Quando atacantes extorquir vítimas com ransomware e recebem pagamentos em bitcoins, essas transações são registradas na blockchain. No entanto, as carteiras que recebem esses fundos ilícitos ficam marcadas, levando os cibercriminosos a lavar o dinheiro por meio de várias metodologias complexas para obter lucros de golpes online, roubos e ciberataques. Lavagem de dinheiro proveniente de crimes cibernéticos envolve transferências e conversões intricadas entre criptomoedas e moeda fiduciária. Rastrear esses fundos apresenta desafios significativos para os investigadores. Raúl Orduna, chefe de Segurança Digital do centro tecnológico basco Vicomtech, destaca que essa atividade cria uma economia global submersa, porém vasta e complexa. A questão crítica para os atacantes após um ciberataque é como acessar o dinheiro obtido. Segundo o Relatório de Crime em Criptomoedas de 2024 da Chainalysis, em 2023, a lavagem de fundos ilícitos vinculados a criptomoedas atingiu cerca de US$ 22, 2 bilhões. No último ano, o valor total enviado para endereços blockchain ilícitos—contas digitais de criptomoedas—foi de US$ 40, 9 bilhões, podendo chegar a US$ 51, 3 bilhões. Cibercriminosos visam converter essas vastas quantias ilícitas em dinheiro limpo. George Smaragdakis, professor de Cibersegurança na Universidade Técnica de Delft, explica que os atacantes geralmente recebem fundos em bitcoin ou outras criptomoedas e tentam acessá-los anonimamente através de mecanismos como exchanges ou mixers. Os fundos se movem por vários endereços na blockchain, com partes eventualmente entrando na economia real. Para compreender essa complexa intrincada de lavagem, certos conceitos precisam ser esclarecidos. Smaragdakis e Orduna colaboram no Projeto Horizon, uma iniciativa europeia envolvendo empresas, centros de pesquisa e órgãos de aplicação da lei, com o objetivo de reforçar a preparação da UE contra ameaças cibernéticas, incluindo a compreensão de como os criminosos obtêm lucros. Nas criptomoedas, uma carteira contém múltiplos endereços na blockchain usados para enviar ou receber fundos. Embora as transações na blockchain sejam anônimas, seus registros são públicos, permitindo que analistas detectem padrões de lavagem de dinheiro sem identificar os proprietários, explica Orduna. Os investigadores concentram-se em identificar serviços de criptomoedas semelhantes a bancos, mas que operam anonimamente. Eles prestam atenção especial a sistemas de blockchain como contratos inteligentes de escrow, que mantêm fundos até que as condições do contrato sejam atendidas, e mixers, projetados para aumentar o anonimato das transações ao obscurecer a origem dos fundos e facilitar trocas entre diferentes tipos de criptomoedas.

Orduna explica que mixers dificultam o rastreamento das fontes de pagamento. Smaragdakis acrescenta que, embora a fonte—a vítima—ainda seja identificável, após várias transferências, o rastro se perde. Os cibercriminosos exploram a facilidade de criar milhares de endereços na blockchain (diferente de contas bancárias, que são mais difíceis de abrir) para confundir os esforços de rastreamento. Antes, os criminosos centralizavam os pagamentos das vítimas em um único endereço, mas agora atribuem endereços únicos por vítima e, frequentemente, múltiplos endereços por cada pessoa, explica Smaragdakis. Essa tática fragmenta os fundos ilícitos em quantias menores dispersas em muitos endereços, dificultando o controle e a fiscalização. Depois, os criminosos podem misturar esses fundos com outros dinheiros ou usar cassinos que aceitam criptomoedas. Ao fazer muitas apostas microcom parcelas mínimas de risco e lucro, eles efetivamente “limpam” o dinheiro, que pode então ser retido como moeda legal, acrescenta Orduna. Exchanges como Binance ou Coinbase representam outra via de lavagem, mas geralmente são inacessíveis aos criminosos, pois essas plataformas aplicam políticas de combate à lavagem de dinheiro, exigindo identidade verificada, documentos e selfies vinculados às contas de usuário. As autoridades podem solicitar informações dos usuários por ordem judicial, o que desestimula atividades ilícitas nesses ambientes. Assim, os criminosos recorrem a plataformas não regulamentadas que imitam exchanges. Orduna alerta que essas entidades, embora não registradas, exibem padrões de transações semelhantes aos das exchanges legítimas. Pesquisadores do Vicomtech esforçam-se para detectar essas plataformas analisando padrões de transações na blockchain. Ao modelar o comportamento de exchanges legítimas, os investigadores desenvolvem modelos de comportamento digital para identificar atividades ilícitas semelhantes às de exchanges ao longo das redes blockchain. A equipe do Vicomtech trabalha em estreita colaboração com as autoridades, coletando requisitos e exemplos de atividades suspeitas, gerando dados fictícios e anonimizados para construir e testar modelos inteligentes de detecção. Uma vez validados, esses modelos auxiliam em investigações reais conduzidas por autoridades competentes. Enquanto grande parte da pesquisa em cibersegurança foca em entender ataques, aprimorar defesas e mitigar brechas, outro esforço vital é o rastreamento dos fluxos de dinheiro ilícito. Esse trabalho é fundamental para dificultar a lucratividade dos criminosos, reduzindo seu incentivo econômico para praticar crimes cibernéticos.