Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

La Universidad de Aalborg amplía sus ambiciones espaciales con un nuevo centro, una estación terrestre nacional y un impulso de infraestructura de 70 millones de euros

Un estudio de 85 extensiones de billeteras criptográficas revela riesgos de fuga de direcciones y seguimiento entre sitios

Cómo Penera convierte su flujo de trabajo de seguridad de IA en un motor de verificación

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»Un estudio de 85 extensiones de billeteras criptográficas revela riesgos de fuga de direcciones y seguimiento entre sitios
Identidad

Un estudio de 85 extensiones de billeteras criptográficas revela riesgos de fuga de direcciones y seguimiento entre sitios

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 14, 2026No hay comentarios8 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Investigadores de la Universidad de Lovaina probaron 85 de las billeteras de criptomonedas más populares que se ejecutan como extensiones de navegador y descubrieron que las billeteras mismas filtraban lo suficiente como para vincular y rastrear a los usuarios que las usaban.

La forma en que estas billeteras se comunican con los sitios web y los servidores blockchain une las direcciones separadas de una persona, permitiendo a personas externas rastrearlas de un sitio a otro. Además, la misma infracción podría provocar que su nombre real se establezca como una identificación cifrada «anónima» en sitios donde ya tiene su nombre y dirección de correo electrónico registrados.

Esto no es un truco. La billetera funciona exactamente como fue construida. Junto con sus 85 extensiones, Chrome Web Store tiene aproximadamente 35 millones de usuarios.

Un equipo del Grupo de Seguridad DistriNet de la universidad presentó el artículo este mes y planea presentarlo en la conferencia de privacidad PETS 2026 en Calgary a finales de julio.

Compararon billeteras reales con sitios Web3 reales y mapearon cinco debilidades de privacidad en las interacciones entre billetera y sitio web. Cuando informamos del problema más extendido a los fabricantes de carteras antes de salir a bolsa, la mayoría de las empresas se negaron a llamarlo error.

Problema 1: direcciones separadas están vinculadas

Muchas personas mantienen intencionalmente varias direcciones de billetera para mantener separadas partes de sus vidas financieras. Esto sólo funciona si nadie sabe que las direcciones pertenecen a la misma persona. Pero para ver su saldo, su billetera hace ping constantemente a un servidor externo y esa solicitud envía su dirección en texto claro a la persona que ejecuta el servidor.

Cuando una billetera coloca dos de sus direcciones en una solicitud, el servidor sabe que son sus direcciones. 17 billeteras expusieron conexiones entre las direcciones individuales de los usuarios. Trece empresas lo hicieron de la forma más obvia: agrupando dos direcciones en una sola solicitud. Cuatro más emitieron solicitudes separadas para liberarse con una diferencia de milisegundos entre sí. Esta es una señal débil pero aún útil.

En conjunto, estas carteras cubren aproximadamente 23 millones de las instalaciones encuestadas. La persona que ejecuta el servidor o recupera los datos más tarde puede unir las direcciones en un solo perfil.

Problema 2: Cerrar sesión a menudo no cierra la sesión

Este problema y el siguiente comparten un punto de partida. El sitio web puede indicar qué billeteras están instaladas. Debido a que cada billetera se anuncia en las páginas que carga, el script puede leer el conjunto exacto de huellas digitales que tiene un usuario, una huella digital que funciona incluso si nunca se ha conectado a la billetera ni ha bloqueado las cookies.

Los investigadores descubrieron que 36 de 85 billeteras hacían esto y sus usuarios representaban aproximadamente el 82% de las instalaciones estudiadas. Estos mismos 36 son el grupo detrás de los números a continuación.

Si conecta su billetera a un sitio y luego la desconecta, asumiremos que ya no se puede acceder al sitio. En la mayoría de los casos esto no es así, por dos razones.

Primero, muchos sitios en realidad no le dicen a su billetera que bloquee el acceso. De las 30 aplicaciones Web3 populares que el equipo probó, solo 11 realmente enviaron un comando de cancelación cuando un usuario hizo clic en (desconectar) o (cerrar sesión). Todo lo que queda por hacer es borrar la pantalla.

En segundo lugar, incluso si se envía el comando, muchas billeteras lo ignorarán. En 22 de estas 36 billeteras, el sitio pudo leer las direcciones incluso después de solicitar que se deshabilitara la billetera, y ese acceso persistió incluso después de borrar las cookies y reiniciar el navegador.

Esto convierte a la dirección en una poderosa etiqueta de seguimiento. Es única en el mundo y, a diferencia de las cookies, no desaparece incluso si borras tu navegador. Los permisos antiguos permanecerán en la extensión hasta que elimine manualmente el sitio abriendo la lista de Sitios conectados de su billetera. Hasta entonces, un script en la página seguirá leyendo las direcciones en segundo plano.

Problema 3: una vez conectado, su billetera puede quedar expuesta a otros sitios

El último problema es el más lejano. De las mismas 36 billeteras, 23 distribuyen direcciones dentro de un marco que una página carga desde otro sitio. Nada sucede por sí solo. La pregunta es, ¿qué se puede hacer con los rastreadores compartidos?

