Topic: [Opinión] Cerrar batidoras y servicios de privacidad ayuda a los criminales (Read 168 times)

Ojo que esto puede ser peligroso también: si un hacker se hace de este código, puede causar aún más daño que uno que roba simplemente datos personales almacenados en un exchange.

En algunos países por ejemplo existen formas del DNI que contienen un chip que se puede usar para identificarse en servicios en línea (por ejemplo en España y otros países europeos), que se asemeja algo a lo que proponés (hay formas del DNI digital como el de Argentina que "no" sirven para eso).

Pero también una identificación a través de este tipo de KYC no está libre de riesgos. En Alemania un hacker demostró que es posible robar datos de estos "DNI electrónicos" con un troyano (una aplicación falsificada) y luego usarlos para otros fines, como abrir una cuenta en un banco.

Para mí el mejor tipo de KYC que vi hasta ahora son los KYC offline, como se hacía en el siglo pasado, es decir dónde vas por ejemplo al correo, mostrás tu identificación (DNI, pasaporte etc.) y el correo le confirma tu identidad al servicio con el que te registrás. En este caso si bien muchas veces se pide fotocopia del documento y esta puede ser escaneada, ésta (si el empleado del correo es poco confiable, por ejemplo) no servirá mucho para engañar a un servicio de KYC online y robarte la identidad, porque en estos servicios se requieren fotos de mayor calidad. Pero claro, estos servicios no existen en todos los países, son más costosos que los que operan en línea, y obligan al cliente a movilizarse en vez de hacer todo en casa con el celular.

También existen otros tipos de KYC que pueden parecer, a simple vista, menos peligrosos o "intrusivos". Por ejemplo, te pueden pedir que demuestres ser el titular de una cuenta de un banco, enviándote una transferencia con un valor mínimo, y lo que tenés que hacer es demostrar que conocés el valor. En la práctica eso significa que el KYC del banco cuando abrís la cuenta te sirve para otros servicios también. Sin embargo, en este caso el problema es que si alguien logra acceder a tu cuenta puede hacer ese KYC por vos ... o sea no solucionamos el problema.

En síntesis, casi todos los tipos de KYC tienen problemas, y creo que tendríamos que defender el derecho de usar servicios cripto sin KYC, al menos para montos bajos, y por eso propuse algo como un "protocolo" para igualmente poder interrrumpir flujos de dinero ilegales sin requerirle a servicios como mixers revelar la identidad de los clientes.

Creo que debe regularse, y con eso permitirse, no se trata de la tecnologia permite "esto" u "otro", las formas de lavar o blanquear capitales en los escenarios tradicionales son mas complejas de descubrir o detectar, que un mismo mixer, de hecho, al existir, ahí esta un posible lavador.

No se, si realmente alguien de Europa, o incluso Canadá, Estados Unidos, puedan determinar en la simpleza de como sucede en Latinoamérica, África y en algunos paìses de Asia determinar por instinto "un Elefante Blanco", por ejemplo, (hay muchos)empiezan una obra y no la terminan, se le atribuye por lo general a los políticos, pero ocurren con empresas privadas, o lo contrario, edificaciones espectaculares que surgen de la nada en consorcios de reciente data, y el nivel decrece, digo, las inversiones del tipo elegante, pero se mantienen en volúmenes ($$) nada despreciables.

Hay zonas de Europa, en donde a las persona por recibir depósitos en sus cuentas, les queda un porcentaje, metiendo a Europa en algo, no es que sean unos "santos" y que tampoco no existan los "Elefantes Blancos".

Las compras online, Mercado Libre, Ebay, Alibaba, es un mercado de blanqueo, no tengo pruebas, pero se sabe por las vibras.

Panamá PApers, que paso ahí, había un Gestor que tenia más de 50.000 empresas de maletín registradas.

