Argumento de Bitcoin KYC con el que todo el mundo puede relacionarse…

Examinadas desde el punto de vista de la seguridad y la privacidad, las razones por las que KYC nunca debe ser el predeterminado son obvios.

INTRODUCCIÓN

En el Libro blanco de Bitcoin Satoshi Nakamoto citó la necesidad de un sistema de dinero en efectivo basado en Internet que no requiriera un tercero de confianza. Unos meses después, Nakamoto presentó al mundo la red Bitcoin. El siguiente mensaje se incluyó en el bloque cero (el «bloque génesis») de la cadena de bloques de Bitcoin: «The Times 03/enero/2009 Canciller al borde del segundo rescate bancario». Por un lado, la cita alude a un artículo de prensa del Reino Unido en el que se describe la consideración por parte del Canciller Alistair Darling de un segundo rescate a los bancos, que implicaría la inyección de miles de millones de libras esterlinas adicionales en la economía. Por otro lado, la cita alude al descontento y la desconfianza de Nakamoto hacia el sistema financiero tradicional y, en general, hacia los terceros de confianza. Esto queda claro en el resumen del libro blanco y en las primeras líneas del primer párrafo. En otra sección del libro blanco, Nakamoto compara el modelo tradicional de privacidad financiera con el modelo de privacidad de Bitcoin. En el modelo de Bitcoin, las terceras partes acreditadas ya no son responsables de proteger la privacidad de un individuo restringiendo el acceso a la información. De hecho, no se requiere ninguna información personal identificable. Los individuos pueden mantener su privacidad con Bitcoin «manteniendo las claves públicas anónimas». En una de las primeras entradas del foro de Bitcoin, Nakamoto escribió lo siguiente:

«Debemos confiarles nuestra privacidad y tener fe en que no permitirán que los ladrones de identidad vacíen nuestras cuentas […] confiando en el administrador del sistema para proteger su privacidad». La privacidad podría anularse en cualquier momento a discreción del administrador, que sopesaría el principio de privacidad frente a otras preocupaciones, o por indicación de sus superiores. […] Ya es hora de que tengamos la misma moneda. […] sin necesidad de depender de un tercero intermediario, el dinero puede mantenerse seguro y las transacciones pueden ser sencillas. […] El resultado es un sistema distribuido sin un solo punto de fallo. Los usuarios tienen las claves [privadas] de sus fondos y realizan las transacciones entre ellos directamente».

Nakamoto dudaba en confiar a terceros su privacidad y sus fondos. En concreto, Nakamoto citó varios fallos del modelo tradicional de privacidad financiera: malos actores o ladrones de identidad, falta de integridad de los administradores y exigencias autoritarias de «superiores» como el gobierno. La larga historia de los gobiernos deudores de divisas (ver El Estándar Bitcoin) ejemplifica una manifestación de estos fallos, al igual que el evento al que se hace referencia en el bloque de génesis. Nakamoto, aludiendo a Bitcoin, sugirió que estos problemas podrían resolverse con «un sistema distribuido sin un solo punto de fallo».

Bitcoin se ha anticipado durante mucho tiempo. Otros habían hablado de moneda «privada», «soberana» y «electrónica» durante al menos una década antes de la aparición de Bitcoin. «El individuo soberano» predice una moneda de Internet privada y sin permisos, y «Criptonomicón» describe el oro digital anónimo. Nakamoto diseñó Bitcoin con los siguientes atributos: Bitcoin es seudónimo, puede utilizarse de forma privada y no requiere permiso. Sin embargo, las normas de «conozca a su cliente «1 (KYC, por sus siglas en inglés) han demostrado ser omnipresentes, persistentes y problemáticas para los usuarios que intentan aprovecharse de estas propiedades.

Junto con el movimiento del precio de Bitcoin de 2020 a 2021, las empresas de Bitcoin han experimentado un enorme crecimiento. A finales de 2020, Coinbase espera tener más de 35 millones de usuarios en más de 100 países. Además, en 2022 Coinbase lanzó un anuncio de 60 segundos en la Super Bowl con un código QR flotante que recibió más de 20 millones de visitas en menos de un minuto. El director de producto de Coinbase, Surojit Chatterjee, lo describió como «histórico y sin precedentes». Sin embargo, Coinbase es sólo uno de los muchos negocios de éxito. Según las fuentes, entre los intercambios centralizados Coinbase ocupa el sexto lugar entre los intercambios de criptodivisas más confiables, detrás de Binance (#1), OKX , FTX , KuCoin y Huobi Global (#5), y entre los Bolsas descentralizadas coinbaazar se acerca rápidamente. Juntos, estos intercambios han verificado las identidades de incontables millones de usuarios. Estos esfuerzos masivos de KYC contrastan con el sistema de dinero anónimo, sin permisos, P2P y sin terceros de Nakamoto. Además, el KYC genera honeypots de información de los usuarios y genera un sistema social basado en permisos.

