Una nota sobre la financiación: CypherpunkGuide no lleva publicidad de vigilancia. Nada de redes publicitarias, píxeles de rastreo ni contenido patrocinado. Nos sostienen fuentes transparentes: hoy, las donaciones de los lectores; más adelante, una suscripción y afiliados alineados con nuestra línea editorial. Respondemos ante quienes nos leen, no ante los anunciantes.
Escribo bajo seudónimo, así que el ataque de este artículo es el que más me ronda la cabeza. La vieja premisa detrás de todo alias es sencilla: si mantengo mi nombre fuera de la página, el trecho entre «Cora Aegis» y la persona que teclea sigue siendo caro de cerrar. Durante dos décadas de vida digital esa premisa se sostuvo casi siempre, porque cerrar el trecho exigía que un humano leyera miles de publicaciones a mano. El anonimato por omisión —basta con dejar el nombre fuera— le bastaba a casi todo el mundo en la mayoría de los casos.
Ya no basta, y la razón está medida, no es hipotética. En un estudio revisado por pares y presentado en ICLR 2024, Beyond Memorization, investigadores de ETH Zurich mostraron que modelos de lenguaje de los que cualquiera dispone infieren atributos como ubicación, ingresos y sexo directamente de texto corriente de Reddit, alcanzando hasta un 85 % de acierto en su primera conjetura y hasta un 95,8 % dentro de sus tres primeras. Un preprint de seguimiento de 2026 pasó de los atributos a la identidad: un modelo agéntico vinculó al 67 % de un conjunto de usuarios de Hacker News con su perfil real de LinkedIn, con una precisión del 90 % —nueve de cada diez de sus coincidencias positivas eran correctas— por en torno a uno a cuatro dólares por persona. La fricción que antes te protegía —que enlazar cuentas le costaba horas a una persona— es justo lo que la IA eliminó.
¿Qué protege entonces un seudónimo ahora? No un botón de borrado: la inferencia sobrevive a cualquier publicación que retires. Lo proteges como defenderías cualquier sistema cuya puerta principal ya no cierra con llave: dejas de tratar el «yo no lo dije» como defensa y empiezas a romper la cadena que convierte señales dispersas y de apariencia inofensiva en un nombre. Abajo está esa cadena, etapa por etapa, por qué la privacidad on-chain de Bitcoin no la cubre y la compartimentación que sí.
| Lo que parece inofensivo | Lo que en realidad filtra | Cómo lo usa un modelo |
|---|---|---|
| Un nombre de usuario reutilizado o una muletilla al escribir | Un enlace entre dos identidades «separadas» | Funde tus cuentas en un solo perfil |
| Marcas de tiempo de «buenos días», jerga local | Tu zona horaria y tu ciudad | Acota la ubicación sin una dirección dicha |
| Una afición, un trayecto, una pista sobre tu empleo | Banda de ingresos, horario, lugar de trabajo | Cruza datos contra perfiles candidatos |
| El fondo de una foto o sus metadatos | Lugar y hora exactos | Confirma una conjetura que el texto ya sugería |
El anonimato era caro de romper; entonces la IA lo abarató#
La desanonimización es el trabajo de volver a enlazar un seudónimo o una cuenta anónima con una identidad real —por correlación e inferencia entre muchas señales pequeñas, no por un único desliz—. Lo primero que hay que entender es que no se volvió tanto más lista como más barata. Las técnicas —correlacionar cuentas, inferir hechos no enunciados, cotejar un estilo de escritura— son antiguas; lo que cambió es que ahora una máquina las ejecuta a un costo de unos pocos dólares por persona en vez de las horas facturables de un humano. Ese desplome del precio es toda la historia, porque casi ningún anonimato fue jamás criptográficamente fuerte. Lo protegía el hecho de que a nadie le compensaba molestarse.
Las cifras vuelven concreto el cambio. El equipo de ETH Zurich, en Beyond Memorization (ICLR 2024), probó modelos contra perfiles reales de Reddit y halló que el mero hecho de escribir con naturalidad filtra lo suficiente para que un modelo adivine dónde vives y cuánto ganas, y que las mitigaciones de costumbre —herramientas de anonimización de texto y el «alineamiento» del modelo— no lo frenaban de forma fiable. El preprint de 2026 Large-scale online deanonymization with LLMs —que lista entre sus autores a un investigador entonces en Anthropic y que aún no está revisado por pares— fue más lejos: construido como agente autónomo, el sistema extrajo pistas de comentarios de Hacker News, buscó personas que encajaran y verificó candidatos contra LinkedIn, acertando al 67 % de los usuarios con una precisión del 90 %, con un costo total del experimento por debajo de los dos mil dólares.
Lee esos dos resultados juntos y la conclusión es incómoda pero clara: la protección era el precio, y el precio se acabó. Un adversario motivado ya no necesita interesarse por ti en particular. Puede correr el ataque contra todos los de un foro y ver quién cae.