Y finalmente, o mejor en cola de tantas cosas que hay y no sabemos, los llamados paraísos fiscales, Malta, y el Caribe, entre otras, no, no son mixes, no claro que no. (No ilegalmente)

El punto es, que hay mucha hipocresía en querer prohibir una tecnologia que esta a la vista de todos, y que a diferencia de todo lo anterior que necesitas de contactos, coimas, influencias, corrupción, etc. e incluso pertenecer a un nicho mafioso, un mixer se torna en un derecho a tener un privilegio que esta al alcance de una elite política, empresarial y delincuencial.

(OJO, no para delinquir, sino que es un derecho resguardar los bienes de terceros)

Aquí, como sucede con las leyes siempre van a los usuarios finales, donde se puede se les mete KYC , AML, etc. pero nunca se le ocurre invertir en tecnologías que protejan a los ciudadanos de los KYC, como por ejemplo, el "error" humano de perdidas de información, hackeo, venta, etc.

Debe existir una red mundial de datos actualizada a los tiempos que corren, no esa forma paupérrima de tener que subir una foto una DNI, de manera rudimentaria, para poder demostrar que si tenemos los ojos "azules".

Mejoren el sistema de KYC, debemos existir en un código único que al ser cedido una vez este cambie constantemente, pero que, al ser proporcionado a cualquier sistema que requiere esta información, arroje un simple: "Esta persona existe, esta registrada...kyc aprobado".

Tu me entiendes, un decodificador de KYC, un equipo estandarizado internacionalmente que permite registrar de manera eficiente la información, y eliminar de una vez por todas esta "estupidez" que creemos es lo mejor, o pretenden implementar como sistema de seguridad para evitar los fraude, cuando ha sido todo lo contrario, los datos de cientos de millones de personas deambulan en Internet, por nuestro sistema paupérrimos de verificación KYC.

Pero la descoordinación es tal, y los gobiernos no les interesa invertir en esas tecnologías porque es algo que beneficia y mejora la seguridad del usuario. Y de paso, lograr que los gobiernos se pongan de acuerdo en que estos "decodificadores de KYC" sean compatibles, es como pedirle al Iphone, hace años, que pudiera usar un cable de Android, actualmente se cede terreno en ese aspecto... otra historia.

En conclusión, el sistema de KYC, debe ser rediseñado, en su captación de información y comprobación, de todos los involucrados. Luego de eso, se puede crear un sistema más eficiente que permita el uso a discreción de un mix con KYC.

Vamos, todavía para movilizarnos de un país a otro usamos pasaportes, que por cierto, vienen desde los tiempos bíblicos, pero en sus primeros usos del siglo XX, las personas se quejaron por tener que ponerles una Foto.

Entonces el asunto es, hasta cuando los sistemas de verificación de datos para el usuario de a pie van a tener que soportarse ser tan obsoletos, en su procedimiento de entrega como de resguardo. (IMhO) o [Mi Opinión]

Me olvidé de contestarte Estoy de acuerdo. He visto por ejemplo también la regulación MiCa de la Unión Europea y apunta a lo mismo: crear un "universo" de entidades reguladas dentro del cual el nivel de privacidad depende de terceros, es decir de los proveedores de servicios regulados. Si no hago nada raro el exchange en el 99% de los casos quizá me dejará en paz y el Estado también. Pero quizá hago algo que parece raro aunque no tenga ninguna intención ilegal, y el algoritmo del exchange lo detecta como "transacción de riesgo", y al final le tengo que dar explicaciones al Estado. Pero lo más peligroso para mí es el tema del robo de identidades. Con una historia transaccional completa y además datos personales un hacker hábil puede hacer bastante daño.

Ahora bien, en el hilo inglés se vio que hay mucha gente que preferiría quedarse con el "status quo", es decir: seguir estando del lado de los "parias" usando mixers y otros servicios no regulados, sin importar que estos estén en peligro de ser sancionados, cerrados etc.. Creerán que habrá gente hábil del lado de los mixers también que entenderán cómo esconderse. Y por ende todavía se sienten cómodos.

Para mí esa posición es un poco floja, porque por un lado, creo que los conocimientos necesarios para usar "los servicios parias" de tal manera que nadie detecte que los estés usando, no los tiene cualquiera, y la situación está empeorando. Es decir que los conocimientos para pertenecer a esta "elite" que sí puede mantener el anonimato son cada vez más sofisticados, y la gente que tiene razones legítimas para quedar anónima (un derecho humano) pero no cuenta con estos conocimientos, está cada vez más en peligro de cometer errores fatales.

