General Guías OpSec

Disponiendo de crédito no rastreable en criptomonedas

2024/03/26
defsec

por W1lder

Las criptomonedas como Bitcoin (también llamadas BTC) y Monero (conocidas como XMR), se usan ampliamente en comunidades por su capacidad para mantener el anonimato de las transacciones. Sin embargo, este anonimato no es inherente a ellas, salvo, quizás, en el caso de Monero. Para lograr operar con estas criptomonedas de una manera segura, es necesario seguir una serie de pasos previos.

¿Por qué es importante y cómo puede ayudarte esta información? Imagina que necesitas realizar compras en alguna plataforma o foro, para adquirir alguna herramienta que te sea de utilidad. Quizás el producto que estás comprando no sea ilegal ni levante sospechas por sí solo, pero el lugar donde lo compras o el usuario al que le envías el dinero, puede estar siendo vigilado, y cualquier billetera que interactúe con él, incluida la tuya, puede ser objeto de investigación.

En ese caso, si no tomas las medidas oportunas, aunque operes con criptomonedas, correrás el riesgo de que tu identidad sea trazada. No es algo fácil, ni barato, pero si un adversario tiene los medios y los recursos para hacerlo, y tienes la suficiente relevancia para él, ten por seguro que lo conseguirá.

Diferencias principales de privacidad entre Bitcoin y Monero

Bitcoin se estableció en su momento como la criptomoneda de facto. No obstante, fue diseñada para ser pública y transparente en la cadena de bloques (blockchain). Es decir, cualquiera puede ver las direcciones y montos involucrados en una transacción. Esto tiene como consecuencia que las transacciones con Bitcoin puedan tracearse hasta su origen, y por ende, a menos que dicho origen haya sido anonimizado previamente, puede llevar hasta su autor.

Por otro lado, Monero se creó con la privacidad como objetivo. Su estructura utiliza técnicas avanzadas de pruebas de conocimiento cero y firmas de anillo para ocultar tanto al remitente como al destinatario, lo que se traduce en un rastreo mucho más complejo y costoso.

Tanto Bitcoin (BTC) como Monero (XMR) son ampliamente utilizadas para comprar artículos y permanecer en el anonimato. Ya has visto que XMR es por diseño, más anónima, pero dado que BTC es la criptomoneda más utilizada por varios vendedores, es recomendable poder disponer de algo de crédito para esta billetera también, lo que te dará más versatilidad con los diferentes vendedores de las comunidades.

Instalando Electrum (BTC) y configurando el cliente por TOR

En este escenario, asumiremos que estás usando Ubuntu o Debian. Sin embargo, es perfectamente viable hacerlo con distribuciones enfocadas a la privacidad, como Whonix o Tails. De hecho, tanto Whonix como Tails traen instalado de serie Electrum, el cliente que usarás para gestionar nuestras billeteras de BTC, y además, ambas distribuciones enrutan el tráfico directamente por TOR, algo que deberás configurar manualmente en Ubuntu, el sistema operativo que se usará para esta guía.

Requisito: Tener TOR previamente instalado. Puedes seguir la guía en el artículo de este mismo blog.

Empezarás instalando Electrum mediante APT, algo que facilitará la tarea frente a la instalación completamente manual:

$ sudo apt install electrum

Si todo ha salido bien, podrás abrir Electrum como cualquier aplicación normal. Hazlo ahora.

Antes de nada, es posible configurar desde el inicio el enrutamiento por TOR antes de crear la billetera. Lo único que tienes que hacer es asegurarte de que tienes TOR. Para ello, abre la terminal y ejecuta:

$ sudo systemctl status tor

Si recibes el mensaje active (exited), puedes continuar.

Después, deberás buscar el icono del servicio de Electrum en tu barra de tareas (si usas Ubuntu, debería estar en la parte superior derecha):

Icono servicio -> Network

Ahora asegúrate de que tienes aplicada la configuración que se muestra en la imagen. Esto hará que toda la conexión de Electrum se realice siempre por TOR.

