La blockchain es inalterable y hackearla resulta, por lo general, menos factible y rentable que inclusive probar suerte con el sistema SWIFT, actualmente el que utilizan los bancos de todo el mundo para transacciones internacionales —y que ha sido hackeado en varias ocasiones, permitiendo robos millonarios—. Una plataforma que puede superar en seguridad a otra de semejante importancia nos hace sentir confiados sobre la protección de nuestras criptomonedas… pero no deberíamos estar tan seguros.
Lo cierto es que, fuera de la blockchain, y tal como ocurre en cualquier moneda —sea fíat o no— las posibilidades de robo son lamentablemente numerosas. Y en este caso, dado que las criptomonedas son activos digitales y más difíciles de rastrear que los sistemas de pago típicos, constituyen una excelente carnada para hackers de todo el mundo, que sin duda han encontrado diversos métodos para poder robar unas cuantas criptomonedas sin tener que salir de casa. A continuación, siete de estos métodos y cómo defenderte.
Ransomware
Este es quizás el más popular por lo fácil y rentable que resulta. Una vez afectada la víctima, este virus cifra todos los archivos del ordenador y, para devolverlos, solicita un rescate en Bitcoin, Litecoin o Monero que varía según la querencia del hacker.
Aunque hay que decir que la creatividad de los hackers parece no tener límites, pues una clase de ransomware, el PopCorn Time, da también la opción al infectado de esparcir el virus a otras dos personas que, si llegan a pagar, le darán la oportunidad de conseguir su propia clave de descifrado sin necesidad de pagar él mismo. Y otra variante, el Patcher, engaña por completo a sus víctimas, pues en realidad ni el mismo hacker que solicita los bitcoins puede descifrarlo. Esto por no mencionar también el Spora, que viene con servicio al “cliente” para mayor comodidad en el secuestro; o el más peligroso RoT (Ransomware of Things) que no secuestra archivos sino cualquier cosa conectada a la red, tal como las cerraduras electrónicas.
Muchos ransomwares típicos, inclusive, están a la venta en la Deep Web, así que en realidad cualquiera puede comprar su propia plataforma para esparcirlo. Han llegado a solicitarse hasta 500 mil dólares en criptomonedas por rescate, así que este virus no es una broma.
Con tal de evitarlo, hay que saber cómo puede llegar hasta tu computador o dispositivo inteligente: la mayoría de ellos viene por correo electrónico, oculto en archivos adjuntos y links desconocidos que no deben abrirse. Sin embargo hay otras variantes, como el ImageGate, que se adjunta a imágenes de las redes sociales enviadas presuntamente por un amigo, y los ataques dirigidos, donde los hackers se centran en un objetivo en específico. Para acceder a los sistemas elegidos en este último caso, pueden pasar semanas tratando de hallar un servidor débil o enviando correo falso hasta hacer caer a su víctima.
En conclusión, para protegerse del ransomware, no se deben abrir adjuntos, imágenes ni links en correos que no sean de confianza o mensajes sospechosos en las redes sociales. Hay que mantener respaldos de todos los datos, los servidores actualizados y cambiar todas las credenciales por defecto de cualquier dispositivo.
Phishing
Se trata, básicamente, de engaño descarado. Consiste en la creación de páginas web y correos electrónicos con formato, logos e imágenes idénticos a los de organizaciones y empresas reales para poder solicitar (y robar) las credenciales de los usuarios, lo que en muchos casos también implica robar sus fondos. Este método se utiliza bastante para acceder a cuentas bancarias ajenas, pero también se ha visto en el mundo de las criptomonedas con frecuencia. Un buen ejemplo de ello se dio a principios de este año, cuando estuvo circulando —no por primera vez— un correo falso que presuntamente provenía de la casa de cambio Coinbase.
Por otro lado, según Cisco, el aumento del phishing destinado a robar las credenciales de carteras online suele venir de la mano del aumento del precio de Bitcoin. Afortunadamente, para evitarlo, basta con prestar atención: las imitaciones nunca son del todo exactas, siempre hay algo fuera de lugar, especialmente en lo que al URL se refiere. Cuando se trata de otorgar datos sensibles, hay que asegurarse de que se trata del URL oficial, sin más ni menos caracteres.
