Hace tan solo unos días, la plataforma china de intercambio de bitcoines Bter se convirtió en víctima de un ciberataque. Los ciberdelincuentes consiguieron llevarse 7.170 bitcoines, equivalentes a más de un millón y medio de euros, y la compañía ofrece una suculenta recompensa para quien recupere las criptomonedas que les han sustraído en una sola transacción.
El de Bter no es el primer caso de ciberataque a estas plataformas. Así que si eres el dueño de una cartera digital o deseas comenzar próximamente tu aventura en el mundo de las criptodivisas descentralizadas, tienes que tomarte la seguridad de tu billetera virtual muy en serio y pensar bien qué tipo de cartera digital vas a utilizar para realizar tus transacciones.
Los investigadores Yaiza Rubio y Félix Brezo, dos analistas de inteligencia que trabajan para la unidad de Seguridad de Telefónica Business Solution, han explicado y demostrado a los asistentes del congreso Rooted CON tres amenazas diferentes que afectan a varios monederos Bitcoin. «Cada vez se tienen más en cuenta como vector de interés para el delincuente este tipo de plataformas, porque tienen un valor monetario fácil de rentabilizar y porque toda la capa de anonimato hace complicado rastrear, identificar y atribuir el origen de la transacción», explica Brezo.
Para preservar la seguridad, todas las carteras digitales funcionan concriptografía de clave pública. Esto quiere decir que hacen falta dos elementos para verificar la firma de cualquier transacción realizada con bitcoines: una parte pública (en este caso, la cadena de caracteres que compone la propia dirección Bitcoin, ya que las operaciones son públicas) y una parte privada (que, lógicamente, solo ha de tener el dueño de esta cartera digital).
Si un ciberdelincuente consigue esa clave privada, que podemos tener almacenada de distintas formas, puede hacerse pasar por nosotros ydesplumarnos virtualmente.
LOS RIESGOS DE LAS CARTERAS LOCALES
Una de las formas de operar con bitcoines es disponer de una cartera en local. Nos descargamos un cliente Bitcoin, como Bitcoin Core, y nos genera un par de claves: la dirección pública y la clave privada. Ambas se descargan en un fichero ‘wallet.dat’ que cómodamente se guarda en nuestro ordenador para que seamos nosotros mismos los que conservemos nuestro secreto. Eso sí, hay que tener cuidado de que no se rompa nuestro disco duro o nos roben el ordenador porque podríamos perder las claves.
Utilizando un ‘malware’ convencional, Brezo y Rubio han demostrado que un ciberatacante podría acceder a nuestro equipo, buscar el fichero ‘wallet.dat’, copiarlo y disponer nuestras claves sin demasiadas dificultades. ¿La solución? Que además cifremos ese fichero para evitar a los ciberatacantes. «Es recomendable que por lo menos incluyas un método adicional de seguridad, como puede ser el cifrado de la cartera», afirma Yaiza.
Esta medida de seguridad tiene, no obstante, inconvenientes. Su propio compañero Félix los experimentó tras cifrar uno de sus monederos. Al querer abrirlo posteriormente, se encontró con un problema: no recordaba la contraseña. « No proteger la cartera es un problema porque implica que te la pueden robar, pero si la proteges y no te acuerdas de ella puedes perder todo el dinero«, avisa Brezo.
Este experto en seguridad, que no ha logrado recuperar el suyo, ha propuesto a los asistentes de Rooted CON el reto de intentar descifrarla. La única forma sería con un ataque de fuerza bruta, probando con todas las combinaciones posibles. Es como si Brezo hubiera lanzado al mar su contraseña: al menos que alguien la encuentre en un inmenso océano, sus bitcoines se habrán perdido para siempre.
LAS CARTERAS MENTALES, LAS MÁS INSEGURAS
Si quieres ser dueño de un monedero Bitcoin, también puedes optar por las llamadas «carteras mentales». Pongamos por caso que entramos en Bitaddress.orgy creamos una cartera mental a través de una palabra que nos motive o que nos resulte fácil de recordar. La página nos generará una dirección y una clave privada por defecto a partir de esa palabra. Nos quedaremos tan contentos porque ya no tendremos que almacenar ni recordar esa engorrosa clave: estará alojada en nuestro cerebro porque accedemos a ella a través de nuestra palabra favorita.
Un método sencillo pero que presenta graves problemas de seguridad, tal y como nos lo explica Rubio: «Un atacante que utiliza millones y millones de diccionarios para generar todas las claves privadas posibles tendría acceso a un montón de cuentas que se han generado a partir de palabras«.
Estos expertos en seguridad comprobaron lo fácil que es realizar estos ataques: crearon varias direcciones y claves privadas basándose en palabras que formaban parte de un diccionario de palabras frecuentes. Los bitcoines duraron en las direcciones tan solo diez segundos: los ciberatacantes, siempre alerta esperando que alguien caiga en la trampa, se los llevaron enseguida y difuminaron el rastro.
Además, estos expertos decidieron hacerse pasar por atacantes: utilizando cuatro millones de palabras genéricas, encontraron que 17.000 de ellas habían recibido bitcoines (por ejemplo, ‘hello’ o ‘password’). A efectos prácticos, Brezo y Rubiopodrían haberse embolsado 20.000 dólares (más de 17.000 euros), lo que demuestra que estas carteras son vulnerables. «Puedes hacer lo que quieras, pero nosotros señalamos que es preferible no utilizar carteras mentales», señala Rubio.