Creando tu primera billetera BTC

Lo primero que se te presentará si es la primera vez que ejecutas la aplicación, es una pequeña ventana que te solicitará el nombre que le quieres dar a tu billetera.

Este nombre es una referencia interna en tu sistema. Cada billetera tendrá su archivo correspondiente. Es algo totalmente independiente de la blockchain, así que puedes elegir el nombre que desees sin problema.

Después se te presentarán varias opciones sobre el tipo de billetera.

Lo más recomendable por facilidad de uso y contando con que tienes el sistema bien securizado y has tomado medidas necesarias para cifrar todo tu sistema y tomas medidas para que nunca te atrapen con todo «encendido»:

Standard wallet

Sin embargo, si prefieres añadir una capa más de seguridad, opta por la opción de doble factor:

Wallet with two-factor authentication

Ahora, deberás elegir «la llave» que estará vinculada a esta billetera. Se te presentarán las siguientes opciones:

Por una cuestión de flexibilidad, ya que es muy probable que acabes utilizando varias billeteras, utilizarás la opción:

Create a new seed

A continuación, te aparecerá tu seed (o semilla):

Una semilla (también conocida como seed) es una frase mnemotécnica de 12 palabras que se genera cuando configuras tu billetera inicialmente. Esta semilla se utiliza para generar las claves privadas de tu monedero.

La seed no es la clave privada de tu billetera; más bien, es una clave maestra que te permite recuperar completamente el control de dicha billetera. Esta seed no se guarda en ningún servidor de Electrum, es una funcionalidad que permanece en el lado del cliente.

Si olvidas la contraseña y la semilla, perderás acceso a tu monedero. Asegúrate de tener ambas a buen recaudo.

En la siguiente pantalla, aparecerá un campo de texto para que puedas escribir a mano tu semilla, verificándola.

Por último, se te pedirá una contraseña, de manera opcional. ¿Recuerdas el archivo del que hablamos líneas atrás? Esta contraseña servirá para cifrar dicho archivo.

En este punto, ya tenemos nuestro cliente Electrum y nuestra billetera lista. Ahora aprenderás a generar diferentes «direcciones» para recibir pagos. Esto es útil porque, además de mantener el monedero organizado, te permite tener un grado más de privacidad al no usar siempre la misma dirección para recibir los pagos.

Para ello, pulsarás en la pestaña Receive y sin necesidad de rellenar nada, pulsarás en el botón Create Request. Esto generará un registro en la parte inferior de tu cliente, en el que podrás copiar la dirección para recibir dinero. Recuerda, solo un pago/recibo por dirección, no reutilices.

El formato de una dirección Bitcoin suele ser el siguiente:

bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh

Cuando necesites hacer un pago desde tu billetera, simplemente deberás dirigirte a la pestaña Send, introducir la dirección de destino y la cantidad deseada (ya sea en BTC o en USD), y hacer click en el botón de Pay.

Después, te saldrá una pequeña ventana solicitándote el tipo de tasa que quieres aplicar. Mayor pago en tasas, mayor rapidez a la hora de que la transacción se confirme en la blockchain.

Instalando Monero GUI y configurando el cliente por TOR

Descarga Monero para Linux y descomprime el archivo:

$ tar xf monero-gui*.bz2
$ cd monero-gui*

Para ejecutarlo, utiliza:

$ ./monero-wallet-gui

Ahora se abrirá el menú principal de MoneroGUI.

Deberás elegir Create a new wallet.

Sigue las instrucciones, que como verás, son extremadamente similares a los pasos previos que seguiste con Electrum.

Cuando tengas tu billetera XMR creada, deberás dirigirte, en el panel izquierdo, a Settings y asegurarte de que todo el tráfico pasa por TOR como se indica en la imagen:

Deberás esperar a que se carguen todos los bloques para sincronizar la billetera. Puede tardar varios minutos o incluso horas, así que paciencia.

Al igual que hiciste con Electrum, debes crear varias direcciones para recibir pagos, y no reutilizarlas.