Un ejemplo: si en un país dictatorial como Rusia una persona intenta montar algún proyecto disidente (un medio independiente, por ejemplo) y se financia a través de donaciones en BTC, está obviamente en peligro de perder el anonimato e ir a la cárcel (o peor), pero hasta ahora con las batidoras tenían una herramienta relativamente fácil de usar. En un futuro con la mayoría de las batidoras de frutas cerradas, cooptadas por Estados o dudosas, también a los regímenes dictatoriales les resulta más fácil atrapar a esta gente. Al final, las autoridades de las democracias, les facilitan herramientas a los terroristas de estado también.

Mientras tanto, un criminal probablemente no tiene problemas de educarse en seguridad informática, ya está acostumbrado al "juego del gato y del ratón" con las autoridades. Los perdedores son siempre los usuarios comunes con intereses legítimos.

Igual no me creo tampoco a las opiniones alarmistas que creen que todos los que usan todavía servicios sin KYC serán arrestados en el futuro. Pero estaría bueno que la comunidad Bitcoin siga un poco el desarrollo del tema. Hace unos días por ejemplo la Fundación de los Derechos Humanos (la de Kasparov) criticó duramente un proyecto de ley en EE.UU. que obligaría a bancos y exchanges a reportar una categoría de transacciones sospechosas que serían consideradas "mixing" en algunos casos, entre ellas los CoinJoins y hasta el uso de múltiples direcciones de BTC.

No se si te entiendo bien pero para mí depende más que nada de voluntades políticas, de legisladores principalmente, de crear reglas que no obstaculicen todas las opciones para mejorar la privacidad. No digo que la regla que propuse para las batidoras sea perfecta, es un ejemplo no más que algo se puede hacer para ayudar a la lucha contra ciertos tipos de crímen (la regla que propuse por ejemplo ayudaría a víctimas de ransomware) sin realmente crear esta estricta división entre el "espacio regulado" y los "parias".

Si estamos hablando de las diferencias entre las entradas y las salidas de dinero al comparar casas de cambio con casinos, igual creo que es posible depositar una cantidad relativamente modesta en un exchange y poder sacar/justificar una ganancia bastante grande. Y todo eso es gracias a la nuevas herramientas soalancadas que ofrecen muchos exchanges hoy en día, básicamente en un exchange hay porcentajes y manejos de riesgos para todo tipo de usuario y es por eso que no es posible invertir en un casino, pero es posible apostar en una casa de cambios. solo falta con ir al mercado de futuros, utilizar apalancamiento maximo con colateral e ir a toda velocidad a ver si la impredecible volatilidad del mercado está en tu contra o no, es decir, es una apuesta. Asumiendo que alguien haga algo así y todo le sale bien en el proceso de convertir 100$ en 20000$, entonces la entrada de dinero (como dinero legitimo) está bastante justificada. Claro, eds clase de situaciones no de da todos los días y no con todas las personas.

Creo que en el caso de los exchange es un poco mas difícil ya que la entrada y la salida del dinero es por cantidades similares, lo que cambia es la moneda, pero en el caso del gambling podemos justificar $10,000 dolares con una apuesta de $10 dolares, y eso es lo que lo vuelve interesante.

Este es un punto a tener en cuenta, la ley es muuuuy lenta en cuanto al proceso, en lo que hacen la investigación y empiezan la persecución es probable que el malandro ya se haya gastado los fondos o que este ya se encuentre escondido en otro país.

Bueno doble posteo asi de paso bumpeo.

La verdad es que es un tema MUY espinoso y difícil de transitar, nosotros estamos de este lado del rio lo cual nos hace ya tener una posición y un sesgo importante, sin embargo entiendo la posición que planteas.

