Por qué Bitcoin no es privado

Aquí tenéis un pago. Alternadlo entre cómo lo registra Bitcoin y cómo lo registra una transacción blindada de Zcash. El mismo dinero moviéndose, una cantidad de ropa tendida en público radicalmente distinta.

Remitente: t1Qp7k…9xK2
Receptor: t1Zr3a…4mNa
Importe: 3.50 ZEC
Nota: alquiler — abril

Cualquiera puede leer quién pagó a quién, cuánto y la nota adjunta. Para siempre.

En el lado transparente podéis leerlo todo: quién, a quién, cuánto. En el lado blindado, una prueba de conocimiento cero dice «esta transacción es válida» sin revelar nada de ello. Dedicaremos todo este tema a explicar cómo funciona ese truco de magia. Pero antes necesitáis sentir el problema en vuestros huesos, y el problema es Bitcoin.

El libro mayor que nunca olvida

Antes de leer — adivina

Adivina antes de leer: en Bitcoin, ¿qué partes de un pago se cifran para mantenerlas privadas?

Se ocultan el remitente y el receptor, pero no el importeNinguna: remitente, receptor e importe siguen públicosSolo se oculta el importe; las partes siguen públicasSe oculta todo, con un cifrado de extremo a extremo robusto

Bitcoin es un libro mayor transparente y de solo adición. Cada transacción —dirección del remitente, dirección del receptor, importe exacto— se anota una vez y se conserva para siempre, legible por cualquiera en la Tierra con una conexión a internet. No hay cifrado del valor. No hay cifrado de las partes. Está todo simplemente… ahí.

Pensadlo como pagar por todo escribiendo una línea en una hoja de cálculo de Google pública que todo el planeta puede leer y que nunca se puede editar ni borrar. No firmáis con vuestro nombre legal: usáis un seudónimo (vuestra dirección). Parece privado. No lo es.

Nada en la cadena de bloques de Bitcoin está cifrado para preservar la privacidad. «Envié X monedas de la dirección A a la dirección B» es infraestructura pública, por diseño. La privacidad nunca fue una característica: la auditabilidad sí.

Ahora fija la propiedad central escribiéndola, no solo eligiéndola.

Completa la definición de memoria.

Elige la opción correcta para cada hueco y comprueba.

El libro mayor de Bitcoin es —cualquiera puede leerlo— y de , lo que significa que las entradas nunca se pueden editar ni borrar.

Seudónimo, no anónimo

Antes de leer — adivina

Adivina: ¿cuál es la diferencia entre «anónimo» y «seudónimo»?

Anónimo significa cifrado, mientras que seudónimo solo significa firmadoSeudónimo es estrictamente más privado que ser plenamente anónimoSeudónimo oculta el importe, mientras que anónimo oculta las partesSeudónimo liga la actividad a un alias que aguanta hasta el primer vínculo

Esta es la distinción que despista a todo el mundo.

Anónimo = nadie puede jamás conectar esta actividad contigo.
Seudónimo = la actividad está ligada a un seudónimo, y el seudónimo aguanta hasta que alguien lo vincula contigo una sola vez.

Una dirección de Bitcoin es un seudónimo. La trampa: en el momento en que una sola dirección se ata a vuestra identidad real, su historial entero queda expuesto — cada pago que hizo o recibió jamás, hacia atrás en el tiempo y hacia delante para siempre. El estudio de 2013 A Fistful of Bitcoins (Meiklejohn et al.) demostró que esto no es teórico; los investigadores desanonimizaron a usuarios reales a gran escala usando únicamente datos públicos.

Así que el seudónimo de la hoja de cálculo pública os oculta exactamente hasta el primer vínculo. Entonces alguien lee vuestra fila entera, en ambas direcciones, para siempre.

Empareja cada término con lo que significa de verdad.

Elige un término y luego su definición.

El pecado capital: reutilizar direcciones

Reutilizad una dirección para muchos pagos y habréis grapado amablemente todos ellos en un único perfil. Cada remitente que os pagó alguna vez y cada comercio al que pagasteis queda ahora en un montón ordenado, esperando que un solo vínculo de identidad lo encienda todo.

¿Por qué reutilizar una dirección para muchos pagos es un problema tan grande de privacidad?

Permite que los mineros rechacen cualquier otra transacción de la direcciónAgrupa a cada contraparte en un único perfil que un solo vínculo exponeCifra débilmente los pagos juntos en vez de cifrar cada uno por separadoSube la comisión que la red cobra en cada pago posterior que hagas

Cómo te desanonimiza realmente el análisis de cadena

Antes de leer — adivina

Adivina: una transacción de Bitcoin gasta 5 entradas separadas para hacer un único pago. ¿Qué puede inferir un analista?

Las 5 direcciones de entrada comparten un único propietarioLas 5 entradas son de 5 personas sin relación que juntan fondosEl pago es inválido porque las entradas deben coincidir entre síNada útil, porque las direcciones separadas siguen siendo independientes

Empresas como Chainalysis y Elliptic se ganan la vida con esto. Las herramientas son ingeniosas, pero las heurísticas centrales son lo bastante sencillas como para repasarlas.

Heurística de propiedad común de entradas (CIOH)

El caballo de batalla. Si una sola transacción gasta múltiples entradas, se asume que todas esas direcciones de entrada comparten un único propietario, porque normalmente necesitáis la clave privada de cada entrada para firmar la transacción.