Para ello, dirígete al panel izquierdo, en la sección Receive y pulsa el botón Create new address, asígnale un nombre a la dirección y ya puedes utilizarla para recibir dinero.

Por último, para enviar dinero desde tu billetera, dirígete de nuevo al menú de la izquierda, en la sección Send Una vez dentro, podrás introducir la dirección a la que quieres enviar el pago junto a la cantidad de dinero a enviar (en XMR o USD).

Cuando pulses en el botón Send, se te abrirá otra ventana, similar a la de Electrum, para que puedas seleccionar la tasa de envío.

El formato de una dirección de Monero suele ser parecido al siguiente ejemplo:

888tNkZrPN6JsEgekjMnABU4TBzc2Dt29EPAvkRxbANsAnjyPbb3iQ1YBRk1UXcdRsiKc9dhwMVgN5S9cQUiyoogDavup3H

Utilizando Localmonero para ingresar efectivo

Localmonero es una plataforma que sigue el modelo P2P (peer-to-peer), y el objetivo es poner en contacto a usuarios que quieran operar con Monero de manera descentralizada, ya sea para ofrecer o para adquirir dicha criptomoneda.

Puedes acceder utilizando los siguientes enlaces, aunque lo recomendable es acceder mediante TOR:

Clearnet - https://localmonero.co
TOR - http://nehdddktmhvqklsnkjqcbpmb63htee2iznpcbs5tgzctipxykpj6yrid.onion/

Deberás crear una cuenta para poder proceder con los siguientes pasos. Utiliza un correo que no esté vinculado a ninguna de tus identidades. Puedes utilizar protonmail o riseup, por nombrar algunos.

Una vez hayas creado tu cuenta, asegúrate de configurar tu factor de doble autenticación (2FA), de lo contrario, no podrás iniciar conversaciones con otros usuarios. Evita una app móvil. Utiliza en su lugar un gestor de contraseñas con compatibilidad OTP como KeepassXC.

Para activar el 2FA, puedes hacerlo accediendo a:

Profile - Settings - 2FA

Una vez que tengas el 2FA configurado, puedes empezar a buscar usuarios que acepten dinero en efectivo enviado por correo ordinario.

Puedes utilizar la siguiente URL para configurar los filtros de búsqueda necesarios directamente:

Clearnet - https://localmonero.co/buy-monero-using-cash-by-mail-with-eur
TOR - http://nehdddktmhvqklsnkjqcbpmb63htee2iznpcbs5tgzctipxykpj6yrid.onion/buy-monero-using-cash-by-mail-with-eur

Una vez filtrado de manera correcta, el sitio web te mostrará diferentes usuarios dispuestos a aceptar dinero en efectivo a cambio de enviarte la cantidad correspondiente en Monero (XMR) a una billetera de tu elección.

El funcionamiento es simple: Cada usuario tiene sus propios requisitos/normas. Unos te pedirán algún tipo de identificación, otros no tienen ningún interés en saber quién eres.

Además, siempre hay un mínimo de dinero en efectivo a enviar. Se recomienda empezar con una cantidad baja (100-200 euros) para empezar y que puedas probar este método por ti mismo sin arriesgar mucho dinero.

Es crítico que siempre busques usuarios con mucha reputación y transacciones. Esto lo puedes validar observando la métrica que está debajo del nombre de usuario entre paréntesis. El primer número es la cantidad de transacciones realizadas con este usuario, y el porcentaje es el nivel de satisfacción de otros usuarios.

Para conocer los detalles de cada usuario, es necesario que visites su perfil, en el cual encontrarás detalles de contacto y sobre la forma de proceder.

Verás que varios utilizan PGP para las comunicaciones, lo que es deseable. Puedes conocer más sobre como operar con PGP en este artículo.

Preparativos para el correo postal

Deja claro todos los detalles con el usuario de tu elección, y asegúrate de hacerle llegar de manera correcta la dirección de XMR mediante otro medio que no sea el propio correo postal.

