CipherTrace de Mastercard utilizó 'honeypots' para recopilar información sobre billeteras Cripto

El 3 de marzo de 2020, justo antes de la hora del almuerzo en Washington, D.C., Stephen Ryan envió a alguien del Departamento del Tesoro de Estados Unidos una nota de agradecimiento con un detalle curioso.

Ryan, director de operaciones y cofundador de la empresa de investigación de Criptomonedas CipherTrace, fue ONE de los 16 ejecutivos que asistieron a una cumbre de la industria el día anterior con el entonces secretario del Tesoro, Steven Mnuchin. Junto con su agradecimiento por la reunión, Ryan adjuntó una presentación en diapositivas que describía la estrategia de CipherTrace para desmitificar las billeteras de Cripto . Entre esos métodos: los "honey pots".

Este artículo es parte del artículo de CoinDeskSemana de la Privacidad serie.

La nota de Ryan era parte de un conjunto de 250 páginasLos correos electrónicos de Mnuchin obtenido por CoinDesk a través de una Request de la Ley de Libertad de Información (FOIA). Partes de su presentación se parecen mucho a los materiales promocionales públicos de CipherTrace. Estos también han hecho referencia a "honeypots" o "Cripto " similares desde al menos 2018.

¿Qué hizo?Rastreo de cifrado¿Qué quiere decir con estos términos?CiberseguridadLa comunidad utiliza la frase “tarro de miel” para describir un objetivo señuelo que recopila información sobre atacantes desprevenidos. En otras palabras, una trampa.

CipherTrace, que el gigante de los pagos Mastercard compró el otoño pasado por un precio no revelado, es parte de una industria artesanal que monitorea la encrucijada de 14 mil millones de dólares al año entre las Criptomonedas y el crimen. Al examinar millones de transacciones diarias registradas en cadenas de bloques, o libros de contabilidad públicos, empresas como Chainalysis,Laboratorios TRM y Elípticobuscar señales de alerta y movimientos ilícitos, etiquetando direcciones sospechosas a medida que avanzan.

Las empresas presentan sus servicios como esenciales para normalizar las Cripto y acabar con el crimen. Los detractores critican a estas empresas de rastreo como narcos en cadena, a pesar de que trabajan principalmente con información pública.

CipherTrace no sería la primera empresa en este nicho en tender trampas con la esperanza de capturar información que no se puede encontrar en la cadena. Chainalysis, el proveedor líder de rastreo de Cripto , ha tenido durante años un sitio de exploración de billeteras que captura las direcciones IP de los visitantes y las vincula a las direcciones de blockchain que buscaron. La empresa admitido Esta práctica sólo en octubre, un mes después de que CoinDesk publicara un artículollamando la atención sobre ello.

Más de media docena de veteranos de la industria de las Criptomonedas le dijeron a CoinDesk que no tenían idea de lo que CipherTrace quería decir con “honeypots”. En una declaración proporcionada a CoinDesk, la compañía con sede en Los Gatos, California, dio la definición básica de seguridad informática sin explicar qué significaba en el contexto del análisis de blockchain.

“Un 'bote de dinero Cripto ' o 'bote de miel' es un término de seguridad que se refiere a un mecanismo que crea una trampa virtual para atraer a posibles atacantes”, dijo CipherTrace, y agregó que los documentos que mencionan estas tácticas son viejos. “CipherTrace ya no usa 'botes de dinero Cripto '”, dijo (aunque el sitio web de la compañía promocionaba ambos dinero y tarros de miel(a partir del jueves).

CoinDesk le preguntó a CipherTrace: “¿Su empresa recopila datos de direcciones IP con el fin de vincularlos a direcciones de billetera?”

Un representante de CipherTrace respondió: “Como empresa centrada en la privacidad, CipherTrace no asigna datos de IP a individuos privados”.

No respondió a la pregunta de CoinDesk sobre si CipherTrace asigna direcciones IP a billeteras. CoinDesk preguntó por segunda vez si CipherTrace asigna direcciones IP a direcciones de billeteras. CipherTrace no respondió.

Esa cautela “es un problema frecuente en el ámbito de la Privacidad , cuando hablamos de identificadores de red como direcciones IP”, dijo Sean O’Brien, investigador de ciberseguridad. “Las empresas intentan distanciarse de lo que tradicionalmente llamaríamos información de identificación personal diciendo que las direcciones IP son otra cosa. De hecho, son increíblemente útiles para identificar hogares, empresas e individuos”.

Por ejemplo, “si necesitas investigar una transacción de Bitcoin relacionada con un presunto delito cibernético, las direcciones IP son exactamente el tipo de información que estarías buscando”, dijo O’Brien. “Los primeros casos que involucraron a las fuerzas del orden e Internet se basaron en las direcciones IP como prueba, por una buena razón. Y son tan útiles para acosar y acechar a las personas como para procesarlas”.

Siguiendo el dinero

Las empresas de rastreo han sido durante mucho tiempo una fuerza importante, aunque poco reconocida, en el avance institucional de las criptomonedas. Para luchar contra la percepción de que el Bitcoin es principalmente una herramienta de Finanzas criminal, analizan los datos para identificar la escasa proporción que realmente lo es.

