Comprar con bitcoins es de n00bs: sobre “inversión” y anonimato

blockchain privacy

Hay tantos mitos alrededor de las criptomonedas (y, si me apura, alrededor de cualquier proyecto basado en la descentralización), que podría estar escribiendo únicamente sobre ello en esta página y no terminaría jamás de encontrar nuevos temas. Y de hacerlo, seguramente me acabaran tachando de crítico, cuando no hay nada más lejos de la realidad: soy un firme defensor de proyectos de este tipo, lo que no quita que también tenga dos dedos de frente y vea las limitaciones que ofrecen tecnologías como Blockchain.

En este caso quería hablar de dos, profundizando, quizás por estar más alineado con mi perfil (no soy economista y tampoco pretendo parecerlo), en el segundo.

Empecemos…

Llamarlo inversión cuando es puramente especulación

El Bitcoin, el Ethereum, o en definitiva, cualquier criptomoneda, no es un ente económico sujeto a unas reglas “tradicionales”, y por tanto, cualquier “inversión” que pensemos hacer en estas criptomonedas no puede seguir una lógica que hasta cierto punto sí tenemos cuando invertimos en bolsa o en bienes materiales.

Sencilla y llanamente, el ecosistema alrededor de las criptodivisas no es estable, y aunque parece que estaríamos, al menos con algunas de las ya citadas, ante una perspectiva alcista en meses venideros, en cualquier momento esto puede cambiar tan solo con que algún gigante (presumiblemente con algún negocio oscuro en la Darknet) le de por sacar el dinero que tiene allí y llevárselo a otro lado.

Cuando cambiamos dinero físico por dinero virtual, realmente estamos especulando, y la peor parte es que al menos hasta que el ecosistema no madure, cualquier compra que hagamos con ese dinero muy probablemente podríamos considerarlo como una mala inversión.

¿La razón? Los precios fluctúan tanto, que lo mismo ante una compra con un valor considerable (imagínese la compra de un piso), dependiendo de en qué segundo la hayamos realizado, al cambio podríamos estar pagando cientos de dólares de diferencia.

Sin obviar que, presuponiendo que en efecto esto siga aumentando en años venideros (habrá bajones, ojo, no esperen que esto siga como está 2017…), cualquier compra que hagamos ahora significará delegar en un tercero su beneficio.

Es muy conocido el caso de un hombre de Florida que en 2010 tenía 10.000 bitcoins (EN/al cambio, por aquel entonces, 41 dólares), y decidió “invertirlos” en comprar unas pizzas. Claro que quién iba a pensar que unos años más tarde esos bitcoins valdrían cerca de 40 millones de dólares, ¿verdad?

Hace un mes, cuando escribí la pieza en la que explicaba la difícil tesitura en la que se encontraba Bitcoin, a punto de realizar un hard fork, con todo el riesgo que esto entraña, comenté que sinceramente, y por muy experto que sea uno en finanzas, era imposible saber qué iba a pasar con el valor de las monedas (la antigua y la nueva). O bien el bitcoin seguía desplomándose (ya había bajado por debajo de los 2.000 dólares) y subía la nueva moneda, o bien pasaba al revés, o las dos conseguían estabilizarse.

Algunos conocidos decidieron entonces sacar sus bitcoins e “invertirlos” en ETH. ¿El resultado? Con apenas un mes de diferencia, ahora el bitcoin ya supera los $4,6k (ES). Escribí este artículo en el fin de semana, y para muestra un botón: Ha sido suficiente con que China anunciara que prohibiría el uso de ICOs en las últimas horas (EN), para que monedas como ETH se hayan desplomado. El BitCoin, por ejemplo, ha perdido ya alrededor de 500 dólares su valor. 

Desde que en 2015 metiera algo de dinero (por probar, más que otra cosa), he multiplicado por más de 10 esa “inversión”.

bitcoin precio

¿El problema? Que mañana podríamos levantarnos y encontrarnos con que de pronto, el ETH o cualquier otra vale tres veces menos, simplemente porque varios agentes han decidido mover sus carteras a una u otra criptomoneda. Simplemente porque el cartel de la droga de Pepito ha sido desmantelado, o porque no se qué empresa China ha decidido ofrecer pagos con una de estas monedas (le juro que esto estaba escrito antes del anuncio de ayer de China, jeje).

Hay tantos factores a tener en cuenta, la mayoría que operan a expensas de los canales informativos tradicionales, que en la práctica lo que estamos llamando inversión no es más que una pura especulación. Metemos dinero en una cartera con la esperanza de que la fiesta siga, y puesto que hay muchos que meten dinero con la esperanza de que la fiesta siga, la fiesta sigue.

Sin más.