Por norma general, debes seguir una serie de directrices básicas para enviar dinero al extranjero en metálico y mantener una buena OPSEC:

  • Puedes comprar los sellos y sobres necesarios en cualquier tienda local. No hay peligro de OPSEC en este aspecto, pero intenta cambiar de local cada X tiempo.
  • Utiliza siempre guantes. Nunca manipules el sobre, los sellos o el dinero con las manos desnudas para evitar dejar huellas.
  • Independientemente del monto, utiliza billetes de 20, 50 y 100. Busca la combinación que te permita incluir menos billetes.
  • Escribe una pequeña carta a modo de señuelo que de veracidad al envío y utiliza otro pequeño papel para envolver los billetes dentro del sobre.
  • Utiliza un remitente falso. Las cartas sin remitente pueden llamar la atención en España.
  • Escribe con la mano izquierda si eres diestro y viceversa, tanto la carta como los datos de envío, para evitar utilizar tu caligrafía real.
  • NO utilices ningún método de seguimiento del sobre. Tendrás que confiar. Para eso es vital que hayas elegido correctamente al usuario para la transacción.
  • Envía el sobre en cualquier buzón de tu ciudad o en cualquier oficina de correos. Evita las ciudades grandes dentro de lo posible.

Cuando hayas realizado el envío, deberás comunicárselo al usuario con el que hayas elegido realizar la transacción. Cuando dicho usuario reciba correctamente el sobre, lo cual suele producirse en aproximadamente 15 días (dependiendo del país), recibirás el valor de tu dinero fiat en XMR a la billetera que hayas especificado.

Comprendiendo la pérdida de trazabilidad en XMR

Si todo ha ido correctamente, ahora deberías tener la cantidad pactada con tu usuario de confianza en localmonero en tu billetera.

Si realizaste todo paso a paso siguiendo el artículo, no debería quedar absolutamente nada que vincule el dinero fiat a tu identidad a través de tu billetera de XMR.

No obstante, si has utilizado otro método, como podría ser la compra mediante Revolut a través de Localmonero, has comprado en un cajero físico, o has adquirido criptomonedas que no están 100% limpias, lo único que necesitas hacer es realizar un envío con todo tu capital líquido a una nueva billetera de Monero que no haya sido utilizada previamente.

Al realizar esto, estás utilizando las ventajas técnicas de Monero en cuanto a privacidad para ocultar cualquier rastro que haya podido quedar en el proceso. Por su propia naturaleza, y a diferencia de Bitcoin, Monero hace casi imposible de rastrear una transacción que se produce en su blockchain. Cualquier transacción entre una billetera A hacia otra billetera B, hará que los fondos de la billetera B estén limpios, independientemente de la procedencia de la billetera A.

Una vez que hayas realizado este envío (con las correspondientes tasas), deberás eliminar la primera billetera y operar a partir de ahora con la segunda billetera, donde guardas todo tu crédito.

Podrás utilizar este recurso en infinidad de situaciones, recordando que cuando el dinero «viaja» del monedero A al monedero B siendo XMR, la trazabilidad queda inhabilitada.

Convirtiendo XMR a BTC y viceversa

Al principio del artículo, se plasmaba la conveniencia de tener crédito tanto en XMR como en BTC. En este punto, deberías tener líquido en XMR, pero no necesariamente en BTC.

Para esto, puedes recurrir a un exchange, por ejemplo:

Estos exchanges lo único que hacen es tomar un pago desde tu billetera A (XMR) y mandar la cantidad equivalente (menos tasas) a tu billetera B (BTC) utilizando sus propios fondos. Las criptomonedas pueden ser intercambiables.

Deberás asegurarte de intercambiar cantidades pequeñas. Intenta no exceder los 400 dólares por petición, pues se han reportado casos en los que dichos exchanges pueden solicitarte algún tipo de identificación. Procede con cautela.

En la siguiente imagen, utilizando changenow.io como ejemplo, verás que el proceso es muy sencillo. Simplemente, introduce la cantidad que deseas intercambiar, prestando atención al tipo de criptomoneda que quieres aportar y la que quieres recibir.

Al darle a Exchange te llevará a una pantalla de pago:

  • Asegúrate de revisar las cantidades.
  • Recipient wallet es el campo en el que debes introducir tu billetera de destino (en la que quieres recibir tus nuevas criptomonedas).
  • Refund wallet es el campo en el que debes introducir la billetera en la que quieres recibir el importe en caso de error. Utiliza una billetera única para los reembolsos, no utilices la misma billetera desde la que envías el dinero por motivos de OPSEC.
  • Acepta los términos del servicio y dale a Confirm.

Ahora, se te presentará una pantalla de estado de la transacción. Lo más importante aquí es que anotes correctamente la dirección a la que se te indica que envíes una cantidad específica. Una vez que hayas enviado la cantidad exacta, simplemente espera varios minutos u horas (dependiendo del estado de la blockchain y las tasas) para que se complete la transacción y habrás terminado el proceso.

Podrás seguir el estado de la transacción en directo.

Anexo: Alternativas

Es cierto. El método descrito en el artículo es lento, pero es el más seguro en términos de OPSEC.

Existen otras alternativas más rápidas. Sin embargo, entrañan riesgos o contras a tener en cuenta:

  • Mediante tarjeta de crédito en un exchange.
  • En un cajero físico.
  • Utilizando Revolut en Localmonero.
  • Con dinero físico, en mano.
  • Utilizando tarjetas prepago/regalo.

Si resides en España, los mecanismos del Estado ya se han puesto a funcionar, y aunque no hay nada ilegal en comprar criptomonedas, la opción de hacerlo mediante tarjeta se dificulta por culpa de Hacienda, ya que, en su insaciable afán recaudador, obligará a trazar cualquier movimiento con criptomonedas que tengan como origen tu cuenta bancaria. Si aplicas el método de este artículo, tu privacidad seguirá protegida en la billetera de destino, pero por la parte del origen, deberás responder al fisco sobre cómo perdiste tus criptomonedas. Lo que puede traer atención no deseada.

El cajero físico siempre es arriesgado, pues obtendrán fotografias de ti vinculadas a la billetera que utilizas.

Revolut ya no disfruta de las flexibilidades legales del año pasado. Ahora las cuentas de dicha plataforma residen fiscalmente en España por lo que te enfrentarías, de nuevo, al dilema del primer punto, Hacienda.

El dinero físico siempre es una buena opción, pero las cantidades mínimas son muchas veces elevadas y la disponibilidad geográfica es un handicap.

Las tarjetas regalo son una alternativa viable, pero las tasas aplicadas para este método muchas veces hacen que no merezca la pena.

A fecha de publicarse este artículo, Monero ha experimentado un aumento en el volumen de transacciones en cadena, con un estimado de 130-200k transacciones diarias en comparación con el promedio diario de 15-30k transacciones. Este aumento es casi con seguridad un ataque black marble, donde el adversario controla el 80% de las transacciones diarias, reduciendo así la efectividad y el anonimato del Ring CT. Si el adversario controla todas las transacciones en su Ring CT, entonces puede deducir fácilmente cuánto y a dónde se dirigen las salidas de las transacciones.

Hace unas semanas, los sistemas de Monero de Archetyps, DrugsHub y SupersMarket tuvieron problemas importantes porque la cadena de bloques estaba bajo una carga sin precedentes. Sé que no soy el único que piensa que esto fue una prueba realizada por un atacante para ver qué tan efectivo podría ser un mármol negro. Aparentemente, es muy efectivo. En este momento, las transacciones con prioridad regular pueden tardar hasta 3 horas en enviar incluso pequeñas cantidades.

Hay algunas ideas nuevas surgiendo en la comunidad de XMR:

Sin embargo, todo esto se resolvería completamente si se incluyen pruebas de membresía completas de cadenas en la próxima versión. Debemos recordar que aumentar las tarifas de transacción podría perjudicar y devaluar la moneda.

/d/OpSec (Dread)