Por Canuto  

Un nuevo estudio académico advierte que la pseudonimidad en Internet ya no ofrece la “oscuridad práctica” que durante años frenó la desanonimización masiva. Con acceso a la web y un pipeline de extracción, búsqueda semántica y razonamiento, los modelos de lenguaje pueden vincular cuentas y hasta reidentificar personas con niveles de precisión que antes requerían horas de investigación humana.
***

  • LLM con acceso a Internet reidentificaron usuarios de Hacker News y participantes del dataset Anthropic Interviewer en minutos, con recalls de 25% a 67% y precisiones de 70% a 90%, según el estudio.
  • Un pipeline modular (Extract, Search, Reason, Calibrate) superó a métodos clásicos y logró hasta 68% de recall a 90% de precisión, frente a resultados cercanos a 0% en baselines no basados en LLM.
  • La amenaza escala: en el cruce LinkedIn–Hacker News, el método con razonamiento mantuvo desempeño al crecer el pool de candidatos; además, el trabajo discute mitigaciones como rate limits, anti-scraping y monitoreo de uso.

 

La idea de que un seudónimo protege la identidad en línea se apoyaba en un supuesto económico: desanonimizar a gran escala era posible en teoría, pero demasiado caro y lento en la práctica. Un estudio titulado Large-scale online deanonymization with LLMs, firmado por Simon Lermen, Daniel Paleka, Joshua Swanson, Michael Aerni, Nicholas Carlini y Florian Tramèr, sostiene que los modelos de lenguaje cambiaron esa ecuación. Según los autores, ahora es viable automatizar ataques de reidentificación que operan directamente sobre texto no estructurado.

El trabajo muestra que los mismos indicios que un investigador humano experto detectaría, ahora pueden ser extraídos y correlacionados por sistemas automatizados con costos bajos. En sus experimentos, los autores reportan ejecuciones por perfil con un costo estimado entre USD $1 y USD $4. En conjunto, sus pruebas tuvieron un costo inferior a USD $2.000, lo que ilustra lo accesible que puede ser esta capacidad para actores con recursos moderados.

El punto de fondo es que la “oscuridad práctica”, esa fricción que evitaba que los ataques se volvieran comunes, se debilitó. El estudio argumenta que esto obliga a reconsiderar expectativas sociales, políticas de plataforma y modelos de amenaza para la privacidad. También sugiere que el texto público merece una evaluación similar a la que históricamente se aplicó a bases de datos “anonimizadas” pero estructuradas.

De ataques teóricos a desanonimización automatizada

La desanonimización no es nueva en la literatura de seguridad y privacidad. El estudio recuerda hallazgos clásicos: que bastan pocos atributos para identificar personas, o que datos aparentemente inocuos pueden vincularse con perfiles públicos. Sin embargo, durante años la desanonimización masiva de cuentas seudónimas en comunidades en línea se topó con un obstáculo: la falta de datos estructurados y el alto esfuerzo manual requerido.

En plataformas como foros, redes sociales o sitios de reseñas, gran parte de la información está en lenguaje natural. No sigue esquemas fijos y suele incluir detalles dispersos: lugares, rutinas, historial educativo, jerga profesional, preferencias y referencias incidentales. Antes, convertir ese “ruido” en un vector comparable exigía ingeniería de características o revisión humana.

Según los autores, los LLM eliminan gran parte de esa fricción porque pueden resumir, inferir y estructurar señales de identidad desde texto arbitrario. Además, pueden buscar candidatos usando embeddings semánticos y luego razonar sobre evidencia para confirmar o descartar coincidencias. En otras palabras, convierten texto libre en micro-datos útiles para el emparejamiento.

El estudio distingue tres escenarios de amenaza: desanonimizar una cuenta hacia una identidad real; vincular una identidad conocida con una cuenta seudónima desconocida; y enlazar dos perfiles seudónimos entre plataformas o períodos de tiempo. Cada uno tiene usos ofensivos distintos, desde doxxing hasta consolidación de actividad de un usuario en múltiples contextos.