Chainalysis recientemente estimado que el 0,15% de las transacciones de Cripto en 2021 fueron ilícitas, con diferencia el porcentaje más bajo registrado (las billeteras “ilícitas” acumularon un récord de 14.000 millones de dólares el año pasado, una estadística aparentemente paradójica que Chainalysis atribuyó al auge del crecimiento de las criptomonedas).

CipherTrace afirma que su misión es “hacer crecer la economía de las Criptomonedas haciéndola confiable para los gobiernos, segura para la adopción masiva y protegiendo a las instituciones financieras de los riesgos del lavado de Cripto ”.

Según la presentación que se compartió con el Departamento del Tesoro, esa descripción probablemente sería compartida por todas las empresas competidoras. Llega al corazón de las preocupaciones de los detractores. Los maximalistas de la Privacidad creen que la naturaleza radicalmente transparente pero seudónima de Bitcoin debería FLOW independientemente del estado, y ven el trabajo de estas empresas como una traición a ese ideal.

“Es una especie de invasión a la Privacidad de los usuarios, de la misma manera que uno podría quejarse de las empresas de análisis web centralizadas que recopilan direcciones IP y colocan cookies en las computadoras de las personas y las rastrean de un sitio a otro”, dijo Juan luz, un educador de Cripto , escritor, podcaster y organizador de eventos con mucha experiencia.

El análisis en cadena es, en CORE, una carrera de atribución.

En los círculos de ciberseguridad,atribución significa identificar a los autores de un ataque. En el contexto de las Cripto , se refiere específicamente a la práctica de los detectives de blockchain de vincular direcciones de billeteras seudónimas a actores identificables. Estos actores podrían ser casas de cambio o custodios de Cripto autorizados, atacantes de ransomware, mercados de la darknet o personas o entidades sancionadas.

Por ejemplo: cualquiera con una conexión a Internet puede ver que, por ejemplo, la billetera abc123 transfirió 0,5 BTC a zxy987; esta información es bastante inútil por sí sola. Pero una base de datos rastreadora podría documentar que la Oficina de Control de Activos Extranjeros de los EE. UU. ha identificado a zxy987 como perteneciente a un señor de la guerra africano sancionado. O podría mostrar que los Bitcoin de abc123 fueron robados de una plataforma de intercambio.

Se trata de información valiosa para los exchanges que quieren eliminar la actividad ilícita, para los usuarios que quieren KEEP sus monedas limpias y para los gobiernos que quieren Síguenos el rastro del dinero. Todo esto se logra mediante una atribución rigurosa.

Con potencialmillones de dólaresEn los contratos de investigación en disputa, estas empresas tienen una necesidad urgente de extraer nuevos datos de atribución. CipherTrace, por ejemplo, ha conseguido 20 contratos con agencias federales, por un valor de hasta 3,5 millones de dólares, desde 2018, el más reciente de los cuales fue un trabajo de testigo experto, según los registros públicos.

En una industria que recompensa a quienes crean conjuntos de datos de atribución detallados y matizados, y un campo en el que los delincuentes están ávidos de información que los ayude a pasar desapercibidos, proteger el Secret de la atribución es primordial, dijeron dos profesionales con larga trayectoria.

Sin embargo, en su correo electrónico al Departamento del Tesoro, Ryan ofreció una muestra de “cómo se logra la atribución de Criptomonedas ”. Los honeypots fueron enumerados como una de las estrategias “activas” en la presentación.

Chainalysis: el as de la atribución en blockchain

El mayor competidor de CipherTrace comenzó a utilizar su propia técnica novedosa tres años antes.

Fundada en 2014 y valorada en junio en4.2 mil millones de dólaresChainalysis es el gigante de la industria del rastreo. Ha acumulado decenas de millones de dólares en contratos federales vendiendo software que visualiza la actividad en cadena. Si bien cualquier persona con una conexión a Internet puede examinar por sí misma los registros públicos de la cadena de bloques, necesitaría un poco de ayuda para entender lo que encuentre en la madriguera del conejo.

Pero el verdadero as comercial del rastreador es su conjunto de datos de atribución, dijeron tres expertos de la industria. Ninguna otra empresa ha acumulado una gran cantidad de datos de billetera tan detallados como Chainalysis, dijeron las fuentes.

Esto se debe, en parte, a que ningún otro rastreador tiene una presencia comercial tan masiva. Chainalysis proporciona software de rastreo a 500 "proveedores de servicios de activos virtuales" o VASP, como los llaman los reguladores. Es una relación mutuamente beneficiosa. Las empresas obtienen poderosas herramientas de cumplimiento de Cripto y Chainalysis agrega las direcciones de sus billeteras a su base de datos global. Sin embargo, no les pide a los clientes datos sobre sus clientes.

“No podemos hablar por todos los demás proveedores. Es posible que otros proveedores soliciten más información. Pero Chainalysis solo se ocupa de los datos de transacciones a nivel de servicio”, dijo la empresa. explicadoen una publicación de blog de 2019. En otras palabras, identifica solo a las empresas que sabe que controlan las billeteras, no a las personas.