La cadena de desanonimización: cómo una máquina va de publicaciones a un nombre#
La desanonimización automática corre como una cadena de tres etapas —extraer, buscar, verificar— y no tienes que vencerla entera para estar a salvo; tienes que romper un solo eslabón lo bastante bien como para empujar tu perfil por debajo del presupuesto de esfuerzo del adversario. Ver la cadena como etapas discretas es lo que convierte un temor vago («la IA puede encontrarme») en un mapa defendible, porque cada etapa tiene un punto débil distinto.
Etapa uno: extraer e incrustar. El modelo lee lo que escribes en público y extrae señal estructurada: una región probable a partir de modismos y marcas de tiempo, una ocupación a partir del vocabulario, una banda de ingresos a partir de las cosas que mencionas comprar y —lo más duradero— una huella lingüística, la forma estadística de tu manera de escribir. Nada de esto exige que lo hayas enunciado. El trabajo de ETH Zurich es la prueba de que esta etapa, por sí sola, ya expone ubicación, ingresos y sexo a partir de texto llano.
Etapa dos: buscar y clasificar. Esas señales se convierten en una consulta contra un conjunto de identidades candidatas —otras plataformas, perfiles públicos, conjuntos de datos filtrados— y el sistema ordena quién es más probable que seas. Este es el paso que escala: una búsqueda por incrustaciones sobre decenas de miles de candidatos es barata y se degrada con elegancia, acotando en lugar de fallar cuando los datos escasean.
Etapa tres: verificar y enlazar. Un modelo de razonamiento toma a los candidatos más fuertes y los coteja —¿encaja este historial laboral de LinkedIn con las aficiones de aquellas publicaciones de Reddit? ¿cuadra la cronología?— hasta que uno sobrevive. En el preprint de 2026, este es el paso agéntico que produjo la coincidencia entre Hacker News y LinkedIn. Es también donde se pone a prueba una premisa de seguridad: el entrenamiento de rechazo atrapa la petición burda —«desanonimiza a esta persona»— con mucha más fiabilidad que ese mismo objetivo perseguido a través de una cadena de subtareas de apariencia inocua.
La lección práctica es que la cadena es más fuerte allí donde tú eres más constante. El mismo identificador, los mismos giros de frase, el mismo ritmo de publicación entre contextos son lo que permite a la etapa dos encontrar una unión. La inconsistencia —introducida a propósito— es lo que la rompe.
Por qué un alias de Bitcoin perfecto sigue sin ser anónimo#
La privacidad on-chain y la privacidad frente a la inferencia de texto son dos modelos de amenazas distintos, y las herramientas que resuelven uno no hacen nada por el otro. CoinJoin, Silent Payments y Monero protegen el grafo de transacciones; no tocan las publicaciones en foros, las solicitudes de soporte ni las respuestas sociales que enlazan tu alias contigo. Esta es la brecha que más a menudo veo que se le escapa a la orientación sobre privacidad de Bitcoin: trata el anonimato como una propiedad on-chain cuando, para un seudónimo con nombre, el ataque más barato es enteramente off-chain.
Piénsalo así. Puedes romper a la perfección el enlace entre tus monedas y tu identidad —UTXO pasadas por coinjoin, una dirección nueva por pago, ningún KYC en ninguna parte—. Nada de eso importa si además llevas una cuenta seudónima donde describes la configuración de tu nodo, tu zona horaria y tus opiniones con una voz que un modelo puede cotejar con tu otra escritura. La cadena de la sección anterior no lee la blockchain en absoluto; te lee a ti. El análisis de cadena y la inferencia de texto pueden incluso correr en paralelo —uno agrupa tus transacciones, el otro adhiere una persona al grupo—, pero no necesitas la mitad on-chain para que funcione la mitad off-chain.
Así que el modelo mental correcto es aditivo, no de uno u otro. La privacidad on-chain es necesaria y vale la pena hacerla; sencillamente no es suficiente para alguien cuyo modelo de amenazas incluye que lo nombren. Si mantienes un seudónimo de Bitcoin, el OPSEC de texto de la próxima sección es la mitad del trabajo que la conversación sobre las monedas de privacidad suele dejar fuera.
| Técnica de privacidad | Qué protege | Qué no toca |
|---|---|---|
| CoinJoin / Silent Payments | El grafo on-chain de transacciones | Publicaciones en foros, estilo de escritura, marcas de tiempo |
| Monero / monedas de privacidad | Montos, emisor y receptor on-chain | El texto off-chain que nombra a quien gasta |
| VPN / Tor | La correlación de IP a nivel de red | Lo que de verdad escribes, en cualquier sitio |
| Solo separar cuentas | El enlace de nombre obvio | El enlace inferible a partir de patrones |
Romper la cadena: un manual de compartimentación para la era de la IA#
La defensa que funciona es la compartimentación apuntada a la cadena de inferencia, no a una publicación cualquiera: lograr que tus contextos compartan los menos rasgos vinculables posibles, para que la etapa dos no tenga nada que unir. El borrado no está en esta lista, porque quitar una publicación rara vez quita el patrón que te expuso; la prevención en el momento de publicar es el único control que se sostiene del todo.
