Investigadores de la Universidad KU Leuven analizaron 85 de las billeteras de criptomonedas más utilizadas que funcionan como extensiones de navegador y hallaron que presentan fugas de información suficientes para vincular y rastrear a sus usuarios.
La manera en que estas billeteras se comunican con sitios web y servidores blockchain permite conectar las distintas direcciones de una persona y facilita que terceros la rastreen de un sitio a otro. Incluso en un sitio que contiene un nombre o correo electrónico, estas filtraciones pueden asociar una identidad real a una dirección criptográfica supuestamente anónima.
Esta situación no se produce por un hackeo. Las billeteras funcionan exactamente como fueron diseñadas. Las 85 extensiones estudiadas suman aproximadamente 35 millones de usuarios registrados en la Chrome Web Store.
El equipo del grupo de seguridad DistriNet de la universidad publicó el artículo este mes y lo presentará en la conferencia de privacidad PETS 2026 en Calgary a finales de julio. Realizaron pruebas con billeteras reales en sitios Web3 reales e identificaron cinco vulnerabilidades de privacidad en la interacción entre billeteras y sitios web. Cuando informaron a los fabricantes sobre el problema de mayor alcance antes de su publicación, la mayoría se negó a considerarlo un error.
Muchas personas mantienen varias direcciones de billetera a propósito para mantener separadas partes de su vida financiera. Esto solo funciona si nadie puede saber que las direcciones pertenecen a la misma persona. Sin embargo, para mostrar el saldo, una billetera envía constantemente solicitudes a servidores externos, y esas solicitudes transmiten la dirección sin cifrar a quien administra el servidor.
Cuando una billetera incluye dos direcciones en una sola solicitud, el servidor sabe que pertenecen a la misma persona. Diecisiete monederos expusieron conexiones entre las direcciones de un usuario. Trece lo hicieron de manera evidente, agrupando dos direcciones en una sola solicitud. Cuatro más se delataron al enviar solicitudes separadas con milisegundos de diferencia, una señal más débil pero igualmente útil.
En conjunto, estos monederos abarcan aproximadamente 23 millones de las instalaciones estudiadas. Quien administra el servidor, o cualquiera que obtenga sus datos posteriormente, puede unir las direcciones en un solo perfil.
Un sitio web puede saber qué billeteras tiene instaladas un usuario. Cada billetera se identifica en cada página que carga, por lo que un script puede leer el conjunto exacto de billeteras, una huella digital que funciona incluso si nunca se conecta una billetera y aunque se bloqueen las cookies.
Los investigadores descubrieron que 36 de las 85 billeteras hacen esto, y sus usuarios representan aproximadamente el 82% de las instalaciones estudiadas. Esas mismas 36 billeteras son las responsables de los problemas posteriores identificados.
Cuando se conecta una billetera a un sitio y luego se desconecta, se asume que el sitio pierde el acceso. A menudo no es así, por dos razones distintas.
Primero, muchos sitios nunca le indican a la billetera que corte el acceso. De las 30 aplicaciones Web3 populares que el equipo probó, solo 11 enviaron una orden de revocación real cuando un usuario hizo clic en desconectar o cerrar sesión. El resto simplemente borró su pantalla.
Segundo, incluso cuando se envía la orden, muchas billeteras la ignoran. En 22 de esas 36 carteras, el sitio aún podía leer la dirección después de solicitar a la cartera que la revocara, y ese acceso se mantuvo incluso después de borrar las cookies y reiniciar el navegador.
Esto convierte la dirección en una etiqueta de seguimiento potente. Es única a nivel global y, a diferencia de una cookie, no desaparece al borrar el navegador. El permiso obsoleto permanece en la extensión hasta que se abre la lista de sitios conectados de la billetera y se elimina el sitio manualmente; hasta entonces, un script en la página sigue leyendo la dirección en segundo plano.
De esas 36 billeteras, 23 compartirán la dirección desde dentro de un marco que una página ha cargado desde otro sitio. Por sí solo, esto no tiene consecuencias. El problema radica en lo que un rastreador compartido puede hacer con ella.
