personas.
Pero esa no era toda la historia, y los clientes de Chainalysis, y la información pública sobre los monederos, no eran las únicas fuentes de información de la empresa.
En una presentación de diapositivas sin fecha para la policía italiana que se filtró en septiembre, un equipo de ventas de Chainalysis describió cómo la vasta red de nodos de monederos de Bitcoin y Electrum de la empresa capturaba valiosos datos de los usuarios, como las direcciones IP de los monederos conectados. Esto ayudó a los investigadores a seguir pistas criminales significativas, según la presentación.
La presentación también arroja nueva luz sobre walletexplorer.com, un popular explorador de bloques de Bitcoin gestionado por Chainalysis desde 2015. El sitio web “raspa” las direcciones IP de los usuarios sospechosos, vinculando su huella en Internet con la dirección de su cartera. Este conjunto de datos ha proporcionado “pistas significativas” para las fuerzas del orden.
“Nunca fue un secreto que Chainalysis poseía y operaba walletexplorer.com. Desde 2015 hay una declaración en la parte inferior de la página de inicio de que el autor del sitio trabaja en Chainalysis como analista y programador”, dijo un portavoz de la compañía.
Un secreto a voces, quizás, pero difícilmente un libro abierto. Chainalysis rara vez llamó la atención sobre el hecho de que walletexplorer.com canalizaba los datos de los usuarios hacia sus otras líneas de negocio.
El sitio web adoptó una página de divulgación de la privacidad en la que se explicaba, por primera vez, cómo sus datos se dirigían a la línea de productos de Chainalysis.
“Compartimos la información de la cadena de bloques y la información de los visitantes con nuestras otras líneas de negocio de Chainalysis para ayudarnos a prestar y mejorar esos servicios. Por ejemplo, otras líneas de negocio de Chainalysis pueden utilizar la información que proporcionamos para conectar mejor una dirección de monedero de Bitcoin con otra dirección de monedero de Bitcoin”, decía la política con fecha del 14 de octubre.
“Recientemente hemos añadido un aviso de privacidad para proporcionar más información sobre cómo Chainalysis utiliza internamente la información recogida en el sitio web walletexplorer.com para ayudar a mejorar nuestros servicios”, dijo el portavoz.
¿Nada personal?
Aunque no está claro qué es lo que hacen exactamente los honeypots de CipherTrace, la palabra evoca un sistema que pretende hacer una cosa mientras provoca otra. El propietario de un monedero que se conecta a un “honeypot” sería, por definición, ajeno a los motivos ocultos del servicio.
Chainalysis, CipherTrace y Elliptichan declarado previamente que no buscan vincular a los individuos con los monederos. Su negocio consiste en ayudar a los gobiernos a investigar los delitos relacionados con las criptomonedas y a mantener el cumplimiento de los intercambios.
Sacar a la luz a los individuos no forma parte de esa ecuación. Estas empresas simplemente siguen el dinero, dicen.
“La inteligencia de blockchain que proporcionamos vincula las transacciones de criptomonedas a entidades del mundo real como intercambios, mercados de la darknet y entidades sancionadas”, dijo Ari Redbord, jefe de asuntos legales y gubernamentales de TRM Labs.
“Esta inteligencia permite que una bolsa de criptomonedas sea alertada si, por ejemplo, procesa una transacción que involucra una dirección que ha sido utilizada previamente para la financiación del terrorismo”, dijo. “Lo mismo se aplica a las transacciones involucradas en hacks, ransomware, tirones de alfombra y otros ataques que perjudican a los inversores y usuarios de cripto.”
Pero “no atribuimos las transacciones a individuos”, dijo Redbord sobre TRM Labs. Del mismo modo, el representante de CipherTrace dijo que “no atribuye los datos de la cartera a individuos privados, con una excepción para las entidades sancionadas.”
Lo ha hecho de forma prolífica, presumiendo en una entrada del blog de 2019 de atribuir 72.000 direcciones IP iraníes a 4,5 millones de monederos.
Si CipherTrace atribuye direcciones IP a otros wallets sigue siendo una cuestión abierta. Los altos cargos de la compañía dicen que no mantienen “información personal identificable“, solo “información comercial identificable”.
“CipherTrace no mantiene PII, mantenemos BII” dijo el CEO de CipherTrace, Dave Jevans, en una entrevista en junio.
“Entendemos, por ejemplo, qué direcciones pertenecen a qué intercambio”, dijo. “Pero no hacemos un seguimiento de la información individual que es usted en esta dirección; eso no es nuestro negocio. No queremos hacerlo. Averiguamos por dónde entra el dinero, por dónde sale y luego son los tribunales y las fuerzas del orden quienes se encargan del resto”.
Como señaló O’Brien, el investigador de ciberseguridad, la definición de CipherTrace de información personal identificable parece excluir las direcciones IP, junto con las ubicaciones físicas, según una de las publicaciones del blog de la propia empresa.