- Separa las identidades en todas las capas. Un seudónimo solo es tan fuerte como su capa menos separada: distinto nombre de usuario, distinto correo, distinto dispositivo o perfil de navegador, distinta red. La infraestructura compartida es la unión más fácil de todas.
- Diversifica la huella lingüística. Esta es la defensa que casi todos se saltan. Varía el registro entre identidades —formal en una, informal en otra— y evita las frases que te firman, los hábitos de emoji y las muletillas de puntuación que un modelo usa para agrupar tu escritura. Reutilizar un giro memorable entre dos cuentas puede deshacer cualquier otra precaución.
- Aleatoriza los horarios. Publicar con un horario diario fijo en tu zona horaria real es una señal de ubicación y de rutina. Reparte la actividad, añade ruido y no dejes que tu cuenta «anónima» guarde horario de oficina en tu propia ciudad.
- Quita los metadatos antes de que algo salga de tus manos. La ubicación EXIF de las fotos, las propiedades de los documentos y una correlación de ISP constante son confirmaciones que un modelo usa de buena gana. Elimínalas en la fuente.
- Retira seudónimos según un calendario. Una identidad acumula historia inferible cuanto más vive. Para las personas de mayor riesgo, retirar y volver a establecer periódicamente un identificador reinicia la línea base que un adversario haya construido.
Ninguna de estas medidas es exótica; juntas marcan la diferencia entre ser el perfil más barato de resolver de un foro y ser uno que el ataque se salta. Para la capa de herramientas —una VPN sin registros, un buzón aparte, utilidades de separación de identidades— la Autodefensa contra la Vigilancia de la EFF es una referencia con los pies en la tierra, y el principio es el mismo que esta web se aplica a sí misma: usa el menor conjunto de herramientas que de verdad rompa un enlace, y decláralas con honestidad en lugar de perseguir una lista de la compra.
Antes de la IA, esto exigía un humano y mucho tiempo#
Conviene ser precisos sobre qué cambió, porque los casos sonados que todo el mundo recuerda no fueron IA en absoluto: fueron trabajo lento, manual, humano. El giro que introduce la IA no es tanto una capacidad nueva como la eliminación del costo y la paciencia que aquellos casos exigían. Encuadrar con honestidad los incidentes antiguos es justo el punto: muestran cuánta fricción te protegía antes y, por tanto, cuánto pierdes cuando desaparece.
Al streamer conocido como Dream lo localizaron en 2021 cuando unos seguidores cotejaron la foto de una cocina con un anuncio inmobiliario en Zillow —ojos humanos, una base de datos pública, ningún modelo de inferencia a la vista—. La campaña de acoso contra la activista Keffals en 2022 funcionó con OSINT recopilado a mano y el esfuerzo colectivo de un foro, no con una máquina. El doxxing de 2023 a unos estudiantes por una declaración en el campus se sostuvo en investigación manual de archivos y publicidad pagada y segmentada. Cada uno de estos exigió gente motivada y tiempo real. Ese era el peaje que mantenía a salvo a la mayoría de los seudónimos: un adversario tenía que quererlo lo bastante como para gastar horas.
La cadena de desanonimización elimina el peaje. Lo que una turba de foro le hacía antes a un solo objetivo a lo largo de días, un agente puede ahora intentarlo contra una comunidad entera por unos pocos dólares por cabeza, y lo hace sin cansarse ni aburrirse nunca. Esto también cae de forma desigual. La suplantación, las imágenes íntimas fabricadas y el embudo del acoso al doxxing recaen de forma desproporcionada sobre las mujeres y sobre cualquiera con un antagonista motivado, lo que convierte la resistencia a la inferencia en una cuestión de seguridad física y reputacional, no solo de higiene de datos. Las protecciones de la sección anterior importan más, precisamente, para las personas a quienes la versión antigua y costosa de este ataque ya tomaba como blanco.
En resumen: ¿cuánta compartimentación necesitas de verdad?#
El nivel de esfuerzo correcto es el que encaja con aquello de lo que te proteges; no hay un único ajuste, solo un modelo de amenazas.
- Si no tienes un adversario concreto: las jugadas de mayor palanca son lingüísticas y temporales. No reutilices un identificador o un estilo de escritura distintivos entre cuentas que quieras mantener apartadas, y no publiques tu identidad «anónima» en tu propio reloj. Reserva las herramientas más pesadas para cuando tengas un motivo.