Las compras con Bitcoin adolecen de los mismos males de privacidad que con el dinero digital

El segundo tema del que quería hablar ya nos toca un poco más de cerca, y viene de la mano de un estudio (EN) realizado en la Universidad de Princeton (EEUU) por Steven Goldfeder y su equipo, que viene a decir que la privacidad que ofrecen criptomonedas como el bitcoin puede ser corrompida por el resto de agentes necesarios para la ejecución de una compra online.

Como bien sabe, en toda transacción vía criptomonedas la identidad del emisor y el receptor únicamente esta asociada a una dirección electrónica, lo que en teoría permite evitar que se asocie a una identidad real (creas la cuenta con un email nuevo no identificativo y listo).

A este tipo de privacidad se la suele denominar privacidad seudónima, y tiene, a fin de cuentas, las mismas debilidades que encontramos en los seudónimos con los que firma un escritor o un artista: no son identificativos mientras no haya alguna manera de asociar seudónimo con identidad real, ya que de haberla, a partir de entonces y también hacia atrás en el tiempo, ese seudónimo será identificativo.

Esto, trasladado al mundo de las criptomonedas y centrado en el bitcoin, significa conocer cómo de fácil resultaría a un interesado vincular las transacciones de una cartera a una identidad física.

Y ahí entran en juego las dichosas cookies y demás herramientas de monitorización digital, ampliamente utilizadas en markets de compraventa de productos y servicios como una manera cómoda de obtener un feedback analítico del negocio sin “molestar” al usuario.

Cuando nosotros realizamos una compra en una tienda online, de media esta tienda filtra información de la misma a alrededor de 40 proveedores de servicios digitales, lo que son 40 potenciales vectores de ataque.

En la mayoría de estos casos, los datos son puramente estadísticos, y aunque ya hemos visto que no siempre un dato anonimizado es completamente anónimo, lo que más debería preocuparnos son aquellos otros se encargan de filtrar información propia de la compra, como el momento en el que se hizo y la cuantía.

Con estos datos, se podría consultar la cadena de bloques (algo público de bitcoin) a ver quién en ese instante realizó una transacción de esa cuantía. Para ello, eso sí, habría que tener en cuenta tres elementos:

  • El precio vendrá en moneda tradicional: Los datos enviados por proveedores de servicio no suelen estar asociados al valor del bitcoin, sino a los dólares o euros del cambio. Habría que consultar el precio en ese instante para poder contrastarlo con la cadena de bloques oportuna.
  • El timing de la cadena de bloques puede no ser exactamente el mismo que tenga el proveedor: Una cosa es que el usuario llegara a la página final del carrito (el dato recogido por el pixel de seguimiento), y otra bien distinta es que en ese mismo instante se hiciera la compra. Puede haber un delay de hasta unos escasos segundos, lo que significa calcular el precio en bitcoin para cada una de las opciones y contrastarlo con varias cadenas de bloques.
  • Suplementos u ofertas no contempladas: Para terminar, algo tan simple como los gastos de envío o los impuestos puede que no aparezcan en los registros de los proveedores, variando sutilmente el precio final, y complicando la identificación.

Aún con todo esto, los investigadores han conseguido realizar una vinculación única en más del 60% de los casos. Más de un 60%, con los recursos de una universidad.

Ahora imagínese si en vez de ser unos investigadores universitarios, estamos ante una agencia de inteligencia o un equipo de cibercriminales, con los recursos que podríamos esperar de un gobierno o de la propia industria del cibercrimen.

Para terminar, quería señalar que hay algunas opciones que complican aún mas la identificación, como es el uso de servicios como CoinJoin (ES), encargados de agrupar diferentes transacciones de manera que el registro escrito en la cadena de bloques no corresponde a cada una por separado, sino a varias juntas (ergo, un timing de publicación y un valor económico que será el sumatorio de todas las compras efectuadas, y diferirá por tanto de los registros que pueda tener un proveedor).

Y hecha la ley, hecha la trampa. Según palabras de Goldfeder:

“Si la víctima emplea tres rondas de CoinJoin y el adversario observa dos de los pagos de la víctima, puede vincularlas a su billetera (a pesar de la mezcla) con un 98% de precisión“.

Además, sobra decir que establecer mecánicas de tergiversación informativa y el uso de herramientas que bloquean trackings minimiza considerablemente el riesgo.

Pero con lo que quiero que se quede es que las criptomonedas, pese a que por sí mismas ofrecen un nivel de privacidad más que aceptable, lo pierden en el momento en el que entran en juego otros actores.

De ahí que el mayor problema que tiene la industria del cibercrimen a día de hoy no sea engañar a las víctimas, sino más bien encontrar la manera de transformar esos bitcoins que han conseguido en dinero físico. Ese momento incómodo en el que toca asociar una cartera anónima a una red de blanqueo de capital, que en última instancia tendrá que estar asociada a una identidad real, en un ecosistema financiero controlado por organizaciones y agentes de la autoridad.

Para el grueso de la sociedad en efecto una transacción vía bitcoin es anónima. Pero si se tienen los suficientes recursos, la cosa cambia…