El principal tema esta en que yo creo que se va buscando un sistema donde sea mas la gente misma que busque dar sus datos y que este todo "centralizado" en varias paginas, sistemas etc, y que los parias que queden afuera queden afuera y que sufras el estar afuera, que cada vez sea mas difícil ser un paria, no se si me explico pero antes con las batidoras era dar dos clicks, ahora con esto que mencionas ya es un poquito mas. Siento que es como cuando el estado no te prohíbe algo pero te hace tal maraña burocratica que terminas desistiendo y haciendo que el numero final de solicitantes baje, no porque nadie lo quiera si no porque nadie puede o termina queriendo hacer todo el lio para tenerlo, y asi funciona el ser humano.

Lo que planteas como alternativa desde la teoria y desde afuera es muy interesante, el problema que le veo es..... las velocidades, y la velocidad de la justicia es un caracol contra la velocidad de la luz de las transacciones. Tendríamos que ir a tal reconversion del sistema judicial que lo tornaria casi que inviable.

Si estoy de acuerdo con el tema KYC y demas pensando que agregamos mas seguridad (que en parte lo hacemos) se esta dejando muy suelto el tema de que con un poquito de habilidad y malicia los estafadores pueden hacer muchísimas cosas, lo realmente cuestionable es que se hable como un sistema perfecto cuando abre otras ventanas de inseguridad.

Reservado.

Mañana edito y comento


Paga el parking viejo.

0.001 por dia, se fue el fee.

Buen punto, los casinos pueden ayudar en todo el proceso del lavado/blanqueo de dinero, justo por lo de la "justificación del ingreso". Igual lo del juego no es nada nuevo. Sobre todo con apuestas es bastante fácil "lavar", por ejemplo con el fútbol o cualquier otro tipo de deporte: simplemente usás tres sitios o proveedores distintos, en uno apostás a "victoria equipo A", en otro a "victoria equipo B" y en el tercero "empate A/B". Pero no necesariamente necesitás criptomonedas para eso.

En cambio, un mixer no te provee eso: siguen siendo fondos de "origen incierto" cuando pasan por el servicio. Solamente se pierde uno de los rastros, que es el enlace entre dos transacciones. Como expuse en el OP, no necesitás una batidora para eso (solo te provee un poco más de confort, se podría decir).

Un exchange puede ser un término medio: si hacés trading puede ser que puedas justificar un ingreso también si te vendés a ti mismo, pero es bastante difícil ya que los porcentajes de la inversión inicial que podés ganar son pequeños. Es decir, teneś que depositar bastantes coins de otra fuente que los obtenidos ilegalmente para poder "lavar" un monto relativamente bajo.

Me gustaría agregar que uno de los métodos que yo he visto anteriormente para el blanqueo de fondos han sido los casinos. Hoy en día no es tan fácil como solía ser en el pasado debido a la implementación del KYC, sin embargo sitios como freebitco.in han sido usados para este fin debido a que esta es una de las formas mas prácticas de justificar el origen de las monedas. Si te preguntan "de donde salió ese dinero?" puedes decir, lo gané apostando, y comprobarlo con el enlace de la apuesta.

Desde hace un tiempo, las autoridades sobre todo en EEUU han estando cerrando "batidoras de frutas" (jerga local en este subforo para "mixers", probablemente introducida por el usuario @DdmrDdmr) y otros servicios de privacidad, arrestando a desarrolladores y operadores como los fundadores de Samourai y Tornado Cash.

Si las autoridades creen que esto ayudará contra el lavado de dinero, probablemente estén equivocadas. Es más: a la larga, podrían ayudar a los criminales a esconder sus rastros aún más fácilmente.

Por qué cerrar batidoras no tiene sentido

Es bastante simple: Si un criminal cuenta con algo de habilidad con la informática puede borrar sus rastros en las cadenas de bloque de distintas maneras, sin tener que usar un servicio de privacidad o una batidora. Solamente tiene que realizar varias transacciones mezclando fondos de distintos orígenes.

Las técnicas principales son los CoinJoins, los swaps atómicos y Lightning. Son descentralizadas y "trustless", es decir no implican que haya que confiar en nadie.