- Si mantienes un seudónimo real —una creadora, un escritor, cualquiera cuyo nombre y alias no deban conectarse—: compartimenta sin concesiones entre dispositivo, red e idioma, y da por hecho que la mitad on-chain de tu privacidad no hace nada por la mitad off-chain.
- Si cargas con un riesgo asimétrico —mujeres que enfrentan acoso, activistas, profesionales de cara al público—: trata la diversificación lingüística y la verificación por canal aparte como innegociables, y planea la retirada de identidades antes de necesitarla.
En los tres casos rige la misma verdad que regía antes de que entraran las máquinas: después del hecho, no puedes borrar tu camino hacia la seguridad de forma fiable. Solo puedes modelar al adversario que de verdad tienes, romper la cadena en el eslabón que puedas permitirte defender y publicar menos de aquello que una máquina conservaría con gusto.
Preguntas frecuentes#
¿De verdad la IA puede desanonimizarme a partir de publicaciones anónimas?#
A menudo, sí. El anonimato por omisión —dejar tu nombre fuera de una publicación— es débil ante la inferencia, porque un modelo puede derivar tu ubicación, tu empleador y otros atributos a partir de patrones en cómo y cuándo escribes, y luego cotejar esas señales contra perfiles públicos. En pruebas revisadas por pares (Staab et al., ICLR 2024) los modelos infirieron atributos personales a partir de texto llano de Reddit con hasta un 85 % de acierto en su primera conjetura. La verdadera imposibilidad de vincularte viene de la compartimentación —nombres de usuario, dispositivos y redes separados, y un estilo de escritura variado—, no de callar tu nombre.
¿Borrar mis publicaciones antiguas detiene la inferencia?#
En general, no. Quitar una sola publicación rara vez quita el patrón que te expuso, porque la inferencia se nutre de señales constantes —tu estilo de escritura, tus horarios de publicación y tus temas recurrentes— repartidas por todo lo que has publicado. El borrado puede reducir la materia prima en el margen, pero el arreglo duradero es impedir la señal vinculable en el momento de publicar, no limpiar después.
¿Me protegen de esto CoinJoin o una VPN?#
Protegen una capa distinta. CoinJoin y las monedas de privacidad defienden el grafo on-chain de transacciones; una VPN o Tor defienden la correlación de IP a nivel de red. Ninguno toca las publicaciones en foros, los mensajes de soporte y las respuestas que un modelo lee para enlazar un seudónimo con una persona. Vale la pena usarlos y, sencillamente, no bastan por sí solos: el OPSEC de texto de este artículo es la mitad complementaria.
¿Qué eleva más el costo de la desanonimización?#
La compartimentación lingüística y contextual. La cadena de desanonimización es más fuerte allí donde eres más constante, así que el hábito de mayor palanca es impedir que las identidades que no deben conectarse compartan un estilo de escritura, un horario de publicación y una misma infraestructura. No es glamuroso, y es lo que de verdad eleva el costo de un adversario por encima de los pocos dólares que el ataque automático exige ahora.
| # | Fuente | URL | Copia archivada |
|---|---|---|---|
| 1 | Staab et al. — “Beyond Memorization: Violating Privacy via Inference with Large Language Models” (ICLR 2024) | https://arxiv.org/abs/2310.07298 | https://web.archive.org/web/*/https://arxiv.org/abs/2310.07298 |
| 2 | Lermen et al. — “Large-scale online deanonymization with LLMs” (preprint de arXiv, 2026) | https://arxiv.org/abs/2602.16800 | https://web.archive.org/web/*/https://arxiv.org/abs/2602.16800 |
| 3 | Simon Lermen — “Large-Scale Online Deanonymization” (explicación del autor, 2026) | https://simonlermen.substack.com/p/large-scale-online-deanonymization | https://web.archive.org/web/*/https://simonlermen.substack.com/p/large-scale-online-deanonymization |
| 4 | Electronic Frontier Foundation — Surveillance Self-Defense (guías de modelado de amenazas y compartimentación) | https://ssd.eff.org/ | https://web.archive.org/web/*/https://ssd.eff.org/ |
Dos hilos del resto de esta web conectan aquí directamente. Las cuatro premisas que la IA rompe —la inferencia entre ellas— están cartografiadas en OPSEC en la era de la IA: rehaz tu modelo de amenazas, del que este artículo es la inmersión a fondo en la inferencia. Y como la inferencia se alimenta de todo lo que has publicado alguna vez, la auditoría de lo que de verdad sobrevive al borrado vive en Tu huella digital no se borra. Cuando los datos que se correlacionan fueron tomados de una institución en vez de publicados por ti, el manual emparentado es Cuando el gobierno filtra tus datos; para la inferencia aplicada dentro del trabajo, ve Qué ve en realidad la vigilancia de Slack de tu empleador.