Supongamos que el mismo script de seguimiento se ejecuta en una aplicación de cifrado a la que alguna vez se conectó y en un sitio web normal no relacionado. En un sitio normal, el rastreador carga silenciosamente su aplicación de cifrado dentro de un marco invisible.

Las páginas de la aplicación ya están autorizadas por las billeteras y, dado que esas billeteras responden desde dentro del marco, las billeteras devuelven la dirección al script sin ningún clic por parte del usuario. La aplicación debe permitir la incrustación para que esto funcione, pero muchas aplicaciones permiten la incrustación.

Vincular esa dirección a un nombre o correo electrónico ya registrado en el sitio convierte su perfil criptográfico seudónimo en una persona nombrada. Una dirección de billetera es un registro público de sus saldos, transacciones y tenencias de tokens. Al vincularlo a su identidad real y su historial de navegación, los atacantes tienen un objetivo designado y su dinero en la mira.

Los investigadores demostraron que esta vía es real y puede utilizarse. No afirmaron que los rastreadores ya lo estuvieran haciendo a escala.

¿Qué se debe hacer y cómo ha respondido la industria?

Para los usuarios, la solución es sólo parcial. Abra su billetera y borre los permisos de los sitios antiguos que ya no usa. Esto evitará que el problema 2 rastree direcciones antiguas, pero no hará nada con respecto a la fuga de direcciones al servidor o la toma de huellas digitales de las billeteras instaladas.

La demostración de los investigadores muestra cómo funciona su propia billetera. Se dice que se ejecuta en su navegador y no guarda nada. Utilice carteras desechables para estar seguro. También le ayuda a mantener diferentes actividades en carteras o perfiles de navegador separados. Las modificaciones más importantes quedan fuera del alcance del usuario.

Los investigadores destacaron el problema entre sitios y lo comunicaron a los fabricantes de billeteras afectados antes de hacerlo público. Para la nueva prueba de febrero de 2026, ya habíamos arreglado Coinbase Wallet y Coin98, y luego también arreglamos Hana Wallet. Sin embargo, el periódico dijo que de los ocho proveedores que respondieron a través del programa de recompensas por errores, la mayoría se negó a tratarlo como un error.

MetaMask calificó esto como un problema conocido, cerró el informe como duplicado y dijo que no tiene planes de dejar de inyectar al proveedor en el corto plazo.

Lavie dijo que el ataque requeriría que el mismo script malicioso se ejecutara en dos sitios simultáneamente, lo que sería «prácticamente imposible» y concluyó que «no hay vulnerabilidad». OKX estuvo de acuerdo en que el descubrimiento era técnicamente correcto, pero lo cerró como informativo para poder publicar los datos sin robar dinero.

Bybit, Backpack y Core marcaron esto como de bajo riesgo o no cubierto. Las respuestas completas se publican en los repositorios de los investigadores.

El estudio se basa en un estudio de 2023 realizado por Christof Ferreira Torres y sus colegas que mostró por primera vez direcciones filtradas desde billeteras de navegador a servidores externos. Este estudio muestra cómo se pueden detectar filtraciones que las herramientas anteriores pasaron por alto, planificar el seguimiento entre sitios y utilizar esas mismas filtraciones para desenmascarar a las personas.

Los escáneres como WalletRadar y WalletProbe buscan errores evidentes, pero este documento muestra que las billeteras no necesitan tener errores para estar expuestas. Esto lo distingue de la extensión de billetera falsa que fue descubierta el año pasado por robar llaves. Allí, un delincuente cometió el robo. Aquí no se roba nada, las filtraciones están incorporadas.

El artículo se publicó en arXiv el 7 de julio y se presentará en PETS 2026 en Calgary del 20 al 25 de julio. Hasta ahora, las billeteras funcionan según lo diseñado y algunos de los fabricantes han dicho que sus diseños están efectivamente bien.

Una solución real no es una nueva advertencia para los usuarios. Es la billetera la que deja de exponerse dentro del marco integrado, y el estándar del ecosistema es el que dicta lo que realmente debe hacer un cierre de sesión.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleCómo Penera convierte su flujo de trabajo de seguridad de IA en un motor de verificación
Next Article La Universidad de Aalborg amplía sus ambiciones espaciales con un nuevo centro, una estación terrestre nacional y un impulso de infraestructura de 70 millones de euros
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Cómo Penera convierte su flujo de trabajo de seguridad de IA en un motor de verificación

julio 14, 2026

julio 14, 2026

Un paquete de 148 npm disfrazado de proxy estudiantil convierte su navegador en una botnet DDoS

julio 14, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

La Universidad de Aalborg amplía sus ambiciones espaciales con un nuevo centro, una estación terrestre nacional y un impulso de infraestructura de 70 millones de euros

Un estudio de 85 extensiones de billeteras criptográficas revela riesgos de fuga de direcciones y seguimiento entre sitios

Cómo Penera convierte su flujo de trabajo de seguridad de IA en un motor de verificación

La construcción de una nueva central nuclear en Suiza es económicamente viable, según un nuevo informe

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.