Keyloggers
Son programas que, una vez instalados en el ordenador, detectan las pulsaciones del teclado y el mouse en el momento justo para averiguar las contraseñas, aunque en ocasiones también son capaces de buscar la información guardada en el disco y el navegador —como el caché y las carteras— para lograrlo. Suelen adquirirse a través de phishing, como pudimos ver en febrero de este año, cuando empezó a circular un correo spam donde se le hace una notificación bancaria falsa a la víctima con la intención de que, al pulsar el link, el keylogger se descargue en su computador y averigüe sus credenciales.
Para combatirlos, también hay que prestar mucha atención a los correos electrónicos, por donde suelen llegar. Además, vale la pena cambiar las contraseñas y credenciales con cierta frecuencia, aunque el cambio sea sólo de un carácter.
Ratas (Remote Acess Trojans)
Los troyanos de acceso remoto, mejor conocidos como “ratas” por sus siglas en inglés, pueden ser una verdadera pesadilla para la víctima y una obra maestra para el hacker. Si llegan a instalarse en un computador, literalmente será como si hubiese sido robado, pues (dependiendo del tipo de “rata”) el hacker podrá controlar cualquier función a distancia, tal como si tuviera la PC en sus manos. De esta forma, puede desde hacer una sencilla broma como abrir y cerrar el puerto de CDs, activar sonidos y cambiar los fondos de pantalla, hasta borrar archivos, enviar mensajes, utilizar cuentas privadas, instalar aplicaciones y, por supuesto, robar las contraseñas y usar las carteras frías sin protección. Escalofriante, ¿no?
De nuevo, el método de distribución más popular es el correo electrónico basura, así que jamás deben abrirse ni adjuntos ni links que provengan de correos desconocidos. Pero además las ratas también se esconden en archivos compartidos mediante programas P2P y descargas de programas no certificados. Así, por ejemplo, en 2013 estuvo circulando una aplicación para Windows llamada Bitcoin Alarm, que presuntamente avisaba sobre los cambios en el precio de las criptomonedas, pero en realidad estaba destinada a robar los BTCs de los desafortunados que la instalaban, pues se trataba de un RAT.
Ahora bien, cabe mencionar que todos los enumerados hasta el momento pueden evitarse, en su mayoría, manteniendo un buen antivirus y el Firewall activo.
Casas de cambio y mercados
Las casas de cambio son casas de cambio y no carteras por alguna razón. Al menos, no deberían tomarse como carteras, pues todo lo que está en línea es susceptible de ser hackeado, y peor aún, cuando le confías tus criptomonedas a una casa de cambio, estas criptomonedas, técnicamente, ya no son tuyas. Pierdes el control sobre ellas, pasan de estar descentralizadas a estar centralizadas en la plataforma de esa compañía, cuya obligación contigo se limita, en muchas ocasiones, a la ética y el beneficio mutuo. Pero esa es otra historia que trataremos más adelante.
En cuanto a hacks, hay que decir que las plataformas de las casas de cambio y distintos mercados en línea han demostrado tener muchas debilidades a nivel informático, por lo que, para los hackers, resultan un blanco muy fácil de robar. El gran ejemplo de ello es Bitfinex, una de las más populares de hecho, de la que fueron extraídos 120.000 BTC el año pasado; cantidad que apenas terminó de reembolsar a sus clientes hace poco. Pero, por supuesto, no es la única. ShapeShift, Gatecoin y Bitstamp también fueron robadas del mismo modo.
Además, los mercados en línea que admiten depósitos en criptomonedas también son susceptibles a hackeos. Ejemplo reciente de ello es AlphaBay, a la que un hacker de sombrero blanco advirtió sobre la presencia de un bug en sus sistemas que le permitió acceder a más de 200 mil mensajes privados. Por fortuna, aún quedan también este tipo de hackers, que se dedican a encontrar debilidades para advertir a los administradores.
Concluyendo: no es recomendable dejar fondos almacenados en casas de cambio y mercados en línea. Siempre mantenlos en tu dispositivo personal.