• Los CoinJoins crean transacciones con varios participantes, eligiendo los montos de las salidas de tal manera que ya no se pueda saber cual proviene de que participante.
• Los swaps atómicos (atomic swaps, en inglés) crean un intercambio entre dos coins (por ejemplo, BTC y LTC o BTC y Monero), creando una conexión entre dos transacciones (una en cada blockchain) a través de un secreto que solamente los participantes conocen. Es decir, se produce un cambio de dueño de los coins, sin que esto se vea en la cadena.
• Y también está Lightning, que provee un "cambio de dueño" igual que los atomic swaps, pero no profundizo ahora en este tema porque sirve solamente para "esconder" montos pequeños.

Voy a concentrarme en los swaps atómicos porque me parece que son la tecnología más prometedora si se combina bien con los CoinJoins. Por diversas razones los swaps atómicos hasta ahora han ocupado un nicho muy pequeño en el mundo de los intercambios. Una de las razones: Hasta hace pocos años, los swaps atómicos no eran privados. Si alguien conocía una de las dos transacciones, podía deducir a través del análisis onchain cual era la otra transacción, creando un lazo entre ambas. Y por ende no servían para mejorar la privacidad.

Pero esto cambió con los atomic swaps que usan adaptor signatures (no sé si ya existe un término en castellano). Es una tecnología criptográfica que permite conectar dos transacciones con un secreto sin que esto revele que hubo un intercambio.

Por ende sirven perfectamente para borrar la traza entre distintas transacciones. Obviamente esto también puede ser abusado por criminales: Si hago varios swaps atómicos a distintas blockchains, luego un par de CoinJoins o transacciones de Monero, y algunas otras transacciones "normales", ya es imposible saber de dónde provienen los coins.

Por qué cerrar batidoras les "daría una mano" a los criminales

Sabiendo ahora que existe una alternativa viable a las "batidoras", que no puede ser parada por las autoridades, ya vemos por qué no tendría realmente sentido cerrarlas. Pero es aún peor: Si ya no quedan batidoras, o muy pocas y/o poco confiables, esto crearía condiciones para ayudar aún más a los criminales a esconder los fondos.

La clave está en el concepto del grado de anonimato. Este grado depende de la cantidad de los participantes que puedo encontrar si mi propósito es mezclar fondos. Por ejemplo, serían los participantes de CoinJoin, transacciones de Monero o swaps atómicos. Cuanto más grande es ese grupo, mayor es el grado de anonimato y privacidad: Si mezclo fondos con una persona, un observador externo todavía sabe que hay un 50% de probabilidad que los fondos me pertenezcan. Si mezclo fondos con 100 personas, esta probabilidad ya se reduce al 1%.

Tanto en los CoinJoins como en los swaps atómicos hoy en día el grado de anonimato es relativamente bajo, porque bastante menos del 1% de los usuarios de Bitcoin usa estas tecnologías.

Ahora imaginemos un mundo en los que no existan más las "batidoras de frutas" porque todas han sido cerradas por las autoridades. La demanda de privacidad seguiría alta. Es muy probable que los usuarios de BTC se vuelquen masivamente a los CoinJoins y swaps atómicos. Esto provocaría que el grado de anonimato crezca drásticamente.

Es posible ejercer un cierto control sobre los servicios centralizados como las batidoras. Las autoridades pueden al menos intentar de pedirles datos sobre los participantes de una transacción que involucra fondos de origen criminal. Pero con swaps atómicos y CoinJoins esto no es posible, si los participantes saben lo que hacen.

Conclusión: Al final sería más fácil para los criminales de esconder los fondos si ya no existen "batidoras". Las alternativas descentralizadas podrían volverse mucho más atractivas.

El problema del KYC

Además existe otro problema con la tendencia actual "anti-privacidad" de las autoridades, del cual ya se habló bastante en el norte y también en el subforo alemán por un texto publicado por el forista alemán @1miau (lamentablemente no hay traducción al castellano).