LLM “agénticos” con acceso a la web: reidentificación end-to-end

Para mostrar el cambio de paradigma, los investigadores primero evalúan agentes basados en LLM con acceso completo a Internet. En esta configuración, el sistema recibe un perfil seudónimo, produce un resumen de rasgos y luego hace investigación web autónoma para proponer una identidad. Los autores describen esta modalidad como capaz de replicar en minutos lo que podría tomar horas a un investigador dedicado.

En Hacker News, el estudio construye un conjunto con “verdad de terreno” a partir de usuarios que enlazaron su LinkedIn en la biografía pública. Luego se elimina la información directamente identificable para que la tarea no sea trivial, y aun así el agente intenta recuperar la identidad. En este experimento, el agente identificó correctamente 226 de 338 objetivos, lo que equivale a 67% de recall a 90% de precisión (con 25 identificaciones incorrectas y 86 abstenciones).

En Reddit, reportan dos pruebas adicionales: un grupo de 25 usuarios académicos donde el agente alcanzó 52% de recall con 72% de precisión, y otro conjunto de 36 usuarios en discusiones de carrera donde obtuvo 25% de recall a 90% de precisión. El propio estudio apunta que los temas de carrera suelen ser más genéricos una vez se remueven identificadores, lo que reduce la unicidad de las señales.

También analizan el dataset Anthropic Interviewer, que contiene 125 entrevistas realizadas por IA a científicos sobre uso de herramientas de IA. En 33 casos donde los participantes hablaron de investigación pasada, el agente afirmó identificar 11 y los autores juzgan correctas 9, para un resultado reportado de 9/33 con 82% de precisión (2 erróneas, 22 negativas o abstenciones). Los investigadores enfatizan que aquí la verificación completa es difícil, porque depende de juicio humano y la información está parcialmente redactada.

El pipeline ESRC: extraer, buscar, razonar y calibrar

Para estudiar el fenómeno con más rigor, el trabajo propone un marco modular de desanonimización, inspirado en ataques clásicos como el del Netflix Prize, pero ampliado para texto no estructurado. La cadena incluye cuatro etapas: Extract, Search, Reason y Calibrate. Cada módulo puede activarse o compararse con alternativas no basadas en LLM.

En Extract, el sistema usa LLM para transformar publicaciones y comentarios en perfiles semiestructurados con rasgos relevantes. Puede incluir demografía inferida, trayectoria, intereses, estilo, y revelaciones incidentales. La clave es que esto opera sobre prosa cruda, sin exigir que el atacante tenga un esquema fijo de características.

En Search, los perfiles extraídos se codifican en embeddings densos para buscar vecinos cercanos en pools de miles o millones de candidatos. El estudio utiliza índices de búsqueda aproximada para escalar. Aquí, el objetivo no siempre es acertar el top-1, sino reducir el espacio a un conjunto pequeño plausible.

En Reason, el sistema aplica razonamiento sobre los mejores candidatos para verificar coincidencias y reducir falsos positivos. En varias pruebas usan un proceso de dos etapas: un modelo más barato selecciona desde el top-k, y un modelo más capaz verifica. Finalmente, Calibrate agrega un mecanismo para convertir decisiones en curvas precisión-recall, ya sea mediante puntajes de similitud o confidencias estimadas por el propio LLM.

Hacker News y LinkedIn: cruce de identidad a escala

Uno de los experimentos centrales enlaza perfiles profesionales de LinkedIn con cuentas en Hacker News, un caso típico donde un adversario conoce la identidad real y busca la actividad seudónima. La base de verdad de terreno incluye 987 perfiles de LinkedIn enlazados a 995 cuentas de Hacker News, dentro de un pool aproximado de 89.000 usuarios activos. Ocho perfiles de LinkedIn estaban asociados a múltiples cuentas de Hacker News, y los autores también reportan cuatro alt accounts adicionales identificadas con evidencia fuerte.

