Ataque Sybil: Múltiples identidades falsas que sesgan o manipulan una red

Estos ataques pueden comprometer gravemente la integridad, seguridad y funcionalidad de los sistemas descentralizados. En un mundo completamente digitalizado como el actual, es crucial buscar métodos viables para verificar la singularidad de una persona.

Actualizado 03.09.2024

Puntos clave

  • El atacante busca generar múltiples identidades falsas con el fin de influenciar o controlar toda una red.

  • Pueden manipular votaciones y consensos mediante la creación de un mayor número de cuentas sintéticas.

  • Logran influir en la percepción pública para hacer que ciertas opiniones parezcan más populares o aceptadas de lo que realmente son, o viceversa.

  • A través de estas cuentas, se apropian de los incentivos destinados a usuarios legítimos, lo que perjudica el diseño de los sistemas basados en recompensas y afecta negativamente los lanzamientos de proyectos que buscan atraer nuevos usuarios.

Ataque Sybil

Un ataque Sybil ocurre cuando una entidad maliciosa crea múltiples identidades falsas o seudónimos para corromper y manipular una red. En muchos casos, esto se hace de forma automatizada, distorsionando votaciones a su favor mediante la creación de votantes sintéticos, o influyendo en la percepción pública para que ciertas opiniones parezcan más populares o aceptadas de lo que realmente son, o viceversa. Este problema se amplifica aún más en los sistemas descentralizados, donde las posibles soluciones deben ajustarse a las características de estos sistemas y prescindir de una entidad centralizada que pueda verificar la legitimidad de estos usuarios.

Un desafío para los sistemas descentralizados

Para crear una cuenta en una plataforma web, generalmente necesitamos validar nuestra identidad mediante correo electrónico, teléfono, tarjetas bancarias o una combinación de estos mecanismos. Esto permite a los sistemas individualizarnos y mitigar estos ataques. Sin embargo, en un sistema Web3 resiliente y descentralizado, no podemos depender de la entrega de nuestra privacidad a una entidad central encargada de la verificación. En primer lugar, tal entidad podría adquirir un control significativo sobre toda esta información, lo que la haría vulnerable a presiones externas de otras entidades poderosas. Además, existe el riesgo de filtración de datos; numerosos casos han demostrado que verificadores KYC han expuesto listados completos de información sensible, como nombres, correos electrónicos, números de teléfono, direcciones residenciales, billeteras de criptomonedas y escaneos de documentos de identificación.

Prueba de individualidad humana

En inglés, se denomina 'Proof of Personhood' a un mecanismo diseñado para verificar digitalmente que una cuenta o seudónimo es operado por un ser humano y que es único. Algunas soluciones han comenzado a utilizar biometría, específicamente el escaneo del iris, como método de verificación. Aunque esta técnica es efectiva para identificar individuos únicos, su compatibilidad con los principios fundamentales de Web3 es cuestionada. En este contexto, confiamos nuestra privacidad a una autoridad central encargada de administrar y distribuir estas acreditaciones. Esta autoridad controla fuentes de datos cuya estructura, contenido y funcionamiento interno no son visibles ni transparentes para los usuarios o sistemas que los utilizan. Además, el sistema depende de hardware proporcionado por un único proveedor, lo que añade una capa adicional de opacidad y centralización.

Necesitamos comprobar que eres un humano único en internet mientras se preserva tu privacidad. Este proceso debe ser accesible, sin implicar gastos ni requerir la posesión de activos por parte de los usuarios. Aunque ciertos elementos podrían ser prescindibles, la resiliencia, la descentralización y la ausencia de una autoridad central no deben ser comprometidas.

Beneficios centrados en las personas

Con una infraestructura capaz de verificar la individualidad, podremos ofrecer nuevos y mejores beneficios dirigidos a las personas. Las distribuciones gratuitas o airdrops, por ejemplo, como mecanismos de incentivo para lanzar y poner en marcha una nueva comunidad, necesitan identificar a individuos para realizar una distribución efectiva y evitar que se desvíen hacia otro tipo de cuentas.

Por otro lado, implementar votos por persona, votos por territorio y formar un jurado compuesto por varios miembros para resolver disputas fortalece la idea de los Network States. También se podría incorporar un sistema de reputación que permita distinguir, por ejemplo, a un usuario confiable en plataformas DeFi, otorgándole acceso a mayores beneficios. En contraste, un individuo con malas intenciones en un foro de discusión descentralizada podría enfrentar la suspensión de su cuenta.

Los blockchains se basan en la teoría del juego, donde por diseño se incentivan o desincentivan comportamientos. A menudo es necesario imponer ciertas limitaciones a los usuarios o gestionar sus comportamientos para prevenir abusos. La forma más efectiva de lograrlo es a través de la identificación de nuestra individualidad.