KYC, Know-your-customer, significa "conoce a tu cliente", e implica requerir datos personales a los usuarios de servicios cripto, como nombre real, dirección de mail, teléfono, número de documento y dirección. El problema es agravado por la verificación de estos datos. Se emplean métodos como la "video verificación", es decir que al final no solamente los datos mismos, sino también fotos y videos con la cara del usuario quedan almacenado en los servidores.

El gran problema es que existe siempre el peligro que criminales se apoderen de estos datos. Permite un tipo de estafa conocida como "robo de identidades". Cuanto más datos de un usuario se requieran, más fácil es para los criminales fingir una identidad falsa combinando los "items", por ejemplo un mail, un teléfono y una foto. Por ejemplo pueden engañar a familiares de la víctima, pero también hacer compras con el dinero de la víctima, et cétera. No es nada para subestimar.

Por eso, con el requrimiento de KYC para muchos servicios cripto, en realidad las autoridades les hicieron un gran regalo a los criminales, y les proveen una forma lucrativa de ingresos si hackean estos servicios. Uno de los casos más graves fue el hackeo masivo de datos en El Salvador, y se sospecha que la aplicación Chivo fue la culpable, aunque el Gobierno de este país lo haya negado. Pero no importa que aplicación haya sido: el KYC tal como existe ahora es peligroso en todos los casos.

Conclusión: Al estado le convendría cooperar con los servicios

Voy a presentar aquí un escenario alternativo, que puede ser controvertido para algunos porque implica un mínimo de "cooperación" entre los servicios de privacidad y las autoridades. Pero para mí, todo estado democrático liberal de este planeta podría adoptar este modelo sin que esto le dé alguna ventaja a los criminales.

La idea serían reglas claras, preferentemente leyes: Permitir servicios cripto sin KYC, como batidoras de frutas, carteras, exchanges, et cétera, si estos servicios se comprometen reaccionar si un juez u otra autoridad les pide congelar fondos que se pueden conectar directamente a un crimen. Esto no implicaría almacenar datos personales ni direcciones IP, ni tampoco el requisito de análisis onchain extensivos que puedan resultar en muchos "falsos positivos" (usuarios con fondos bloqueados que no tienen nada que ver con el hecho). Solo el congelamiento de fondos, es decir nada que implique "romper" el modelo de privacidad de las batidoras.

Este escenario no evitaría que los criminales usen los swaps atómicos para borrar trazas, pero conseguiría que haya una baja, pero constante probabilidad de poder recuperar fondos que pasaron por una batidora, aún cuando todavía no se ha identificado a los criminales. En el caso de los atomic swaps combinados con CoinJoins, en cambio, la probabilidad de recuperarlos es cero, con la excepción que los criminales cometan algun error o sean identificados de otra manera.

En la discusión del artículo en inglés (ver enlace abajo) hubo un grupo que se oponía férreamente a este tipo de cooperación. Los entiendo, en realidad también me gustaría que puedan existir batidoras "libres" sin ningún peligro de congelamiento de fondos, pero creo que el error de este grupo es subestimar cuanto puede empeorar la situación. En EE.UU. por ejemplo hace poco algunos integrantes del Partido Demócrata presentaron un proyecto de ley que consideraría a toda batidora un mecanismo de lavado de dinero sin distinción si es usada para fines legítimos.

¿Qué hacer?

Yo creo que es importante educar ... a amigos, conocidos, contactos en redes sociales, y hasta políticos locales que todavía muchas veces pueden ser abiertos a propuestas a favor de una mayor privacidad. Hay que convencer a la mayor cantidad de gente posible que una política estricta de vigilancia, con KYC para todo tipo de servicios, es contraproducente y no solamente no sirve para nada (porque hay alternativas como las que mostré) sino que abre caminos nuevos a los criminales, como los robos de identidades. Es una buena idea también particpar de campañas de organizaciones pro-privacidad como la Electronic Frontier Foundation, organizaciones locales como Vía Libre (Argentina), y por qué no partidos políticos con un foco en temas como las libertades cívicas.

¡Opiniones bienvenidas!

---

Publiqué un texto muy similar en inglés en este hilo. Si alguien quiere traducirlo a otros idiomas, ¡bienvenido sea!