Presiona ESC para cerrar

Dusting Attacks: Cómo desanonimizar billeteras de criptomonedas

Dusting Attacks: Cómo desanonimizar billeteras de criptomonedas

Esta es una inmersión profunda en una de las técnicas más astutas de criptoanálisis. Un ataque de polvo no es un hackeo en el sentido tradicional; es ingeniería social a nivel de blockchain, donde se usan microtransacciones en lugar de correos de phishing.

Ataque de Polvo: La Mecánica de la “Marca Digital”

Un ataque de polvo consiste en enviar cantidades muy pequeñas de criptomoneda (llamadas “polvo”) a miles de direcciones públicas. “Polvo” se refiere a un monto menor que la comisión de la transacción para moverlo, por ejemplo, 1–500 satoshis.

¿Por qué las agencias de inteligencia y Chainalysis lo hacen?

El objetivo principal es la desanonimización. Blockchains como Bitcoin, Litecoin y Dogecoin funcionan con el modelo UTXO (Unspent Transaction Output). Cuando envías una transacción, tu billetera combina el “cambio” y varias entradas pequeñas en una sola transacción.

Si accidentalmente usas el polvo recibido en tu próximo pago, el software de análisis (como Crystal o Elliptic) vincula instantáneamente todas tus direcciones en un solo clúster.

Anatomía del Ataque: De la Transacción a la Pasarela Fiat

  • Siembra (Seeding): El atacante (fondo o entidad gubernamental) envía 100 satoshis a 10,000 direcciones encontradas en la blockchain.
  • Espera (Waiting): El usuario ve un “regalo” en su billetera. La mayoría de los usuarios novatos ignoran un saldo de +$0.01.
  • Vinculación (Linking): Decides retirar 1 BTC a un exchange. Tu billetera automáticamente suma tus 0,99 BTC con los 100 satoshis de “polvo” para cubrir el monto o la comisión.
  • Identificación (Doxxing): Una vez que el polvo se mezcla con tus fondos principales, el analista ve: “Las direcciones A, B y C pertenecen a la misma persona.” Si alguna de estas direcciones ha interactuado con un exchange que requiere KYC, tu anonimato desaparece.

Análisis Práctico: Cómo Se Ve en el Código

Si eres desarrollador o usas herramientas de consola, puedes detectar el polvo analizando tus UTXO. Aquí hay un ejemplo de cómo filtrar programáticamente transacciones sospechosas usando Python/Web3.

Python

# Ejemplo de lógica para filtrar entradas sospechosas (UTXO)
MIN_SAFE_THRESHOLD = 546  # Límite de polvo para Bitcoin
def filter_dust_outputs(utxos):
    safe_utxos = []
    for tx in utxos:
        if tx['value'] > MIN_SAFE_THRESHOLD:
            safe_utxos.append(tx)
        else:
            print(f"¡Atención! UTXO sospechoso detectado: {tx['txid']} - {tx['value']} satoshis")
    return safe_utxos

Dato Poco Conocido: “Polvo Inteligente” y Smart Contracts

En redes como Ethereum (ERC-20), estos ataques han evolucionado. Recibes un token “gratuito” (por ejemplo, Fake_USDT). En la descripción o en el código del token hay un enlace URL. Al intentar intercambiar este token en un DEX, el smart contract puede solicitar aprobación (Approve), dando al atacante acceso a tus activos reales, o simplemente registrando tu IP al seguir el enlace de los metadatos del token.

Estrategias de Defensa: Cómo Evitar Ser Marcado

1. Coin Control (Arma Principal)

Usa billeteras con la función Coin Control (Bitcoin Core, Electrum, Samourai, Sparrow).

Qué hacer: Localiza la transacción sospechosa en la lista de UTXO, haz clic derecho y selecciona "Freeze" o "Do not spend". Tu billetera nunca tocará ese polvo.

2. Uso de Mixers y CoinJoin

Tecnologías como Whirlpool (Samourai) o WabiSabi (Wasabi) dividen tus fondos en partes más pequeñas y las mezclan con otros participantes, haciendo inútil el ataque de polvo, ya que los enlaces entre entradas se rompen deliberadamente.

3. Rotación de Direcciones

Nunca uses la misma dirección dos veces. Las billeteras HD modernas lo hacen automáticamente, pero recuerda: si consolidas todas las direcciones en una sola transacción, la estructura HD no te protegerá.

Ataque de Polvo como Herramienta de “Fondos”

Los grandes actores institucionales usan el polvo no para robar dinero, sino para monitorear competidores.

Escenario: El fondo “A” marca las billeteras de una gran ballena. Tan pronto como la ballena mueve fondos (incluido el polvo), el fondo recibe una señal de posible toma de ganancias o dump del mercado, permitiéndole entrar en la operación antes (front-running).

Si la primera parte trataba sobre lo básico, aquí vamos a profundizar en el análisis avanzado y en los métodos que utilizan los profesionales tanto para la defensa como para el ataque.