Tras anonimizar el lado de Hacker News para retirar nombres, URLs y otros identificadores directos, el sistema intenta emparejar. Como baseline, adaptan el enfoque tipo Netflix Prize a atributos profesionales con un vector binario de 332 características y similitud Jaccard ponderada por rareza. En contraste, el enfoque LLM resume biografías, embebe el texto y recupera candidatos con búsqueda semántica, antes de pasar a la etapa de razonamiento.

Los resultados muestran un salto fuerte frente al baseline. El trabajo reporta que el método con razonamiento logra, en el escenario completo, hasta 68% de recall a 90% de precisión en algunas configuraciones, y detalla métricas puntuales para el cruce LinkedIn–Hacker News: con embeddings sin razonamiento, la recuperación cae a 4,4% de recall a 99% de precisión; con Reason y alta exigencia de razonamiento, llega a 45,1% de recall a 99% de precisión. A 90% de precisión, los métodos con Reason rondan 54% a 55% de recall.

El estudio también mide cómo afecta el tamaño del pool. A 90% de precisión, Search cae de 47,6% de recall con 1.000 candidatos a 26,6% con 89.000, mientras Reason cae de 68,3% a 55,2%. Los autores además presentan una extrapolación log-lineal: proyectan que Reason podría retener alrededor de 45% de recall con 1.000.000 de candidatos, y cerca de 27% con 100.000.000, mientras Search tendería a caer cerca de cero en pools masivos.

Reddit y películas: una comparación más “limpia” con el baseline clásico

Para evitar el sesgo de perfiles que ya enlazan identidades, el estudio construye un dataset con verdad de terreno mediante división de perfiles: toman usuarios que postean en r/movies y también en subreddits alternativos de cine, y separan su actividad en dos perfiles que deben emparejarse. La colección final tiene 9.781 usuarios, y el sistema asume que cada consulta tiene un match en el conjunto candidato.

En este caso, el micro-dato central son reseñas y menciones de películas. Los autores usan LLM para extraer tuplas con título, un rating inferido por sentimiento y una fecha aproximada. La extracción intenta imitar el formato estructurado de Netflix Prize, pero con ruido inevitable porque muchos usuarios no dan puntuaciones explícitas.

En resultados, el razonamiento vuelve a marcar diferencia. Con alta exigencia de razonamiento, el método alcanza 8,5% de recall a 90% de precisión y 2,8% a 99% de precisión, superando al baseline y a enfoques más simples. El estudio añade un hallazgo práctico: el éxito crece con el solapamiento de contenido, ya que usuarios con 10 o más películas compartidas llegan a 48,1% de recall a 90% de precisión.

En una nota importante sobre seguridad operacional, el trabajo indica que no publica prompts exactos, configuraciones de herramientas ni el pipeline completo, para reducir riesgo de abuso. También evita revelar identidades en ejemplos y utiliza datasets diseñados para poder verificar resultados sin atacar usuarios genuinamente seudónimos en esos entornos.

Implicaciones: desde vigilancia hasta fraude personalizado

Más allá de las métricas, el estudio plantea implicaciones directas para comunidades online y para cualquier entorno donde el texto público sea abundante. Señala riesgos como vigilancia gubernamental de disidentes, consolidación corporativa de perfiles para publicidad hipersegmentada, y ataques que combinan perfilado con ingeniería social. También menciona el “efecto inhibidor” sobre la libertad de expresión si los usuarios asumen que su seudónimo ya no los protege.

En términos de mitigación, los autores enumeran medidas como límites de tasa para APIs de acceso a datos, detección de scraping automatizado y restricciones a exportaciones masivas. También sugieren monitoreo por parte de proveedores de LLM para detectar uso abusivo, aunque reconocen una dificultad: muchas piezas del pipeline parecen benignas por separado, como resumir texto o calcular embeddings.

El trabajo concluye que prevenir por completo estos ataques es complicado, porque el contenido que hace valiosas a las comunidades es el mismo que alimenta la extracción de señales. Por eso, su llamado central es a revisar modelos de amenaza y políticas de datos, especialmente cuando las plataformas mantienen publicaciones públicas persistentes asociadas a nombres de usuario estables.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

Artículos Relacionados