KYC CREA HONEYPOTS DE INFORMACIÓN DE LOS USUARIOS

Cuando una persona se registra en una bolsa o en un servicio relacionado, es probable que se le pida que proporcione información KYC, o información de identificación personal (PII). Normalmente, la IIP incluye un selfie, un permiso de conducir, un número de la seguridad social, una dirección, una dirección de correo electrónico y un número de teléfono. Normalmente, un servicio de terceros, como Prime Trust, almacena la IIP. Cuando Nakamoto afirmó: «Debemos confiarles nuestra privacidad y tener fe en que no permitirán que los ladrones de identidad vacíen nuestras cuentas», se refería a las bolsas y a sus proveedores de servicios asociados. Todos estos terceros conllevan riesgos inherentes, como los malos actores (por ejemplo, un ataque interno; BitThumb, 2019), la falta de integridad de los administradores (por ejemplo, la estafa de la salida de BitConnect) y la sensibilidad de la demanda gubernamental (por ejemplo, el IRS obliga a cumplir). Cuando Nakamoto se refiere a los «ladrones de identidad», se refiere a las violaciones de datos en las que los hackers obtienen acceso a la IIP y se benefician de ella a través del robo directo, la venta de la IIP a terceros o la extorsión. Teniendo en cuenta toda la IIP proporcionada, KYC crea un «honeypot» de información de usuario explotable.

Las violaciones de datos se han vuelto cada vez más comunes con el tiempo:

– Incidente de seguridad de datos en 2016

– Una filtración de datos en T-Mobile expuso la información personal de más de 47 millones de personas

– Un hacker accedió a 100 millones de cuentas y solicitudes de tarjetas de crédito de Capital One.

– Un error en la API del Servicio Postal de EE.UU. deja al descubierto a 60 millones de usuarios

– Casi la mitad de la población estadounidense podría verse afectada por la filtración de datos de Equifax

• Target Pays $18.5 Million To Settle 2013 Customer Data Breach Due To Hacking

– El ciberataque de JPMorgan Chase afecta a 76 millones de hogares

– CVS y Walmart Canadá están llevando a cabo una investigación sobre una violación de datos

– El sitio web de Sony Pictures fue hackeado, exponiendo 1 millón de cuentas de usuarios

– En una filtración masiva de datos, 235 millones de perfiles de usuarios de Instagram, TikTok y YouTube quedaron expuestos

De 2005 a 2020, las violaciones de datos han aumentado en más del 500%, según Statista. Además, según el informe Cost of Data Breach Report, la PII de los clientes se vio comprometida en el 80% de todas las violaciones de datos en 2019. (nombre, información de tarjetas de crédito, registros de salud e información de pago). Además de los tipos más sensibles de PII, como los números de seguridad social, los números de licencia de conducir y los datos biométricos, las violaciones de datos también pueden involucrarlos.

Todos los terceros de confianza, incluidas las empresas de Bitcoin, son susceptibles de sufrir una violación de datos. Consideremos, por ejemplo, el hackeo de Ledger de julio de 2020. Según una declaración oficial del CEO de Ledger, se comprometieron 1 millón de direcciones de correo electrónico y 9.532 piezas de información personal más detallada (direcciones postales, nombres, apellidos y números de teléfono). Ese mismo año, la base de datos de clientes de Ledger se subió al foro de intercambio de bases de datos y mercados Raidforum. Varios usuarios de Ledger denunciaron posteriormente intentos de suplantación de identidad, extorsión y correos electrónicos amenazantes, incluidas amenazas de secuestro y asesinato.

