Buscar

2013/11/23

El 'robobo' del bitcoin

Damas y caballeros, sean bienvenidos al mismísimo Oeste y a la búsqueda del oro. Bitcoin, la "moneda de los hackers", ha saltado los límites de Internet para ser protagonista en los mentideros financieros de medio mundo. Su cotización sube sin parar y sólo este mes el valor de un bitcoin ha pasado de 175 dólares hasta casi 900, para desplomarse después y remontar de nuevo. Tanto movimiento especulativo atrae a aventureros de toda ralea, incluidos maleantes y cuatreros.

Dice la Wikipedia que un bitcoin es "una moneda electrónica concebida en 2009 por una persona, o un grupo de personas, que usaba el seudónimo 'Satoshi Nakamoto'". Los bitcoins no están respaldados por ningún banco ni gobierno. Es un sistema basado en el cifrado, el anonimato, las redes descentralizadas y el consenso entre los nodos que lo integran. Cualquier persona puede fabricar bitcoins, haciendo "minería", que significa poner el ordenador a resolver operaciones matemáticas muy complicadas: el premio son 25 bitcoins por respuesta correcta. Cualquier puede hacerlo, sí. Si sabe cómo, claro.

Los bitcoins, como cualquier moneda, pueden donarse, intercambiarse o usarse para comprar cosas. Los primeros en usar bitcoins fueron negocios de Internet algo turbios que ofrecían servicios de alojamiento, redes privadas virtuales y otros, de forma anónima y sin preguntas. También se abonaron al bitcoin la cíberventa de drogas, el cíberjuego y la cíberpornografía, ya que los bancos no permiten pasarelas de pago online para este tipo de transacciones. Comerciantes menos oscuros empiezan ahora a confiar en esta moneda, no en vano la primera compra que se hizo en bitcoin fue una inocente pizza, y ya es posible adquirir desde un viaje al espacio hasta un ramo de flores de Mallorca.

"Bitcoin no es más que una clave privada, un número utilizado para identificar y firmar las transacciones realizadas con tus bitcoins", explica Sergi Álvarez (pancake), conocido hacker que sigue muy de cerca las llamadas 'criptoeconomías'. Las claves privadas se guardan en "monederos" virtuales y esos, en sitios en la Web llamados "bancos": "Mucha gente usa estos sitios. Te ahorran tener que proteger tu monedero con una contraseña que no podrás recuperar si la pierdes y te ofrecen otras facilidades, como añadir dinero a tu compra desde tu tarjeta de crédito, o controlar las transacciones más cómodamente que con el programa oficial de Bitcoin", asegura Pancake.

Pero la seguridad de estos bancos deja bastante que desear. También la de servicios parecidos, sitios web que acumulan bitcoins como tiendas, sistemas de apuestas o lotería, sitios de compra/venta de monedas o los llamados 'pools de mining', donde los "mineros" trabajan en grupos para conseguir más bitcoins. "Son sistemas centralizados que deben funcionar 24 horas 7 días a la semana, lo que hace que sean muy difíciles de securizar", explica el hacker. Para colmo, la inseguridad no es sólo de la infraestructura, también de la persona que regenta el "banco", cuya integridad nadie certifica.
Debilidades y robos

Prueba de la vulnerabilidad de estos servicios son los ataques y robos cada vez más frecuentes. De hecho, afirma pancake, son el pan de cada día desde que nació bitcoin: "Lo he entendido siempre como una reivindicación desde el lado oscuro, conforme no debe haber bancos ni intermediarios sino que bitcoin debe ser puramente una red distribuída, para demostrar que la centralización del control del dinero no es segura... y bueno, ahora hay también quien ataca y roba por lucro".

Esta semana pasada, mientras la cotización de bitcoin no paraba de subir, el "banco" australiano Inputs.io anunciaba que cerraba porque le habían robado 4.100 bitcoins (1,2 millones de dólares) y no tenía fondos para indemnizar a los afectados. Es la misma historia de otras veces, como cuando en agosto de 2011 MyBitcoin, uno de los sitios pioneros de custodia de monederos virtuales, cerró de repente aduciendo que un hacker les había robado. Sólo devolvieron el 49% del dinero y nunca más se supo de los 78.000 bitcoins restantes.

También en 2011, en junio, cuando la cotización de bitcoin había pasado en un mes de 1 dólar a 30, otro "banco", MTGOX, denunciaba el robo de 25.000 bitcoins que pertenecían a 478 cuentas a su cargo. Otro sonado ataque lo sufrió, para sorpresa de todos, un proveedor de máquinas virtuales ajeno a bitcoin, Linode. En abril de 2012 robaron 47.000 bitcoins de diversas cuentas alojadas en este proveedor.

Podríamos seguir y no acabaríamos: en abril de 2013, el servicio de monederos electrónicos Instawallet tenía que cerrar tras sufrir el robo de 35.000 bitcoins. Incluso ha habido esquemas piramidales con bitcoins, como el que ideó alguien bajo el seudónimo "pirateat40" en 2012. Con la promesa de multiplicar sus ingresos si invertían en una sociedad llamada Bitcoin Savings & Trust, 'pirateat40' estafó al menos 500.000 bitcoins a quienes le creyeron.

Recuperar el dinero perdido es tarea casi imposible para las víctimas porque, afirma Sergi Álvarez, "es dificil demostrar que eres el propietario de un dinero del que no puedes verificar nada porque te han robado tu clave privada. Aunque hay que decir que algunos juicios se han ganado y se ha recuperado el dinero". Últimamente, para dar una imagen de mayor seriedad y evitar sorpresas, blanqueos de dinero u otros delitos amparados en el anonimato, cada vez más sitios que operan con bitcoins obligan a dar los datos personales al registrarse, incluida una fotocopia del DNI enviada por correo tradicional.
Sentido común

En cuanto a evitar los robos de los monederos de bitcoins, la mejor defensa no es poner altas murallas ni caros cortafuegos. Bitcoin es la moneda de los hackers y, como ellos, se defiende con el conocimiento, explica Pancake: "La única protección es usar la cabeza. Imprimir tu clave privada y guardarla en un lugar seguro, hacer las transacciones a mano en vez de depender de programas o sistemas de terceros, tener una máquina, por ejemplo un móvil, que te sirva sólo para hacer operaciones con bitcoin y tenga conectividad a Internet sólo cuando la uses. Claro que esto implica tener unos conocimientos elevados y mucha paranoia...".

Hablando de paranoia, se rumorea que algunos robos de bitcoins no habrían sido tales, sobre todo cuando el responsable del servicio no ha mostrado ninguna prueba documental (los llamados logs) del ataque. Dicen que este es el caso del banco australiano Inputs.io. En el veterano blog Slashdot puede leerse más de una opinión en este sentido: "Podría haber sido un trabajo desde dentro. Recolectas 1,2 millones de dólares en bitcoins de los "depositarios". Coges el dinero y corres. Dices que han sido hackers. Te lucras. Nadie investigará. No habrá consecuencias, no hay nada que auditar y ninguna forma de recuperar los fondos si se lleva a cabo alguna acción legal". Lo dicho: el salvaje, salvaje Oeste.

No hay comentarios: