Estudio de 85 extensiones de billeteras de criptomonedas detecta filtraciones ~ Segu-Info

Investigadores de la KU Leuven probaron 85 de las billeteras de criptomonedas
más populares que funcionan como extensiones de navegador y descubrieron que
las propias billeteras presentan fugas de información suficientes para
vincular y rastrear a sus usuarios.

La forma en que estas billeteras se comunican con sitios web y servidores
blockchain puede conectar las distintas direcciones de una persona y permitir
que terceros la sigan de un sitio a otro. Incluso en un sitio que ya contiene
un nombre o correo electrónico, estas mismas fugas pueden asociar un nombre
real a una identidad criptográfica «anónima».

Esto no es un hackeo. Las billeteras funcionan exactamente como fueron
diseñadas. Las 85 extensiones suman alrededor de 35 millones de usuarios
registrados en la Chrome Web Store.

El equipo, perteneciente al grupo de seguridad DistriNet de la universidad,
publicó el artículo
este mes y lo presentará en la conferencia de privacidad PETS 2026 en Calgary
a finales de julio. Realizaron pruebas con billeteras reales en sitios Web3
reales e identificaron cinco vulnerabilidades de privacidad en la interacción
entre billeteras y sitios web. Cuando informaron a los fabricantes de
monederos sobre el problema de mayor alcance antes de su publicación, la
mayoría se negó a considerarlo un error.

Problema 1: Tus direcciones de monedero se vinculan

Muchas personas mantienen varias direcciones de monedero a propósito para
mantener separadas partes de su vida financiera. Esto solo funciona si nadie
puede saber que las direcciones pertenecen a la misma persona. Pero para
mostrar tu saldo, un monedero envía constantemente solicitudes a servidores
externos, y esas solicitudes transmiten tu dirección, sin cifrar, a quien
administra el servidor.

Cuando un monedero incluye dos de tus direcciones en una sola solicitud, el
servidor sabe que son tuyas. Diecisiete monederos expusieron conexiones entre
las direcciones de monedero de un usuario. Trece lo hicieron de la forma
obvia, agrupando dos direcciones en una sola solicitud. Cuatro más se
delataron al enviar solicitudes separadas con milisegundos de diferencia, una
señal más débil pero aún útil.

En conjunto, estos monederos abarcan aproximadamente 23 millones de las
instalaciones estudiadas. Quien administra el servidor, o cualquiera que
obtenga sus datos posteriormente, puede unir las direcciones en un solo
perfil.

Problema 2: Cerrar sesión a menudo no cierra la sesión por completo.

Este problema y el siguiente comparten un punto de partida: un sitio web puede
saber qué billeteras tienes instaladas. Cada billetera se identifica en cada
página que carga, por lo que un script puede leer el conjunto exacto que
llevas, una huella digital que funciona incluso si nunca conectas una
billetera y aunque bloquees las cookies.

Los investigadores descubrieron que 36 de las 85 billeteras hacen esto, y sus
usuarios representan aproximadamente el 82% de las instalaciones estudiadas.
Esas mismas 36 billeteras son las responsables de las cifras que se muestran a
continuación.

Cuando conectas una billetera a un sitio y luego te desconectas, asumes que el
sitio pierde el acceso. A menudo no es así, por dos razones distintas.

Primero, muchos sitios nunca le indican a la billetera que corte el acceso. De
las 30 aplicaciones Web3 populares que el equipo probó, solo 11 enviaron una
orden de revocación real cuando un usuario hizo clic en Desconectar o Cerrar
sesión. El resto simplemente borró su pantalla.

Segundo, incluso cuando se envía la orden, muchas billeteras la ignoran. En 22
de esas 36 carteras, el sitio aún podía leer tu dirección después de solicitar
a la cartera que la revocara, y ese acceso se mantuvo incluso después de
borrar las cookies y reiniciar el navegador.

Esto convierte la dirección en una potente etiqueta de seguimiento. Es única a
nivel global y, a diferencia de una cookie, no desaparece al borrar el
navegador. El permiso obsoleto permanece en la extensión hasta que se abre la
lista de «Sitios conectados» de la billetera y se elimina el sitio
manualmente; hasta entonces, un script en la página sigue leyendo la dirección
en segundo plano.

Problema 3: Una billetera a la que te conectaste puede exponerte en otros
sitios.

Este último problema tiene mayor alcance. De esas 36 billeteras, 23
compartirán tu dirección desde dentro de un marco que una página ha cargado
desde otro sitio. Por sí solo, esto no tiene ninguna consecuencia. El problema
radica en lo que un rastreador compartido puede hacer con ella.

Supongamos que el mismo script de seguimiento se ejecuta en una aplicación de
criptomonedas a la que te conectaste y en un sitio web común y corriente. En
el sitio común, el rastreador carga silenciosamente la aplicación de
criptomonedas dentro de un marco invisible.

La página de la aplicación ya estaba autorizada por la billetera, y estas
billeteras responden desde dentro del marco, por lo que la billetera devuelve
la dirección al script sin que el usuario haga clic. La aplicación debe
permitir la integración para que esto funcione, aunque muchas lo permiten.

Vincula esa dirección a un nombre o correo electrónico que el sitio ya tenga
registrado, y un perfil criptográfico seudónimo se convierte en una persona
identificada. La dirección de una billetera es un registro público de sus
saldos, transacciones y tenencias de tokens. Si la vinculas a una identidad
real y a un historial de navegación, un atacante tiene un objetivo
identificado cuyo dinero ahora está a la vista.

Los investigadores
demostraron
que este método es real y utilizable; no afirmaron que los rastreadores ya lo
estén utilizando a gran escala.

Qué hacer y cómo respondió la industria

Para los usuarios, las soluciones son solo parciales. Abre tu billetera y
elimina los permisos de sitios antiguos que ya no uses. Esto detiene el
rastreo de direcciones obsoletas del Problema 2, pero no soluciona las
filtraciones de direcciones a los servidores ni la huella digital de la
billetera instalada.

La demostración de los investigadores muestra cómo funciona tu propia
billetera; se ejecuta en tu navegador y, según afirman, no almacena nada. Usa
una billetera desechable para mayor seguridad. También ayuda mantener las
diferentes actividades en carteras o perfiles de navegador separados. Las
soluciones más importantes están fuera del alcance de los usuarios.

Los investigadores centraron su informe en el problema de vulnerabilidad entre
sitios y notificaron a los fabricantes de carteras afectadas antes de su
publicación. Para una nueva prueba en febrero de 2026, Coinbase Wallet y
Coin98 ya lo habían solucionado, y Hana Wallet lo hizo posteriormente. Sin
embargo, de los ocho proveedores que, según el informe, respondieron a través
de sus programas de recompensas por errores, la mayoría se negó a considerarlo
un error.

MetaMask lo calificó como un problema conocido, cerró el informe como
duplicado y afirmó que no tenía planes inmediatos de dejar de inyectar malware
en su proveedor, ya que esto afectaría a demasiadas aplicaciones.

Rabby afirmó que el ataque requeriría que el mismo script malicioso se
ejecutara en dos sitios simultáneamente, lo cual calificó de «prácticamente
imposible», y concluyó que «la vulnerabilidad no existe». OKX coincidió en que
el hallazgo era técnicamente correcto, pero lo cerró como informativo porque
expone datos sin robar dinero.

Bybit, Backpack y Core lo consideraron de bajo riesgo o fuera de su alcance.
Las respuestas completas se
publican en el repositorio
de los investigadores.

El estudio se basa en la
investigación de 2023 de Christof Ferreira Torres
y sus colegas, quienes fueron los primeros en demostrar que las carteras
digitales filtraban direcciones a servidores externos. Este trabajo detecta
filtraciones que las herramientas anteriores no detectaron, mapea el rastreo
entre sitios y muestra cómo la misma filtración podría usarse para revelar la
identidad de los usuarios.

Mientras que escáneres como WalletRadar y WalletProbe buscan errores
evidentes, este artículo demuestra que una cartera digital no necesita un
error para exponer a un usuario. Esto la diferencia de las
extensiones de cartera falsas
que robaron claves el año pasado. En esos casos, los delincuentes robaron.
Aquí, no se roba nada, y la filtración está integrada en el diseño.

El artículo se publicó en arXiv el 7 de julio y se presentará en PETS 2026 en
Calgary, del 20 al 25 de julio. Por ahora, las carteras funcionan según lo
previsto, y varios de sus fabricantes han afirmado, en efecto, que el diseño
es correcto.

La solución real no es otra advertencia a los usuarios. Se trata de carteras
que dejan de exponerse dentro de marcos integrados, y de un estándar del
ecosistema que define qué debe hacer realmente el cierre de sesión.

Fuente:
THN


Ver fuente

Related Post