¿Crimen valentísimo? El inusual robo de una cartera Ledger de Bitcoin

By | February 7, 2021


El robo de una cantidad no revelada de bitcoins (BTC) desde una cartera fría del fabricante Ledger, consterna al ecosistema, pues aún no se ha descubierto cómo fue ejecutado este ataque.

Carlos Santiso, apoderado de inversiones en la firma española Icaria Caudal, envió un tuit el pasado 26 de enero de 2021, donde informaba del robo y dudaba del papel de Bitcoin como sustituto del oro.

El inversionista explicó que había estado comprando BTC en zona de entretenerse la quiniela y un día, cuando quiso revisar el saldo de su cartera, vio dos transacciones no autorizadas y su balanceo de fondos casi en 0. Lo sorprendente es que no han quedado indicios del modus operandi con el que el atacante logró sustraer los BTC.

Esta misma semana, Santiso compartió su historia en el podcast de Lunaticoin, un obligado espacio de divulgación sobre Bitcoin en castellano.

El moderador del podcast, quien tiene una sobresaliente experiencia utilizando Bitcoin, intercedió por Ledger, señalando que se han comportado acertadamente en atender este caso y que, en su opinión, es una de las carteras de hardware más seguras del mercado.

Al no haberse detectado errores de parte del heredero en cuidar sus monedas, todo indicaba que el dispositivo fue manipulado ayer de despacharse. Esto ocurre ocasionalmente con equipos comprados fuera de las tiendas oficiales, es afirmar, en tiendas como Amazon e eBay.

Ledger aseguró a Lunaticoin que estos dispositivos son en ocasiones devueltos a la taller. Una vez recibidos por Ledger, los equipos son destruidos, no revendidos, informó el divulgador. Santiso comentó que el Ledger Nano S, cartera desde donde se compraron las monedas, lo recibió directamente de su fabricante.

En cuanto a las medidas de seguridad, Santiso explicó que tenía sus 24 palabras semilla acertadamente seguras, escritas en un papel, al igual que el PIN de 4 dígitos del dispositivo, resguardados en un compartimiento secreto de su escritorio. Así, Lunaticoin confirmó que la frase secreta nunca salió de la casa de Santiso.

Poco sobresaliente del robo es que Santiso nunca había firmado transacciones desde esa cartera. Es afirmar, en la vida envió bitcoins desde el dispositivo. Las transacciones del robo son las únicas registradas en el software Ledger Live. Encima, las firmas de autenticidad de este software fueron verificadas por la víctima de este extraño ataque.

Las características del ataque, y las medidas de seguridad que se tomaron, parecen no dejar pistas sobre qué ocurrió. La única situación que Santiso piensa que pudo ser el punto frágil, fue que al momento de anotar las palabras sobre papel, algunos monitores con cámaras (webcam) apuntaban con destino a él.

El hacker tenía mis claves desde un primer momento y estuvo esperando un tiempo prudencial a ver si depositaba más bitcoins y así poder robarme más. Por eso no me cuadra mínimo del momento del robo, porque tenía tiempo sin ingresar y no estuve ese fin de semana trabajando en el ordenador. Fue la única explicación que encontré a todo esto (la teoría de las webcams).

Carlos Santiso, apoderado de inversiones.

¿Funciona el KYC para rastrear el destino de los bitcoins?

La investigación arrojó que el atacante pudo ocurrir cambiado los BTC por ethers (ETH) en el exchange HitBTC, establecida en Hong-Kong.

Arkad, doble en seguridad en Bitcoin e invitado al podcast, comentó que las políticas de identificación del cliente (KYC, Conoce a tu Cliente) de HitBTC podrían ser flexibles o permisivas.

Asimismo, indicó que el hacker pudo ocurrir cambiado las monedas a través de otros servicios no-KYC, que incluso podrían utilizar el servicio de HitBTC, de forma intermediada. Uno de estos servicios que no solicitan información personal para trocar criptomonedas es Changelly.

Igualmente, Arkad señaló que algunas consultoras de seguridad podrían tener contacto con las casas de cambio (exchanges) para interceptar estos fondos robados. Incluso, es posible que puedan tomarse medidas jurídicas de importancia internacional, si saben plantearse adecuadamente por abogados y fiscales desde España.

El doble de seguridad se refirió a la técnica de ofuscación de transacciones peeling chain, «como quien quita gajos de una fruta», para dejar partes de los fondos en distintos lugares lejanos entre sí, a medida que se rebusca consolidarlos en una transacción futura. En total se han realizado 11 pagos, cada vez más difíciles de rastrear, añadió Lunaticoin.

El estudio se realizó con OXT, explorador de la blockchain de Bitcoin provisto por la cartera Samourai, permitiendo ver el rastrillo que el hacker dejó al realizar diversas transacciones.

Uno de los aspectos que resaltó Lunaticoin a partir de este estudio fue que el hacker depósito los BTC en el mercado de la darknet ruso, Hydra. Según Chainalisys, compañía de vigilancia blockchain, los mercados más grandes de bitcoin en Europa del Este tendrían relación con actividades delictivas en la web oscura, reportó CriptoNoticias a mediados del año pasado.

Patrón simple de ofuscación de transacciones por parte del atacante. Los bitcoins se vendieron en HitBTC y en el mercado de la darknet, Hydra. Fuente: semillabtc / twitter.com

Encima, el atacante igualmente tiene equipos de minería donde recibe recompensas con frecuencia de parte de pools o grupos reconocidos de minería de Bitcoin, comentó Lunaticoin, según detectaron los investigadores de SemillaBTC.

De ese modo queda claro que, aunque el atacante no sigue las mejores prácticas de privacidad, mueve transacciones por la blockchain de Bitcoin sin ser detectado por las autoridades. «No se toma la molestia de hacer CoinJoins», ni otras técnicas de mezclado de criptomonedas.

El robo no fue un caso de phishing

Recientemente se reportó en CriptoNoticias cómo los datos de casi 300.000 clientes de Ledger fueron filtrados a la web oscura. La compañía está ofreciendo hasta 10 BTC por información valiosa y relevante que conduzca al arresto de los piratas cibernéticos responsables de ese robo masivo de información.

Si acertadamente no es factible que una frase semilla se aloje en esta colchoneta de datos, sí se encuentran el número telefónico, la dirección geográfica e identidad del heredero, así como su correo electrónico. La fuga de datos trajo el clonado de tarjetas SIM para algunos, lo que permite vulnerar otros servicios de los que participe el heredero. La recomendación de seguridad es utilizar 2FA (Autenticación de Dos Factores).

Carlos Santiso, la víctima de este inusual robo de bitcoins desde una cartera fría, aseguró que por motivos de su profesión, recibe correos de phishing todo el tiempo, así que no cree ocurrir caído en este tipo de ataque.

De todos modos, aseguró que se tomará un tiempo para retornar a participar de Bitcoin y su tecnología, cubo el mal sabor que le ha dejado esta desagradable experiencia, un crimen que parece ocurrir sido perpetrado por expertos.





Source link