Estudio de 85 extensiones de billeteras de criptomonedas detecta filtraciones
Investigadores de la KU Leuven probaron 85 de las billeteras de criptomonedas más populares que funcionan como extensiones de navegador y descubrieron que las propias billeteras presentan fugas de información suficientes para vincular y rastrear a sus usuarios.
La forma en que estas billeteras se comunican con sitios web y servidores blockchain puede conectar las distintas direcciones de una persona y permitir que terceros la sigan de un sitio a otro. Incluso en un sitio que ya contiene un nombre o correo electrónico, estas mismas fugas pueden asociar un nombre real a una identidad criptográfica "anónima".
Esto no es un hackeo. Las billeteras funcionan exactamente como fueron diseñadas. Las 85 extensiones suman alrededor de 35 millones de usuarios registrados en la Chrome Web Store.
El equipo, perteneciente al grupo de seguridad DistriNet de la universidad, publicó el artículo este mes y lo presentará en la conferencia de privacidad PETS 2026 en Calgary a finales de julio. Realizaron pruebas con billeteras reales en sitios Web3 reales e identificaron cinco vulnerabilidades de privacidad en la interacción entre billeteras y sitios web. Cuando informaron a los fabricantes de monederos sobre el problema de mayor alcance antes de su publicación, la mayoría se negó a considerarlo un error.
Problema 1: Tus direcciones de monedero se vinculan
Muchas personas mantienen varias direcciones de monedero a propósito para mantener separadas partes de su vida financiera. Esto solo funciona si nadie puede saber que las direcciones pertenecen a la misma persona. Pero para mostrar tu saldo, un monedero envía constantemente solicitudes a servidores externos, y esas solicitudes transmiten tu dirección, sin cifrar, a quien administra el servidor.
Cuando un monedero incluye dos de tus direcciones en una sola solicitud, el servidor sabe que son tuyas. Diecisiete monederos expusieron conexiones entre las direcciones de monedero de un usuario. Trece lo hicieron de la forma obvia, agrupando dos direcciones en una sola solicitud. Cuatro más se delataron al enviar solicitudes separadas con milisegundos de diferencia, una señal más débil pero aún útil.
En conjunto, estos monederos abarcan aproximadamente 23 millones de las instalaciones estudiadas. Quien administra el servidor, o cualquiera que obtenga sus datos posteriormente, puede unir las direcciones en un solo perfil.
Problema 2: Cerrar sesión a menudo no cierra la sesión por completo.
Este problema y el siguiente comparten un punto de partida: un sitio web puede saber qué billeteras tienes instaladas. Cada billetera se identifica en cada página que carga, por lo que un script puede leer el conjunto exacto que llevas, una huella digital que funciona incluso si nunca conectas una billetera y aunque bloquees las cookies.
Los investigadores descubrieron que 36 de las 85 billeteras hacen esto, y sus usuarios representan aproximadamente el 82% de las instalaciones estudiadas. Esas mismas 36 billeteras son las responsables de las cifras que se muestran a continuación.
Cuando conectas una billetera a un sitio y luego te desconectas, asumes que el sitio pierde el acceso. A menudo no es así, por dos razones distintas.
Primero, muchos sitios nunca le indican a la billetera que corte el acceso. De las 30 aplicaciones Web3 populares que el equipo probó, solo 11 enviaron una orden de revocación real cuando un usuario hizo clic en Desconectar o Cerrar sesión. El resto simplemente borró su pantalla.
Segundo, incluso cuando se envía la orden, muchas billeteras la ignoran. En 22 de esas 36 carteras, el sitio aún podía leer tu dirección después de solicitar a la cartera que la revocara, y ese acceso se mantuvo incluso después de borrar las cookies y reiniciar el navegador.
Esto convierte la dirección en una potente etiqueta de seguimiento. Es única a nivel global y, a diferencia de una cookie, no desaparece al borrar el navegador. El permiso obsoleto permanece en la extensión hasta que se abre la lista de "Sitios conectados" de la billetera y se elimina el sitio manualmente; hasta entonces, un script en la página sigue leyendo la dirección en segundo plano.
Problema 3: Una billetera a la que te conectaste puede exponerte en otros sitios.