El usuario de Reddit Cuongnq recibió un correo electrónico de suplantación de identidad en el que se le indicaba que debía «descargar la versión más reciente de Ledger Live» y configurar un «nuevo PIN» para su monedero. Silkblueberry, otro usuario de Reddit, recibió un correo electrónico en el que se le informaba de que unos vídeos pornográficos en los que aparecía masturbándose estaban en poder de unos hackers que le amenazaban con publicarlos si no les pagaba en Bitcoin. Silkblueberry reconoció el engaño. Sin embargo, si no les enviaba 500 dólares en Bitcoin, los hackers le amenazaron con vincular su correo electrónico a «sitios de pornografía infantil» e inculparle como «depredador de niños». Unos desconocidos exigieron el pago a otro usuario por teléfono. Si no enviaba el pago antes de la medianoche de ese día, el hombre amenazaba con «presentarse en su casa, secuestrarlo y «apuñalar hasta la muerte» a los familiares que vivieran en su domicilio».

El hackeo de Ledger es un excelente ejemplo de lo perjudicial que puede ser un honeypot de KYC comprometido. No obstante, algunos pueden argumentar que los servicios KYC son necesarios porque proporcionan una rampa de entrada fácil para los recién llegados y que el riesgo merece la pena. Existen numerosas alternativas no relacionadas con el sistema KYC que se sabe que protegen la privacidad y la seguridad de las personas. Además, estas alternativas no KYC se han simplificado con el tiempo gracias a la disponibilidad de numerosas guías y recursos. Las alternativas sin KYC incluyen: (1) comprar Bitcoin a través de intercambios descentralizados entre pares como Bisq Network o Hodl-Hodl; (2) comprar Bitcoin de forma privada en un cajero automático de Bitcoin; (3) comprar o vender cara a cara o vender bienes y servicios en un encuentro de Bitcoin; y (4) minar Bitcoin en casa.

Otros pueden citar el uso criminal de Bitcoin y sugerir que KYC proporciona a los individuos la tranquilidad de que no están financiando inadvertidamente una actividad criminal. Sin embargo, a diferencia del dólar estadounidense, el uso de Bitcoin en actividades delictivas es mínimo. Jennifer Fowler, Subsecretaria Adjunta de la Oficina de Financiación del Terrorismo y Delitos Financieros, testificó en 2017 durante una audiencia del comité judicial que «aunque las monedas virtuales se utilizan para transacciones ilícitas, el volumen es pequeño en comparación con el volumen de la actividad ilícita a través de los servicios financieros tradicionales.» Dadas las diferencias en el volumen, es poco probable que la compra de Bitcoin que no sea Conozca a su Cliente (KYC) financie inadvertidamente la actividad criminal. Cuando se compra o se vende de igual a igual en un encuentro local de Bitcoin o en un cajero automático de Bitcoin, esto es aún menos probable.

Bitcoin fue diseñado en parte para ser seudónimo, pero el nivel actual de los procedimientos de Conozca a su Cliente (KYC) socava completamente esta propiedad. Millones de usuarios de todo el mundo asocian sus identidades a sus Bitcoins, y cada uno de ellos contribuye a la creación de honeypots de información de los usuarios. Esto sigue siendo cierto a pesar de la abrumadora evidencia de que las violaciones de datos se han convertido en algo prácticamente habitual. En lugar de sacrificar el seudonimato, asumir un riesgo adicional o contribuir al problema, los usuarios deberían formar parte de la solución reclamando su seudonimato, reduciendo los riesgos y protegiendo la información personal identificable mediante el uso de alternativas que no sean de tipo KYC.

KYC GENERA UN SISTEMA SOCIAL PERMITIDO.

La red Bitcoin es un sistema de dinero en efectivo sin permiso y sin control de terceros. Sin embargo, la mayoría de la gente no utiliza Bitcoin de esta manera. Los individuos confían en los servicios de KYC de terceros, incluyendo los intercambios de Bitcoin, las plataformas de rendimiento y la minería alojada, entre otros. El KYC no sólo compromete su seudonimato, sino también su privacidad transaccional. Esto es cierto incluso después de haber tomado posesión de su Bitcoin. A diferencia del dinero físico, en el que un banco no puede rastrear lo que usted hace con él después de retirarlo, un tercero, como un intercambio, puede rastrear lo que usted hace con su Bitcoin después de retirarlo. Esto es, hasta que se tomen las medidas de privacidad apropiadas, como unirse a una red coinjoin2.