NUESTRA CARTERA EN LA NUBE: MÁS SEGURA CON MÁS MÉTODOS DE AUTENTICACIÓN
Otro método para crear nuestro monedero Bitcoin es generar las claves directamente en una plataforma de intercambio, como Blockchain. Brezo y Rubio han estudiado catorce plataformas diferentes para analizar su seguridad y se han percatado de que, en algunas, el usuario y contraseña son suficientes para acceder a la cuenta e incluso realizar transacciones.
Algunas plataformas incorporan por defecto la famosa verificación en dos pasos (insertar un código de autenticación que te envían al correo o al móvil), mientras que en otras es opcional o puede desactivarse. «Nuestra recomendación es que el usuario que tenga cuentas en una plataforma active la autenticación en dos pasos y todos los métodos adicionales de seguridad, porque si no está expuesto a que un ‘malware’ convencional le robe las credenciales y el saldo», detalla Brezo.
Plataformas como Coinbase sí piden mucha información para que el dueño esté identificado a la hora de realizar la transacción, desde el pasaporte, lugar y fecha de nacimiento o nombre y apellidos. « Algunas plataformas sí están bastante concienciadas de que te pueden robar las contraseñas, pero otras no«, asegura Yaiza Rubio. Por ello, estos investigadores aconsejan a los dueños de carteras digitales estudiar bien cada plataforma antes de decantarse por una, y escoger aquellas que incluyan todas las medidas adicionales de seguridad posibles.
¿DE QUÉ CARTERA ME FÍO?
Al final, cada tipo de cartera tiene sus amenazas, aunque, según las explicaciones de estos expertos, las carteras mentales se llevan el premio a la inseguridad. Entre las otras dos alternativas, ¿es mejor tener almacenadas las claves en local o tener nuestra cartera en una plataforma en la nube?
«Si tengo guardada mi clave privada en un fichero en local, tengo control absoluto sobre la clave privada que he generado, y tengo la certeza de que, a menos que un ‘malware’ la extraiga, la tengo yo», defiende Brezo, que prefiere ser el único responsable de sus pérdidas.
Las carteras en la nube también dan sus quebraderos de cabeza: hay que confiar en la buena fe y en la seguridad de esos terceros, con el riesgo de que quiebren como ya sucedió hace un año con Mt. Gox, la que entonces era la mayor plataforma de intercambio de bitcoines: 127.000 clientes perdieron sus criptomonedas. «Si las genero en la nube es un acto de fe, de que no me van a estafar«, nos cuenta Félix Brezo.
Estos investigadores han observado la progresiva aparición de ataques de ‘phishing’, de suplantación de identidad e incluso redes de ‘bots’ que están sustrayendo credenciales de plataformas que administran carteras en la nube similares a CoinBase o BlockChain. El reciente robo a la plataforma china Bter es un ejemplo de ello.
«Lo que ha pasado es que el atacante ha tenido acceso a la parte privada de las direcciones en la que ellos almacenaban la mayor parte de los bitcoines: esto es un problema porque lo que ha hecho el atacante es transferir todos esos bitcoines a una cuenta suya y difuminar el rastro», nos cuenta Brezo, que detalla que tanto un usuario final como a una plataforma pueden sufrir este tipo de ataques.
¿Qué se puede hacer para evitar que un ciberdelincuente acceda a las claves de nuestro fichero local o directamente se vaya a lo grande y ataque los ficheros donde las plataformas en la nube almacenan las claves privadas? Estos investigadores nos cuentan que una de las alternativas para mejorar la seguridad son los dispositivos de almacenamiento ‘en frío’, que conservan esas claves privadas en un equipo que no está conectado a la red salvo cuando es totalmente necesario.
«Únicamente cuando yo quiera realizar la transacción importaré la clave privada y la efectuaré”, explica Brezo. No obstante, “esto para un usuario normal es hasta cierto punto exagerado, porque implica unos costes de usabilidad importantes». El investigador cree que los dispositivos de almacenamiento en frío son recomendables más bien para las plataformas de intercambio, aunque sea un procedimiento complicado. « Es un método muy robusto pero muy laborioso y, en la práctica, se corre el riesgo de que se implementen atajos menos seguros buscando una mayor usabilidad», admite Brezo.
Estos analistas, que llevan desde 2012 analizando Bitcoin, han puesto en práctica las posibles amenazas a las carteras de esta popular criptomoneda para demostrar que aún hay que avanzar mucho en el tema de seguridad de las ‘eWallets’. « Hay mucho mercado para las empresas de seguridad: hay bastantes clientes potenciales a los que suministrar soluciones a las plataformas en la nube, como detectar ‘malware’ contra su organización, ‘phishing’ contra los usuarios o aplicaciones sospechosas», señala Yaiza Rubio.
Así que si estás pensando crearte un monedero digital, ya estás al tanto de algunas de las artimañas que un ladrón puede emplear para tratar de arrebatarte hasta la última de tus criptomonedas. Con el dinero no se juega, ya sea físico o virtual.
—————————————
Las imágenes de este artículo son propiedad, por orden de aparición, deHojadeRouter.com, Jonathan Waller, BTC Keychain ( 3 y 5) y Antana.
http://www.eldiario.es/hojaderouter/seguridad/seguridad-carteras-bitcoin-hackers-criptomonedas_0_363264145.html