Este último problema tiene mayor alcance. De esas 36 billeteras, 23 compartirán tu dirección desde dentro de un marco que una página ha cargado desde otro sitio. Por sí solo, esto no tiene ninguna consecuencia. El problema radica en lo que un rastreador compartido puede hacer con ella.
Supongamos que el mismo script de seguimiento se ejecuta en una aplicación de criptomonedas a la que te conectaste y en un sitio web común y corriente. En el sitio común, el rastreador carga silenciosamente la aplicación de criptomonedas dentro de un marco invisible.
La página de la aplicación ya estaba autorizada por la billetera, y estas billeteras responden desde dentro del marco, por lo que la billetera devuelve la dirección al script sin que el usuario haga clic. La aplicación debe permitir la integración para que esto funcione, aunque muchas lo permiten.
Vincula esa dirección a un nombre o correo electrónico que el sitio ya tenga registrado, y un perfil criptográfico seudónimo se convierte en una persona identificada. La dirección de una billetera es un registro público de sus saldos, transacciones y tenencias de tokens. Si la vinculas a una identidad real y a un historial de navegación, un atacante tiene un objetivo identificado cuyo dinero ahora está a la vista.
Los investigadores demostraron que este método es real y utilizable; no afirmaron que los rastreadores ya lo estén utilizando a gran escala.
Qué hacer y cómo respondió la industria
Para los usuarios, las soluciones son solo parciales. Abre tu billetera y elimina los permisos de sitios antiguos que ya no uses. Esto detiene el rastreo de direcciones obsoletas del Problema 2, pero no soluciona las filtraciones de direcciones a los servidores ni la huella digital de la billetera instalada.
La demostración de los investigadores muestra cómo funciona tu propia billetera; se ejecuta en tu navegador y, según afirman, no almacena nada. Usa una billetera desechable para mayor seguridad. También ayuda mantener las diferentes actividades en carteras o perfiles de navegador separados. Las soluciones más importantes están fuera del alcance de los usuarios.
Los investigadores centraron su informe en el problema de vulnerabilidad entre sitios y notificaron a los fabricantes de carteras afectadas antes de su publicación. Para una nueva prueba en febrero de 2026, Coinbase Wallet y Coin98 ya lo habían solucionado, y Hana Wallet lo hizo posteriormente. Sin embargo, de los ocho proveedores que, según el informe, respondieron a través de sus programas de recompensas por errores, la mayoría se negó a considerarlo un error.
MetaMask lo calificó como un problema conocido, cerró el informe como duplicado y afirmó que no tenía planes inmediatos de dejar de inyectar malware en su proveedor, ya que esto afectaría a demasiadas aplicaciones.
Rabby afirmó que el ataque requeriría que el mismo script malicioso se ejecutara en dos sitios simultáneamente, lo cual calificó de "prácticamente imposible", y concluyó que "la vulnerabilidad no existe". OKX coincidió en que el hallazgo era técnicamente correcto, pero lo cerró como informativo porque expone datos sin robar dinero.
Bybit, Backpack y Core lo consideraron de bajo riesgo o fuera de su alcance. Las respuestas completas se publican en el repositorio de los investigadores.
El estudio se basa en la investigación de 2023 de Christof Ferreira Torres y sus colegas, quienes fueron los primeros en demostrar que las carteras digitales filtraban direcciones a servidores externos. Este trabajo detecta filtraciones que las herramientas anteriores no detectaron, mapea el rastreo entre sitios y muestra cómo la misma filtración podría usarse para revelar la identidad de los usuarios.
Mientras que escáneres como WalletRadar y WalletProbe buscan errores evidentes, este artículo demuestra que una cartera digital no necesita un error para exponer a un usuario. Esto la diferencia de las extensiones de cartera falsas que robaron claves el año pasado. En esos casos, los delincuentes robaron. Aquí, no se roba nada, y la filtración está integrada en el diseño.
El artículo se publicó en arXiv el 7 de julio y se presentará en PETS 2026 en Calgary, del 20 al 25 de julio. Por ahora, las carteras funcionan según lo previsto, y varios de sus fabricantes han afirmado, en efecto, que el diseño es correcto.
La solución real no es otra advertencia a los usuarios. Se trata de carteras que dejan de exponerse dentro de marcos integrados, y de un estándar del ecosistema que define qué debe hacer realmente el cierre de sesión.
Fuente: THN




