Las formas poco conocidas en que Ethereum revela la ubicación del usuario

"La gente no se da cuenta de cuánta información está disponible públicamente".

Se trata de Peter Szilagyi, un desarrollador CORE de Ethereum que administra el cliente de software Geth, refiriéndose al hecho de que se ha prestado poca atención a la capa de red subyacente de la cadena de bloques, donde la información a veces se expone de formas complejas e impredecibles.

De hecho, existe una conciencia de las implicaciones de dicha exposición, y ha dado lugar a unaaceleración continua en una investigación sobre cómo ocultar mejor los datos del usuario en el nivel de la aplicación, que se encuentra sobre la cadena de bloques Ethereum , un sistema transparente que publica datos de transacciones y contratos inteligentes.

En una entrevista, Szilagyi describió los componentes peer to peer que sustentan la segunda cadena de bloques más grande del mundo por capitalización de mercado como una "cosa de magia negra".

Esta situación se destacó durante su charla en la conferencia anual para desarrolladores, Devcon4, celebrada la semana pasada en Praga. Szilágyi detalló una serie de preocupaciones que podrían provocar la filtración de metadatos de los usuarios con el tiempo y, en el peor de los casos, proporcionar la base para un mapa global preciso de la ubicación de los usuarios de Ethereum .

Durante la charla del viernes pasado, Szilagyi se centró en dos maneras en que esto podría suceder, con especial atención a sitios web como el popular explorador de blockchain, Etherscan, y "clientes ligeros" como aplicaciones móviles o basadas en navegador.

"Cuando las personas abandonan los nodos completos, renuncian a ciertas garantías y solo quiero destacar qué problemas potenciales podrían surgir", dijo Szilagyi a CoinDesk.

Szilagyi empezó a experimentar estos problemas tras iniciar un proyecto paralelo: una alternativa a Facebook descentralizada y privada por defecto. Como resultado de la investigación, Szilagyi afirmó que las filtraciones de metadatos dificultan la interacción anónima.

"No tenemos eso en Ethereum", explicó Szilagyi. "La razón por la que estas filtraciones empezaron a molestarme es ese proyecto".

El viernes, Szilágyi afirmó que muchos de los problemas están tan arraigados que es difícil abordarlos sin correr el riesgo de dañar las aplicaciones que se ejecutan sobre Ethereum. Aun así, el desarrollador detalló métodos que podrían mitigar el riesgo para los usuarios.

"La mayoría de las personas en blockchain y Ethereum quieren construir desde arriba, mientras que hay un equipo en la base que hace el trabajo sucio", dijo a CoinDesk, y agregó:

"No es que sean problemas irresolubles, pero alguien tiene que entender que existen".

Rastreadores extraños

Durante su charla en Devcon, Szilágyi explicó las diversas maneras en que se puede exponer información confidencial del usuario al interactuar con Ethereum. Tomando como ejemplo Etherscan, Szilágyi explicó que cuando los usuarios acceden al sitio web, se revela una combinación específica: un LINK entre la dirección IP del usuario y su dirección de Ethereum .

Y esto es notable porque, como un número de identificación único de computadora, una dirección IP revela datos de ubicación del usuario.

Esta información se comparte con Google Analytics y Etherscan. Además, la herramienta de comentarios subyacente de Etherscan (un popular complemento para comentarios en sitios web llamado Disqus) también recibe esta información y comparte dicha actividad con sus socios.

"Disqus en realidad revela la correspondencia de direcciones IP a Ethereum con Facebook, Twitter y Google Plus", dijo Szilagyi.

Disqus cuenta con 11 integraciones de este tipo en total, como YouTube, Vimeo y otros servicios, que también reciben esta información. La herramienta también contiene otros "rastreadores extraños", explicó Szilágyi, incluyendo plataformas de inteligencia artificial y mercados de datos.

Y esto es notable porque no solo afecta a Etherscan, sino a cualquier aplicación descentralizada (dapp) que utilice las mismas herramientas.

"Esto es un problema porque, en esencia, estás asociando tu dirección IP a Ethereum y la estás revelando a una gran cantidad de servicios", continuó Szilagyi.

Etherscan ha tomado medidas para eliminar estas funciones, afirmó Szilagyi. Actualmente, utiliza Google Analytics, pero su equipo busca eliminarlo del sitio web. Tras haber dependido de una empresa publicitaria externa, Etherscan también está tomando medidas para internalizar la red publicitaria.

Pero otras dapps afectadas pueden no ser tan proactivas como Etherscan a la hora de abordar las filtraciones, según Szilagyi.

Según explicó:

"Conseguimos que Etherscan lo arregle, pero ¿podemos conseguir que la dapp número 2000 lo arregle? Probablemente no. Así que los usuarios también deben protegerse".

La misma información (dirección IP de Ethereum) se comparte cuando los usuarios acceden también a otros servicios, continuó Szilágyi, como Infura, MetaMask y MyCryptoWallet.