Autenticación telefónica
La autenticación de dos factores fue diseñada para agregar seguridad a las cuentas en línea. De esta forma, el usuario no sólo debe introducir su contraseña, sino un código que le es enviado a su teléfono móvil vía SMS. Y de esta forma, también pueden recuperarse las contraseñas olvidadas, pues basta con introducir el número de teléfono y esperar la respuesta del servidor. ¿Quién diría que esto se convertiría en un arma para los hackers?
Pero así fue, cuando descubrieron que algunas compañías telefónicas tienen una seguridad tan débil que permiten suplantar la identidad de sus clientes sin demasiada dificultad. Así que el hacker de turno sólo tiene que llamar a la compañía, solicitar que transfieran su número a otra empresa y utilizar la autenticación de dos factores para reiniciar todas las contraseñas, incluyendo los correos electrónicos que se utilizan para servicios financieros como el comercio de criptomonedas. En agosto del año pasado Jered Kenna, un ciudadano colombiano, perdió millones de dólares en bitcoins debido a este truco.
Desde esta perspectiva, no parece muy recomendable utilizar la autenticación de dos factores. Sin embargo, aún puede servir como capa extra de seguridad si la compañía telefónica tiene medidas de identificación apropiadas.
Bugs en los contratos inteligentes
Los contratos inteligentes se han convertido en una segunda revolución después de Bitcoin, tal como lo demuestra que Ethereum, la principal plataforma que facilita este tipo de contratos, continúe en segunda posición en el mercado de criptomonedas. Son útiles para, virtualmente, cualquier cosa. Pero hay que admitir que se encuentran aún en desarrollo, por lo que su seguridad no es inviolable. Un mínimo error en su programación es una puerta abierta de par en par para los hackers, que pueden entrar y robar todas las criptomonedas que estén allí almacenadas.
El evento con DAO el año pasado, que de hecho provocó la división de Ethereum en dos, es la mayor prueba de que los contratos inteligentes aún están a medio camino: 60 millones de dólares robados gracias a una debilidad en el contrato no es algo fácil de ignorar, especialmente cuando atrapar a el o los culpables resulta prácticamente imposible.
En este caso, lo mejor es adherirse a una plataforma confiable para poder utilizar los contratos inteligentes. Algunas aplicaciones, de hecho, especifican en sus Libros Blancos cuáles serán sus mejoras de seguridad en este aspecto y cómo evitarían que los fondos sean sustraídos o los recuperarían en caso de que los fueran. Ethereum, después de todo, realizó su bifurcación para recuperar los millones de dólares robados.
Extra para no-hackers: robar la llave privada y estafar
Además de los numerosos hackeos posibles para robar las criptomonedas, otros criminales prefieren utilizar métodos mucho menos técnicos pero igualmente efectivos. El más sencillo de ellos es, quizá, robar la llave privada de la cartera que seguramente anotaste/guardas en algún lugar junto a las 12 palabras de recuperación, si tu monedero ofrece esa alternativa. Recuerda que esa es la llave de tu propia bóveda, y quien la tenga controlará los fondos que hay en ella, por lo que es altamente recomendable que la guardes en un sitio seguro que además recuerdes, pues tampoco debes perderla.
Otro método para robar criptomonedas a lo grande son los diversos tipos de estafas. Antes mencionamos que en las casas de cambio y mercados los fondos ya no son controlados por ti y su obligación, muchas veces, se limita a la ética. Así que de hecho existe la posibilidad de que los administradores se fuguen con los fondos, tal como sucedió con Mt. Gox, Cryptsy y, más recientemente, Bitcurex. Por desgracia es una práctica usual, y la única defensa posible es asegurarse de que la casa de cambio es confiable y responde ante sus usuarios. Algunas de ellas, como Coinbase y Bitstamp, están reguladas oficialmente, por lo que, en ese aspecto, los fondos deberían estar seguros.
Sin embargo, este no es el único tipo de estafa relacionado a las criptomonedas. Los esquemas Ponzi, como el que se le acusa de ser a OneCoin, también son un buen ejemplo. En otro artículo hablaremos sobre este tipo de engaños y cómo evitarlos.