Desanonimización avanzada: método de «Address Poisoning»

Se trata de una variante moderna y extremadamente peligrosa del ataque de dusting, relevante para las redes Ethereum (EVM), TRON y Polygon.

Mecánica del ataque:

  • Generación de un duplicado: Un hacker o analista crea una dirección cuyos primeros 4–6 y últimos 4–6 caracteres coinciden con los de un contraparte frecuente (por ejemplo, una billetera de exchange).
  • Transferencia nula: Desde esta dirección «similar» se te envía una transacción de 0 o 0,0001 tokens.
  • La trampa: La próxima vez que quieras enviar fondos a tu contraparte, podrías, por costumbre, copiar la dirección desde el historial de transacciones recientes en la interfaz de tu billetera (MetaMask, Trust Wallet).
  • Resultado: Tú mismo envías tus activos a la billetera «dust» del atacante.

Matiz importante: En redes con contratos inteligentes, el «dust» no solo puede ser una cantidad mínima, sino incluso el simple hecho de ejecutar la función transfer.

Cómo las agencias utilizan el «dust» para correlacionarlo con la IP

Poca gente sabe que el ataque de dusting puede combinarse con la monitorización de nodos de la red.

Cuando tu billetera hace broadcast de una transacción que contiene una «marca», las empresas de análisis (como Chainalysis o CipherTrace) correlacionan el momento en que aparece en el mempool con las direcciones IP de los nodos activos. Si no utilizas Tor o un VPN de calidad al sincronizar tu billetera, tu ubicación física real puede vincularse a un clúster de billeteras, incluso a nivel de proveedor.

Guía técnica: limpieza de una billetera «contaminada»

Si detectaste dust y ya lo «recogiste» (lo mezclaste con tus fondos principales), tu billetera se considera comprometida (linked). Este es el procedimiento para recuperar la privacidad:

  • Separación de UTXO: Utiliza una billetera como Sparrow o Electrum. Ve a la pestaña Coins (UTXO). Selecciona todas las entradas pequeñas sospechosas y márcalas con la etiqueta "DUST - DO NOT SPEND".
  • Salida mediante CoinJoin: Pasa los fondos limpios restantes por un ciclo de mezcla (por ejemplo, Samourai Whirlpool). Esto crea una ruptura en el historial de propiedad.
  • Aislamiento del cambio (Change): El error más común es olvidar el «cambio». Si envías el saldo principal pero el cambio de esa transacción vuelve a una dirección vinculada al dust, el vínculo permanece. Usa siempre la opción Manual Change Output.
  • «Quemar» el dust: La única forma segura de deshacerse del dust, si no quieres conservarlo, es enviarlo a una dirección de quema (burn address), por ejemplo: 1CounterpartyXXXXXXXXXXXXXXXUWLpS, pero hazlo en una transacción separada, utilizando estrictamente solo ese UTXO y nada más.

Ataques de dusting en Lightning Network (LN)

Este es un ámbito poco conocido. En LN, los ataques funcionan de otra manera:

  • Probe attacks: El atacante envía micropagos a través de canales que están destinados a fallar (hash inválido).
  • Objetivo: Averiguar los saldos de liquidez en canales específicos y mapear quién interactúa con quién y por qué montos fuera de la blockchain principal. Esto es «dust» a nivel de enrutamiento.

Checklist de higiene profesional

Tipo de amenazaMétodo de protección
UTXO DustCoin Control (congelar entradas pequeñas)
Address PoisoningVerificar manualmente cada carácter de la dirección (no copiar desde el historial)
ERC-20 SpamNo aprobar nunca tokens desconocidos
IP LinkingUsar tu propio nodo a través de Tor

Consejo de seguridad útil:

Si ves tokens en tu billetera que no compraste (por ejemplo, VOTING_TOKEN o FREE_AIRDROP), no intentes venderlos ni transferirlos. En algunas blockchains, el simple hecho de interactuar con un contrato inteligente malicioso puede activar un script que «drene» tu saldo principal (gas drainers).

Pasamos a la parte más avanzada: cómo los ataques de dust se utilizan en conjunto con OSINT (inteligencia de fuentes abiertas) y cómo los exchanges modernos participan en este proceso, a veces incluso sin darse cuenta.

El dust como “baliza” en investigaciones OSINT

Las agencias de inteligencia y los rastreadores profesionales (como Chainalysis) utilizan el dust no solo para vincular direcciones, sino también para el marcado cronológico del tiempo.

Método de “Ping Activo”

Imagina que un analista sospecha que un grupo de direcciones pertenece a una sola persona, pero no existe una conexión directa en la blockchain.

  • Envían dust a la dirección A a las 12:00 y a la dirección B a las 12:05.
  • Si a las 14:00 ambas entradas (UTXO) se consolidan en una única transacción de salida, el analista obtiene confirmación: ambas claves privadas están en el mismo software (billetera), configurado para recopilar entradas automáticamente.

