La International Association for Cryptologic Research (IACR) publicó un informe referente a la seguridad del protocolo de Bitcoin en el que se cuestiona la eficacia de las brain wallets para salvaguardar datos y el nivel de dificultad de las contraseñas establecidas por los usuarios de este tipo de carteras.
En términos técnicos, el informe titulado “Speed Optimizations in Bitcoin Key Recovery Attacks” procura identificar los principales estándares respecto a las implementaciones de la secp256k1, un tipo de curva elíptica utilizada como curva ECDSA en el modelo criptográfico de Bitcoin que viene definida en el documento normativo Standards for Efficient Cryptography (SEC).
A lo largo del informe se estudia a profundidad el protocolo criptográfico de las brain wallet, es decir, aquellas que permiten generar direcciones de Bitcoin y claves privadas y públicas a partir de una sucesión de palabras establecida por el usuario a manera de contraseña. A pesar de que el mecanismo empleado por estas carteras es considerado un buen método de seguridad para almacenar bitcoins, esta investigación reveló que en realidad resulta ineficiente.
Para conseguir un mayor nivel de seguridad estas frases deberían ser largas y difíciles de adivinar. No obstante, los datos obtenidos mediante esta investigación arrojaron que, en lugar de hacer lo anterior, los usuarios de este tipo de carteras establecen frases comunes y realmente predecibles. Además, la investigación reveló que incluso las claves más complicadas pueden ser recuperadas por hackers.
Para comprobar los resultados de su investigación, la IACR llevó a cabo un ataque con fuerza bruta. Este ataque consiste en probar todas las combinaciones posibles de una clave hasta encontrar aquella que permita el acceso, en este caso, a las carteras Bitcoin de distintos usuarios. Los investigadores aclararon que este tipo de prueba ha sido realizada en distintas oportunidades anteriormente.
No obstante, la prueba realizada en esta oportunidad fue de una mayor velocidad y capacidad. En total, se consiguió recuperar 18.000 contraseñas y entre las frases más comunes se encontraron algunas como “say hello to my little friend», «to be or not to be», «Walk Into This Room», «party like it’s 1999», «yohohoandabottleofrum», y, la más usada, «Arnold Schwarzenegger”.
En líneas generales, la investigación reveló que las frases establecidas por los usuarios como contraseñas para las brain wallets no cumplen con los estándares mínimos de seguridad. Pero, además, la IACR afirma que, incluso utilizando frases con un alto grado de dificultad, las brain wallets no garantizan la seguridad de los usuarios en lo absoluto.
Como un ejemplo de la aplicación de esta investigación, logramos obtener miles de contraseñas incluyendo algunas difíciles. Nuestra investigación demuestra una vez más que las brain wallets no son seguras y nadie debería usarlas.
Informe de la IACR
La realización de investigaciones como la llevada a cabo por la IACR son de mucha relevancia para el ecosistema Bitcoin, especialmente para las empresas interesadas en optimizar la seguridad de los servicios existentes y generar nuevas plataformas con altos niveles de protección para los fondos de los usuarios. Por lo que se estima que este tipo de iniciativas sirvan para poner a prueba los protocolos criptográficos existentes y, así, promover el surgimiento de nuevas alternativas y mecanismos que beneficien a los usuarios.