Protocolo de Explora

Szilagyi ofreció otras rutas para solucionar este dilema, incluido el uso de la red Tor para ocultar direcciones IP y el navegador Brave para bloquear los rastreadores en línea.

Pero, según el desarrollador, existen otras formas más sutiles de acceder a Ethereum y exponer información confidencial. Tomando como ejemplo los clientes ligeros (la forma simplificada y con poco almacenamiento que utilizan los usuarios de Ethereum para acceder a la red), Szilagyi explicó que existen dos tipos de actividad en la red que son fácilmente rastreables.

El primero es lo que se conoce como "protocolo de Explora ".

Cuando los clientes ligeros se conectan a la red Ethereum , también se revela la IP. Dado que los clientes ligeros se reconectan continuamente, el protocolo de Explora revela un mapa preciso de la ubicación del usuario.

"Cada vez que me conecto a la red, en realidad le estoy revelando a la red que esta máquina que la semana pasada estaba en Berlín, esta semana estaba en Praga", dijo Szilagyi.

Estos datos de ubicación son públicos, por lo que, en teoría, cualquiera puede escanear la red para construir un mapa global altamente preciso de las ubicaciones de los usuarios de Ethereum .

"Si estás dispuesto a hacer esto, por ejemplo, todos los días, simplemente intentar escanear la red todos los días, entonces realmente puedes crear un historial extremadamente preciso de dónde se movió cada nodo individual de Ethereum a lo largo del tiempo", dijo Szilagyi.

Además, un aspecto clave del funcionamiento de los clientes ligeros es la forma en que el software minimiza la actividad al conectarse a direcciones asociadas a un usuario. Si bien este enfoque reduce el ancho de banda, la latencia y el tráfico, el impacto es que las relaciones entre IP y direcciones se hacen explícitas en la red.

"Los servidores ligeros podrán determinar estadísticamente que esta dirección IP en particular está interesada en una dirección en particular", dijo Szilagyi.

Al igual que con el protocolo de Explora , esta información es fácilmente accesible. Sin embargo, desafortunadamente, conectarse a través de Tor perjudicará la fiabilidad del cliente ligero.

"Ahora no tenemos un mapa mundial de direcciones IP en movimiento, ahora tenemos un mapa mundial de direcciones Ethereum en movimiento", dijo Szilagyi, y agregó:

"Y, de nuevo, de forma similar al protocolo de Explora de Ethereum , esto lo puede hacer públicamente todo el mundo".

Mejores prácticas

Lamentablemente, según Szilagyi, no existe una solución sencilla para muchos de estos problemas, ya que algunos son inherentes al funcionamiento de los clientes y exploradores ligeros. Sin embargo, al hablar con la audiencia el viernes, el desarrollador ofreció recomendaciones precisas para los usuarios y desarrolladores de Ethereum de cara al futuro.

En concreto, Szilagyi desglosó tres maneras en que esta información puede ocultarse mejor en el corto plazo.

En primer lugar, argumentó que los usuarios deberían ejecutar nodos completos. Si bien requieren un mayor uso de hardware, los nodos completos permiten almacenar todos los datos localmente y acceder a ellos sin interactuar con nadie más. Además, dado que los nodos completos verifican que el estado subyacente de Ethereum sea correcto, ejecutar un nodo completo también ofrece beneficios de seguridad.

"Aunque a la gente no le gustan los nodos completos, estos son en realidad los mejores anonimizadores en el ecosistema Ethereum ", dijo Szilagyi.

En segundo lugar, Szilagyi sostuvo que los desarrolladores deberían mirar el trabajo que se ha hecho anonimizando las capas de red, como el navegador Tor e I2P, para investigar cómo ocultar mejor las fugas de metadatos a nivel de red.

«La Privacidad en Ethereum es muy mala, muy mala. Pero eso no significa que sea imposible de resolver», dijo. «Se han dedicado 20 años de investigación a cómo hacerlo correctamente, así que al menos intentemos Aprende de sus resultados y tratar de solucionarlo».

Por último, Szilagy instó a los desarrolladores a no culpar a los usuarios por malas prácticas de Privacidad al interactuar con Ethereum. También señaló que muchos usuarios podrían desconocer la existencia de opciones como el navegador Tor.

En ese sentido, Szilagy afirmó: "Depende de nosotros, como desarrolladores de plataformas y dapps, descubrirlo y solucionarlo".

Con esto en mente, Szilagy concluyó con una advertencia. Citando a Facebook como ejemplo, el desarrollador afirmó que, si las características que garantizan la privacidad no se integran desde el principio, este enfoque podría tener repercusiones en el futuro.

"No creo que Facebook se haya creado para recopilar datos de los usuarios, no se creó para abusar de las elecciones, eso simplemente sucedió", dijo Szilagy, y concluyó:

No queremos solucionarlo para proteger a los usuarios no solo de ataques externos; creo que es muy importante destacar que también queremos proteger a los usuarios de nosotros mismos.

Imagen de Devcon a través de los archivos de CoinDesk