Por Ariel Bazán
Durante su década de existencia, las diversas criptomonedas tuvieron “más de cien hacks importantes” que pueden agruparse básicamente en cuatro tipos de ataques, aseguró la empresa de seguridad informática Kaspersky.
Según la compañía, que aclara que en cada ataque informático “es fácil saber quien fue pirateado y cuanto fue robado, pero no el como”, los cuatro tipo de ataques informáticos que vienen ocurriendo son: hackeos a exchanges, robo en cajeros automáticos de BTC, el llamado “ataque del 51%”, y el robo de claves de “wallets”.
Hackeos a exchanges. En los exchanges, los hackers apuntan a las criptomonedas que tienen almacenadas y no a su dinero fiat porque esto último “es arriesgado, ya que para fugarse con los fondos tendrían que cobrarlos rápidamente antes que el banco pueda congelar las cuentas”.
En un caso reciente, Kaspersky explica que los atacantes obtuvieron primero una lista de los empleados del exchange, estudiaron sus intereses (incluso en las redes sociales) y les enviaron e-mails de “phising” a los más crédulos, con lo cual consiguieron acceso a la red.
Una vez adentro, “aprendieron el movimiento interno de la empresa: con qué frecuencia el contador se comunicaba con el director, qué se enviaban entre sí, la arquitectura de la red, donde se almacenaban las wallets, como estaban protegidas, etc”. Cuando consiguieron acceder a sistemas críticos, los atacantes usaron sus “derechos de operador” para enviarse criptomonedas a sí mismos.
En estos casos, Kaspersky sostiene que es necesario capacitar al personal en seguridad informática, usar una solución para protegerse (preferiblemente que no sólo resguarde contra amenazas en cada nodo específico, sino que busque anomalías en toda la organización); y hacer un “pentest” (pruebas en las que expertos en seguridad intentan penetrar el sistema para ver sus puntos débiles).
“El área de las criptomonedas no está exenta de las formas más populares de hackeo. Esto es, hacer uso de técnicas de ingeniería social, phishing y malware; cuyo denominador común es tomar desprevenida a la víctima”, explicó el consultor informático internacional Francisco Faliero a El Economista.
Robo en ATM bitcoin. Otra forma de robar bitcoins es por cajeros automáticos de BTC, que además de permitir extraer dinero fiat dejan comprar y vender criptomonedas. Entonces, alguien podría “usar las máquinas para vender bitcoins y, luego de recibir el pago en efectivo, cancelar la venta”. Aunque esto suene “demasiado obvio para funcionar”, en Canadá ocurrió que se llevaron así US$ 200.000 de 45 cajeros en un corto período de tiempo.
Esta vulnerabilidad, sostiene Kaspersky, puede ocurrir porque la información en la blockchain tarda en almacenarse en los bloques: por ejemplo, una transacción como “enviar 1 BTC a X” no se escribe inmediatamente en un bloque, sino que va a una cola después de las que pagaron mayores tarifas. Entonces, si un comprador de criptomonedas envía su dinero antes de esperar que la transacción se escriba en un bloque, se arriesga a perder sus fondos.
Para evitar esto, la administradora de los cajeros incorporó un tiempo de espera: ahora, los usuarios deben regresar más tarde al ATM para recibir su efectivo después de haber entregado sus BTC. Aunque más engorrosa, la operatoria se vuelve así más segura.
Ataque del 51%. Según Kaspersky, dos principios garantizan que la cadena de bloques sea la misma para todos los usuarios:
Todos los participantes deben acordar quien será el creador del próximo bloque. La probabilidad de ser el afortunado depende de los recursos invertidos: cuanto más poder minero, mayor chance.
En caso de conflicto, la versión válida de la cadena de bloques es la más larga. Es decir, si alguien falsifica su propia versión de la cadena, los demás la rechazarán porque se gastaron menos recursos y, por lo tanto, es más corta.
Sin embargo, Kaspersky sostiene que estas reglas pueden cambiar si alguien “usa más del 50% de todo el poder minero” para falsificar una cadena: por ejemplo, que en el tiempo que a los demás mineros les lleva crear nueve bloques, el atacante haga diez. Como en ese momento la versión falsificada de la cadena es la más larga, los demás usuarios la aceptan, el historial financiero queda alterado y alguien puede salir perjudicado.
Esto le ocurrió al exchange Gate.io en enero, cuando un atacante le vendió 40.000 ETH y escribió esta operación en la blockchain pública mientras simultáneamente creaba su propia cadena de bloques. Cuando la empresa recibió las criptos y envió el pago por US$ 200.000, el atacante transmitió a la red su cadena “fake” (que no contenía la transacción) y solicitó un reembolso de sus criptomonedas.
Este tipo de ataques, sin embargo, “no es algo cotidiano” porque requiere que el atacante gaste demasiada potencia informática, algo que podría volverle caro e inútil tanto esfuerzo. Por eso, los exchanges intentan hacer que un ataque sea lo más costoso posible esperando el mayor tiempo posible antes de pagar: cuantos más bloques se hayan creado desde la transacción, menos probable es cambiar la cadena. Claro que, aunque esto es más seguro, las transferencias tardan horas en hacerse.
Robo de claves de wallets. Otra forma de ciberataques son las fallas de seguridad con las claves de las wallets, que suelen estar formadas por una frase con doce palabras simples.
En un hecho reciente, explicó Kaspersky, los desarrolladores de la billetera Coinomi enviaron accidentalmente una clave a un corrector ortográfico público de Google. Esto sucedió porque el formulario de ingreso de la clave usaba un componente externo llamado jxBrowser, que por defecto revisaba en la nube el texto ingresado usando googleapis.com.
En su defensa, los desarrolladores declararon que la frase fue sólo a Google y que, como se transmitió en forma cifrada, el buscador devolvió un error. Sin embargo, lo cierto es que después de este incidente el usuario sufrió un robo.
Según Kaspersky, “el uso de bibliotecas de terceros trae problemas potenciales” como el anterior y “el riesgo de un ataque a la cadena de suministro, ya que no es necesario hackear al desarrollador original sino sólo a cualquiera de los contratistas”.