Incluso si la identidad de un individuo puede ocultarse a través de las transacciones de Bitcoin, el tercero que realiza el KYC retiene toda la información personal identificable (PII) sobre el usuario, incluyendo el nombre, la dirección, los selfies y el importe total de la compra. El KYC genera un sistema social basado en permisos con acceso a la PII y la capacidad de espiar el comportamiento transaccional. Existen numerosos casos en los que KYC genera un sistema social basado en permisos (por ejemplo, límites y restricciones, medidas de verificación intrusivas, listas blancas de direcciones e intervenciones estatales). Esta sección examina CoinJoin como ejemplo de un comportamiento prohibido dentro de un sistema social autorizado. La selección de CoinJoin se basó en la importancia de su papel en la privacidad cotidiana.

Dado que Bitcoin es un libro mayor público, se recomienda «hacer de cada transacción un CoinJoin». Esto es cierto debido a dos factores. En primer lugar, CoinJoining restringe las conclusiones que un tercero que espía podría sacar del historial de transacciones de uno. En segundo lugar, CoinJoining impide que otras personas se inmiscuyan en la información financiera de un individuo. La importancia de la primera razón radica en el hecho de que, como se ha comentado anteriormente, un tercero puede rastrear las transacciones de Bitcoin de un usuario, y CoinJoining puede ayudar a los usuarios a conseguir una posible privacidad. A diferencia del dinero en efectivo o las tarjetas de débito/crédito, donde un comerciante (el beneficiario) no puede ver las finanzas de un pagador (por ejemplo, los saldos de las cuentas bancarias), con Bitcoin los beneficiarios pueden ver las finanzas de un pagador – o, al menos, el UTXO que se está gastando. Esto equivale a compartir el extracto bancario con cada transacción.

Si se toma un momento para considerar algunas de las situaciones que podrían resultar de tal circunstancia, reconocerá rápidamente las implicaciones para la privacidad. Samourai Wallet ofrece una ilustración satírica: Imagina que el párroco de tu iglesia pudiera ver tu suscripción a OnlyFans cuando depositas un billete de dólar en el plato de la colecta. El billete de un dólar en esta ilustración representa una transacción típica de Bitcoin. Al ocultar el historial de transacciones del pago, CoinJoin habría dado al usuario de este ejemplo la privacidad necesaria para evitar esta incómoda situación. Consideremos el caso extremo de pagar a alguien una pequeña suma mientras se utiliza un gran UTXO (algo así como sacar una enorme moneda de oro sólo para rebajar una pequeña porción). El receptor del pago podría verificar que el pagador posee una cantidad sustancial de Bitcoin. Esto puede aumentar el riesgo del pagador de sufrir un ataque con una llave inglesa de cinco dólares. Un CoinJoin habría dividido un gran UTXO en UTXOs más pequeños, reduciendo la capacidad del beneficiario para determinar las posesiones del pagador; el beneficiario sólo ve que está gastando calderilla. Teniendo en cuenta estos ejemplos, es evidente que Bitcoin carece de características esenciales de la moneda física que CoinJoin puede compensar. A pesar de los beneficios que CoinJoin proporciona a los usuarios, los servicios de terceros prohíben su uso bajo la falsa suposición de que CoinJoin es malicioso o arriesgado. Un sistema social autorizado ha etiquetado efectivamente a CoinJoins como «malo» debido a la prevalencia de la prohibición de CoinJoin entre los intercambios de criptodivisas más populares.

Consideremos el ejemplo de BlockFi. Tienen una página de «usos prohibidos» que declara su intención de mantener un «estricto cumplimiento normativo» y prohíbe los depósitos y retiros hacia o desde servicios de mezcla, peer-to-peer y otros intercambios que carecen de KYC, sitios de apuestas y mercados de la web oscura. Además, BlockFi «se reserva el derecho de devolver los fondos y congelar/cerrar las cuentas según convenga». BlockFi es solo uno de los muchos intercambios conocidos que prohíben o marcan los CoinJoins. En uno de los casos más extremos, el usuario de Reddit Bujuu informó que su cuenta de intercambio fue cerrada debido a la «cantidad y frecuencia» de sus transacciones CoinJoin. Bitvavo afirmó que Bujuu suponía un «riesgo inaceptable» y cerró su cuenta como medida de precaución. Más tarde, Bujuu declaró: «Me molesta un poco no poder hacer lo que quiera con mi BTC porque todo está vigilado». La prohibición de CoinJoin es posiblemente uno de los ejemplos más claros de cómo el KYC da lugar a un sistema social con permisos.