Pero esa no fue toda la historia, y los clientes de Chainalysis y la información pública sobre las billeteras no fueron las únicas fuentes de información de la empresa.

En una presentación sin fecha para la policía italiana que se filtró en septiembre, un equipo de ventas de Chainalysis describió cómo la vasta red de nodos de billeteras Bitcoin y Electrum de la empresa captura datos valiosos de los usuarios, como direcciones IP, de las billeteras conectadas. Esto ayudó a los investigadores a Síguenos pistas criminales significativas, según la presentación.

La presentación de diapositivas también arrojó nueva luz sobrewalletexplorer.com, un popular explorador de bloques de Bitcoin administrado por Chainalysis desde 2015. Según los documentos, que CoinDesk verificó como auténticos, el sitio web "extrae" las direcciones IP de los usuarios sospechosos, vinculando su huella de Internet con la dirección de su billetera. Este conjunto de datos ha proporcionado "pistas significativas" para las fuerzas del orden.

"Nunca fue un Secret que Chainalysis poseía y operaba walletexplorer.com“Desde 2015, hay una declaración en la parte inferior de la página de inicio que dice que el autor del sitio trabaja en Chainalysis como analista y programador”, dijo un portavoz de la compañía a CoinDesk.

Un Secret a voces, tal vez, pero no un libro abierto. Chainalysis rara vez llamó la atención sobre el hecho de que walletexplorer.comestaba canalizando datos de usuarios a sus otras líneas de negocio.

Semanas después de CoinDesk reportado en walletexplorer.comEl sitio web adoptó una página de Aviso legal de Privacidad que explicaba, por primera vez, cómo su conjunto de datos llega a la línea de productos Chainalysis .

“Compartimos información de blockchain e información de visitantes con nuestras otras líneas de negocio de Chainalysis para ayudarnos a ofrecer y mejorar esos servicios. Por ejemplo, otras líneas de negocio de Chainalysis pueden usar la información que proporcionamos para conectar mejor una dirección de billetera Bitcoin con otra dirección de billetera Bitcoin ”, dijo el comunicado de prensa con fecha del 14 de octubre. Regulación dicho.

“Recientemente agregamos un aviso de Privacidad para brindar más información sobre cómo Chainalysis usa internamente la información recopilada de walletexplorer.comsitio web para ayudarnos a mejorar nuestros servicios”, dijo el portavoz.

¿Nada personal?

Si bien no está claro exactamente qué hacen los honeypots de CipherTrace, la palabra evoca un sistema que pretende hacer una cosa mientras activa otra. El propietario de una billetera que interactúe con un "honeypot" sería, por definición, ajeno a los motivos ocultos del servicio.

Chainalysis,Rastreo de cifrado y Elíptico Todos ellos han declarado anteriormente que no buscan vincular a las personas a sus billeteras. Su negocio consiste en ayudar a los gobiernos a investigar los delitos Cripto y garantizar que las plataformas de intercambio cumplan con las normas.

La denuncia de personas no forma parte de esa ecuación. Estas empresas simplemente Síguenos el rastro del dinero, dicen.

“La inteligencia blockchain que proporcionamos vincula las transacciones Cripto con entidades del mundo real, como bolsas, mercados de la darknet y entidades sancionadas”, dijo a CoinDesk Ari Redbord, jefe de asuntos legales y gubernamentales de TRM Labs.

“Esta información permite alertar a una plataforma de intercambio de Cripto si, por ejemplo, procesa una transacción que involucra una dirección que se ha utilizado anteriormente para financiar el terrorismo”, dijo. “Lo mismo se aplica a las transacciones involucradas en hackeos, ransomware, robos de identidad y otros ataques que perjudican a los inversores y usuarios de Cripto ”.

Pero “no atribuimos transacciones a individuos”, dijo Redbord sobre TRM Labs.

De manera similar, el representante de CipherTrace dijo que “no atribuye datos de billetera a individuos privados, con excepción de entidades sancionadas”. Lo ha hecho prolíficamente, alardeando en un ONE de 2019 Entrada de blogde atribuir 72.000 direcciones IP iraníes a 4,5 millones de billeteras.

Sigue siendo una incógnita si CipherTrace atribuye direcciones IP a otras billeteras. Los altos ejecutivos de la empresa afirman que no conservan “información de identificación personal”, sino solo “información de identificación comercial”.

“CipherTrace no mantiene información de identificación personal (PII), mantenemos información de identificación personal (BII)”, dijo el director ejecutivo de CipherTrace, Dave Jevans, en una entrevista en junio.

“Entendemos, por ejemplo, qué direcciones pertenecen a qué bolsa”, dijo. “Pero no rastreamos información individual sobre si eres tú quien está en esta dirección; ese no es nuestro negocio. No queremos hacerlo. Averiguaremos de dónde entra el dinero, de dónde sale y luego los tribunales y las fuerzas del orden se encargarán del resto”.

Como señaló O'Brien, el investigador de ciberseguridad, la definición de información de identificación personal de CipherTrace parece excluir las direcciones IP, junto con las ubicaciones físicas, según ONE de los propios investigadores de la empresa. publicaciones de blog: