35 millones de usuarios tienen en su navegador una etiqueta digital con su nombre sin saberlo.

Un monedero criptográfico de navegador puede revelar mucho más que la dirección elegida por el usuario. Investigadores de la Universidad Católica de Lovaina (KU Leuven) descubrieron que extensiones populares permiten vincular varias cuentas de un mismo propietario, rastrear sus desplazamientos entre sitios y correlacionar la actividad habitual en internet con el estado de los activos en criptomonedas.
Los autores del estudio examinaron 85 monederos de la tienda de extensiones de Chrome, que en conjunto usan más de 35 millones de personas. El análisis abarcó las solicitudes de red, el funcionamiento de los permisos y la interacción de los monederos con 30 aplicaciones populares de Ethereum. Los especialistas identificaron cinco amenazas a la privacidad relacionadas tanto con el intercambio de datos en segundo plano como con el acceso de sitios a las interfaces de las extensiones.
Uno de los problemas surge durante la comprobación habitual del saldo y del historial de operaciones. Los monederos envían solicitudes con direcciones públicas a servicios externos, y el orden y el momento de esas consultas permiten determinar qué direcciones pertenecen a una misma persona. Señales similares se encontraron en 17 monederos, que usan aproximadamente 23 millones de personas, es decir, el 65,4 % de la audiencia de las extensiones estudiadas.
Otro canal de seguimiento está relacionado con el mecanismo de detección de monederos instalados. Un sitio puede, sin permiso, conocer los nombres y la combinación de extensiones en el navegador, convirtiendo ese conjunto en una huella digital persistente. Un esquema vulnerable era compatible con 36 monederos con una audiencia total de alrededor de 29 millones de usuarios. Borrar las cookies y los datos de sitios en ese caso no impide identificar al visitante.
Un riesgo particular lo crean los permisos que siguen vigentes después de cerrar sesión en una aplicación. De los 36 monederos compatibles, 22 no eliminaban correctamente el acceso concedido anteriormente y continuaban devolviendo la dirección del sitio en visitas posteriores. Una dirección antigua permite vincular nuevas sesiones, otros monederos y varias cuentas de un mismo propietario. La situación empeora por parte de las propias aplicaciones: solo 11 de las 30 plataformas comprobadas revocaban realmente el permiso al pulsar el botón de salida.
Los especialistas también mostraron cómo un código publicitario o analítico puede obtener la dirección del monedero en un sitio común no relacionado con criptomonedas. Para el ataque se usa un bloque incrustado invisible con una aplicación visitada previamente. La interfaz dentro de ese bloque era expuesta por 23 extensiones del navegador, que alcanzan a casi 28 millones de usuarios. En 14 casos la dirección seguía siendo accesible incluso después de bloquear la extensión.
Al obtener la dirección, el servicio de seguimiento puede analizar los datos públicos de la cadena de bloques, incluido el saldo, las operaciones y los tokens, y luego correlacionarlos con sitios de noticias visitados, compras, consultas de búsqueda, correos electrónicos o números de teléfono. Un escenario así puede privar al propietario del monedero de su seudonimato sin robar claves ni confirmar operaciones.
Los autores proponen prohibir que los monederos agrupen varias direcciones en una misma solicitud de red, limitar la duración de los permisos y exigir un nuevo consentimiento para acceder a las cuentas. Además, las extensiones deberían exponer sus interfaces únicamente a la página principal, y se recomienda a las aplicaciones prohibir la carga dentro de sitios de terceros. Según los especialistas, el problema tiene un carácter sistémico y está relacionado no con errores aislados, sino con la forma en que está organizado todo el ecosistema de monederos de navegador.