Varios otros usuarios han informado de efectos secundarios menos graves. Un usuario afirmó: «@bottlepay rechazó mi transacción entrante de btc porque las monedas estaban en la cartera de samourai y/o mezcladas con @SamouraiWallet #Whirlpool / Si enviaste monedas mezcladas, serás castigado». Este usuario informó de este problema al depositar fondos, demostrando un examen retrospectivo del historial de su moneda. Otros han informado de un nivel idéntico de intrusión. Por ejemplo, otro usuario recibió un correo electrónico de Paxos que decía: «Hemos observado que una retirada de BTC de su cuenta fue posiblemente enviada a un conocido servicio de mezcla de Bitcoin. Este tipo de transacción está prohibido en la plataforma. Por favor, confirme si los fondos han sido transferidos a un servicio de mezcla». Esto demuestra un análisis anticipado del historial de la moneda, ya que el problema surgió debido a la retirada de fondos. Además, Riccardo Masutti afirmó que «@bitwala le envió un correo electrónico hace tres días sobre un par de transacciones post-CoinJoin que se produjeron hace casi seis meses», y Kristapsk afirmó que recibió «un correo electrónico de @BitMEX sobre [una] antigua transacción de depósito de #Bitcoin (el verano pasado) que ‘puede estar relacionada con una actividad que va en contra de 1.1(a) de los Términos de Servicio de HDR’, it Estos dos últimos ejemplos ilustran la profundidad del análisis de la cadena realizado por las entidades de KYC de terceros.

Se puede ver lo omnipresente que puede ser un sistema social con permiso cuando se tienen en cuenta todos los factores. Los usuarios quieren cosechar los beneficios de un CoinJoin, a pesar de que el CoinJoin está prohibido por muchos de los mayores intercambios de KYC de terceros (o servicios relacionados). Esta aversión generalizada a CoinJoin, junto con el flagrante análisis de la cadena, pone a los individuos que hacen KYC en una posición precaria. Los individuos que hacen KYC tienen prohibido ejercer derechos fundamentales de privacidad o se enfrentan a acciones punitivas si lo hacen. En cualquier caso, los individuos que cumplen con KYC son espiados. Cualquier persona razonable estaría de acuerdo en que se trata de una situación precaria, sobre todo cuando se participa en un sistema de efectivo descentralizado y alternativo sin terceros. A pesar de las evidentes ventajas de CoinJoin, actualmente se cree que los CoinJoins son demasiado «arriesgados». Craig Raw, fundador de Sparrow Wallet, comentó en un panel de CoinJoin en la conferencia Bitcoin 2022: «El futuro de la criptodivisa está descentralizado».

«Si utilizamos las herramientas que tenemos hoy [como CoinJoin], cambia la forma de pensar de la gente y cómo lo ve la sociedad. Si CoinJoin se generaliza hoy, eso alterará la forma en que la sociedad lo percibe, y creo que es importante no esperar demasiado para utilizar las herramientas porque… altera la forma en que se formarán las normas y reglamentos del mundo».

Según Raw, la normalización de CoinJoin depende de su uso. Por lo tanto, los individuos son responsables de ejercer sus derechos de privacidad. Esto no puede hacerse dentro de un sistema restringido, ni se concederán permisos. La normalización de CoinJoin debe producirse fuera de un sistema con permisos, como por ejemplo dentro de la red Bitcoin, tal y como fue concebida para ser utilizada: sin permiso.

CONCLUSIÓN

KYC generates honeypots of user information and gives rise to a social system with restricted access. When performing Know Your Customer checks, you are required to provide a substantial amount of sensitive personal information, which contributes to the honeypot. Given that an identity has been associated with your Bitcoin holdings, this action is sufficient to negate pseudonymity. Moreover, individuals must have faith that third parties will safeguard sensitive information. In addition, when you verify your identity, you voluntarily establish a relationship with a third party. In other words, you must adhere to the rules established by the third party or you may be subject to punitive measures such as asset seizure, account closure, or frozen assets. CoinJoin is an example of a prohibited behaviour within a permissioned social system due to the essential role it plays in everyday privacy. Upon inspection of the evidence, it is evident that KYC creates honeypots of user data and gives rise to a permissioned social system.

Similar Articles

Most Popular