Ataques de dust y direcciones de cambio (Change Addresses)

Este es un punto crítico de vulnerabilidad. La mayoría de las billeteras modernas utilizan el estándar BIP44/BIP84, generando una nueva dirección para cada cambio.

  • Trampa: Si uno de tus antiguos direcciones recibió dust y no lo sabes, la billetera puede “arrastrar” ese dust silenciosamente en la siguiente transacción para completar el monto.
  • Resultado: Tu nuevo cambio se envía a una nueva dirección, pero esa dirección queda ahora vinculada permanentemente al historial del input de dust. Todo tu saldo “nuevo” queda marcado.

Detalle poco conocido: dust en las redes Monero (XMR) y Zcash (ZEC)

Muchos creen que las monedas de privacidad son inmunes. No es del todo cierto:

  • Zcash (direcciones T): Si utilizas direcciones transparentes (T), el ataque de dust funciona igual que en Bitcoin.
  • Monero: Gracias a las firmas de anillo (Ring Signatures), un ataque de dust directo no es posible. Sin embargo, existe el concepto de “Inevitability Attack”, donde un atacante inunda la red con microtransacciones para “contaminar” los conjuntos de salidas que otros usuarios eligen para sus firmas de anillo, reduciendo así el conjunto de sospechosos por eliminación.

Cómo funcionan los “puentes fiat” (Exchanges)

Los exchanges (Binance, OKX, Coinbase) cuentan con sus propios sistemas de detección de dust.

  • Si realizas un depósito que contiene “dust” proveniente de una dirección de hacker conocida o de un mercado darknet, tu cuenta será marcada como High Risk.
  • Incluso si la cantidad de dust es de solo 10 centavos, el exchange puede bloquear el retiro de todo tu depósito hasta que se verifique el origen de los fondos (control KYC/AML).

Consejo: Antes de enviar una cantidad grande a un exchange, revisa siempre la pestaña UTXO en tu billetera. Si hay transacciones pequeñas sospechosas, no las utilices al enviar a una plataforma con KYC.

Enfoque de ingeniería: script de análisis por lotes (Batch Analysis)

Si tienes cientos de direcciones, revisarlas manualmente no es viable. Los profesionales utilizan solicitudes API a indexadores de blockchain. Aquí tienes un ejemplo de lógica en JavaScript (Node.js) para comprobar la presencia de dust a través de la API de Blockstream:

JavaScript

const axios = require('axios');
async function checkDust(address) {
    const response = await axios.get(`https://blockstream.info/api/address/${address}/utxo`);
    const utxos = response.data;
    
    utxos.forEach(utxo => {
        if (utxo.value < 1000) { // Umbral de 1000 satoshis
            console.warn(`[!] ADVERTENCIA: ¡Se detectó dust en la dirección ${address}!`);
            console.log(`TXID: ${utxo.txid}, Cantidad: ${utxo.value} sat`);
        }
    });
}

Protocolo final de seguridad (Anti-Dust Protocol)

  • Aislamiento: Mantén las direcciones “públicas” (para donaciones o pagos) separadas del almacenamiento “en frío”. Nunca transfieras fondos directamente entre ellas.
  • Etiquetado: En billeteras como Sparrow, etiqueta siempre cada transacción. Si ves una transacción sin tu etiqueta — es dust.
  • Umbral mínimo: Configura el parámetro dustrelayfee en los ajustes de la billetera (si usas Bitcoin Core) para ignorar transacciones demasiado pequeñas a nivel de nodo.
  • Billeteras hardware: Ten cuidado con Ledger/Trezor. Sus aplicaciones estándar (Ledger Live) a menudo no incluyen la función Coin Control “de fábrica” en una interfaz simple, lo que hace a sus usuarios objetivos fáciles para la vinculación automática de direcciones. Es mejor conectar la billetera hardware a una interfaz como Electrum o Specter.
Oleg Filatov
Oleg Filatov

As the Chief Technology Officer at EXMON Exchange, I focus on building secure, scalable crypto infrastructure and developing systems that protect user assets and privacy.

With over 15 years in cybersecurity, blockchain, and DevOps, I specialize in smart contract analysis, threat modeling, and secure system architecture.

At EXMON Academy, I share practical insights from real-world...

...

Escribe una opinión

Tu correo electrónico no será publicado. Los campos obligatorios están marcados *

Te puede interesar

Backdoors en Smart Contracts: Riesgos de Upgradeability

Backdoors en Smart Contracts: Riesgos de Upgradeability
5 errores de ChatGPT al configurar nodos anónimos

5 errores de ChatGPT al configurar nodos anónimos
Passkeys vs. Seed Phrases: Cripto más segura que los bancos

Passkeys vs. Seed Phrases: Cripto más segura que los bancos
EXMON Academy | Blockchain, trading y seguridad EXMON Academy | Blockchain, trading y seguridad

La verdadera libertad comienza con la seguridad personal y el anonimato. Criptomoneda: tu arma contra el control financiero.

Tag Clouds

#trading #security #anonimato #bitcoin #privacy
Your experience on this site will be improved by allowing cookies.