Así que una transacción con 5 entradas fusiona al instante 5 direcciones en un único clúster. Acabáis de decirle al mundo «todas estas son mías» al gastarlas juntas.

Nombra la heurística y lo que produce.

Elige la opción correcta para cada hueco y comprueba.

La heurística de propiedad común de entradas asume que todas las entradas de una transacción comparten un único , fusionando sus direcciones en un .

Detección de la dirección de cambio

Cuando gastáis un UTXO mayor de lo que debéis, lo sobrante os vuelve como cambio, normalmente a una dirección recién creada. Los analistas lo detectan: es la salida nueva nunca vista antes, o coincide con vuestro tipo de script, o la otra salida es un número sospechosamente redondo. Identificad la salida de cambio y habréis extendido el clúster a otra dirección más.

Cadenas de pelado

Mover una suma grande y dividirla en muchas transacciones secuenciales —un poquito «pelado» en cada salto— y habréis dibujado un rastro que a los analistas les encanta seguir. Es un patrón clásico de blanqueo, y es legible en un libro mayor público.

Los datos fuera de la cadena son el tiro de gracia

La agrupación en la cadena junta direcciones. Vincular ese clúster a un humano requiere datos fuera de la cadena: registros KYC en los exchanges, filtraciones de IP, recibos de comercios. Un solo retiro con KYC —un exchange conoce vuestro nombre (normativa AML), retiráis a vuestra propia cartera— ancla un clúster entero a una identidad real. El nombre se propaga entonces por cada dirección vinculada.

Clasifica cada técnica según sobre qué opera.

Coloca cada elemento en su grupo.

Registro de retiro con KYC de un exchange
Dirección IP filtrada
Heurística de propiedad común de entradas
Detección de la dirección de cambio
Rastreo de cadenas de pelado

Ninguno de estos pasos requirió hackear nada. La cadena de bloques regala los datos; los analistas solo conectan puntos que ya son públicos.

¿Cuáles de estas son heurísticas de agrupación puramente EN LA CADENA (sin necesidad de datos externos)? Selecciona todas las que correspondan.

Detección de la dirección de cambioRastreo de cadenas de peladoHeurística de propiedad común de entradasUna dirección IP filtradaUn registro KYC de un exchange

Tres mitos que conviene derribar

Antes de leer — adivina

Antes de la revelación: verdadero o falso. Usar una dirección nueva para cada transacción te hace anónimo.

Verdadero, siempre que además evites pagar cualquier número redondoFalso: gastar varios UTXO juntos vuelve a vincular las direcciones vía CIOHVerdadero: una dirección nueva cada vez derrota todo el análisis de cadena

Derribemos los tres mitos que la gente repite más.

«Bitcoin es anónimo.» Falso. Es seudónimo y muy rastreable. Las direcciones son seudónimos, no capas de invisibilidad, y existe toda una industria próspera dedicada precisamente a desenmascararlas.
«Una dirección nueva por transacción me hace anónimo.» Ayuda, pero no vence a la CIOH ni a la detección de cambio. En el momento en que gastáis varios UTXO juntos, habréis vuelto a vincular las direcciones «separadas» en un solo clúster de todos modos.
«El mezclado / tumbling borra del todo el rastro.» A menudo no. La vinculación previa y posterior al mezclado, el momento temporal y el «cambio tóxico» pueden reducir vuestro conjunto de anonimato real muy por debajo de lo que anuncia el mezclador. Profundizaremos en esto en una lección posterior.

¿Mito o realidad? Clasifica cada afirmación.

Coloca cada elemento en su grupo.

Un solo vínculo de identidad expone todo el historial de una dirección
Bitcoin es seudónimo y muy rastreable
Bitcoin es totalmente anónimo
Una dirección nueva por pago te hace anónimo
El mezclado borra del todo el rastro

Recapitulación: júntalo todo

Visión de conjunto

Por qué Bitcoin no es privado — en una imagen

Privacidad de Bitcoin
- Libro mayor transparente
  - Remitente receptor importe todos públicos
  - Solo adición para siempre
- Seudónimo no anónimo
  - La dirección es un seudónimo
  - Un vínculo expone todo el historial
  - Reutilizar direcciones te agrupa de antemano
- Análisis de cadena
  - CIOH fusiona entradas en un clúster
  - Detección de la dirección de cambio
  - Cadenas de pelado
  - El KYC fuera de la cadena es el tiro de gracia
- Mitos
  - Anónimo es falso
  - La dirección nueva sola no basta
  - El mezclado no es perfecto

Cuatro ideas, una trampa: un libro mayor público y permanente más seudónimos significa que un solo vínculo de identidad lo desenmascara todo.

Ahora demuestra que se ha fijado: este cuestionario mezcla toda la lección.

Pregunta 1 de 40 correct

¿Por qué vincular UNA dirección a tu identidad expone todo tu historial?

Porque los exchanges borran sin avisar las direcciones que no vinculas.Porque los mineros difunden tu identidad real en cuanto se te conoce.Porque el libro mayor público y permanente hace tuyo el pasado y futuro de esa dirección.Porque cada dirección guarda tu nombre legal en un campo cifrado.

Check your answer to continue.

Entonces, ¿qué haría falta para una privacidad de verdad?

La privacidad de seudónimo de Bitcoin está a un vínculo de identidad de derrumbarse, y todo el sentido de este tema es arreglar eso como es debido. Pero antes de poder ocultar nada, necesitamos definir el objetivo.

A continuación: ¿qué debe ocultar realmente el «dinero privado» para merecer ese nombre?