Supongamos que el mismo script de seguimiento se ejecuta en una aplicación de criptomonedas a la que se conectó un usuario y en un sitio web común. En el sitio común, el rastreador carga silenciosamente la aplicación de criptomonedas dentro de un marco invisible.
La página de la aplicación ya estaba autorizada por la billetera, y estas billeteras responden desde dentro del marco, por lo que la billetera devuelve la dirección al script sin que el usuario haga clic. La aplicación debe permitir la integración para que esto funcione, aunque muchas lo permiten.
Si se vincula esa dirección a un nombre o correo electrónico que el sitio ya tenga registrado, un perfil criptográfico seudónimo se convierte en una persona identificada. La dirección de una billetera es un registro público de saldos, transacciones y tenencias de tokens. Si se vincula a una identidad real y a un historial de navegación, un atacante tiene un objetivo identificado cuyo dinero ahora está a la vista.
Los investigadores demostraron que este método es real y utilizable; no afirmaron que los rastreadores ya lo estén utilizando a gran escala.
Para los usuarios, las soluciones son solo parciales. Se recomienda abrir la billetera y eliminar los permisos de sitios antiguos que ya no se utilicen. Esto detiene el rastreo de direcciones obsoletas, pero no soluciona las filtraciones de direcciones a los servidores ni la huella digital de la billetera instalada.
La demostración de los investigadores muestra cómo funciona la propia billetera; se ejecuta en el navegador y, según afirman, no almacena nada. Se recomienda usar una billetera desechable para mayor seguridad. También ayuda mantener las diferentes actividades en carteras o perfiles de navegador separados. Las soluciones más importantes están fuera del alcance de los usuarios.
Los investigadores centraron su informe en el problema de vulnerabilidad entre sitios y notificaron a los fabricantes de carteras afectadas antes de su publicación. Para una nueva prueba en febrero de 2026, Coinbase Wallet y Coin98 ya lo habían solucionado, y Hana Wallet lo hizo posteriormente. Sin embargo, de los ocho proveedores que respondieron a través de sus programas de recompensas por errores, la mayoría se negó a considerarlo un error.
MetaMask lo calificó como un problema conocido, cerró el informe como duplicado y afirmó que no tenía planes inmediatos de dejar de inyectar código en su proveedor, ya que esto afectaría a demasiadas aplicaciones.
Rabby afirmó que el ataque requeriría que el mismo script malicioso se ejecutara en dos sitios simultáneamente, lo cual calificó de prácticamente imposible, y concluyó que la vulnerabilidad no existe. OKX coincidió en que el hallazgo era técnicamente correcto, pero lo cerró como informativo porque expone datos sin robar dinero.
Bybit, Backpack y Core lo consideraron de bajo riesgo o fuera de su alcance. Las respuestas completas se publican en el repositorio de los investigadores.
El estudio se basa en la investigación de 2023 de Christof Ferreira Torres y sus colegas, quienes fueron los primeros en demostrar que las carteras digitales filtraban direcciones a servidores externos. Este trabajo detecta filtraciones que las herramientas anteriores no detectaron, mapea el rastreo entre sitios y muestra cómo la misma filtración podría usarse para revelar la identidad de los usuarios.
Mientras que escáneres como WalletRadar y WalletProbe buscan errores evidentes, este artículo demuestra que una cartera digital no necesita un error para exponer a un usuario. Esto la diferencia de las extensiones de cartera falsas que robaron claves el año pasado. En esos casos, los delincuentes robaban. Aquí, no se roba nada, y la filtración está integrada en el diseño.
El artículo se publicó en arXiv el 7 de julio y se presentará en PETS 2026 en Calgary, del 20 al 25 de julio. Por ahora, las carteras funcionan según lo previsto, y varios de sus fabricantes han afirmado que el diseño es correcto.
La solución real no es otra advertencia a los usuarios. Se trata de carteras que dejan de exponerse dentro de marcos integrados, y de un estándar del ecosistema que define qué debe hacer realmente el cierre de sesión.
Con Información de blog.segu-info.com.ar
