La blockchain es inalterable y hackearla resulta, por lo general, menos factible y rentable que inclusive probar suerte con el sistema SWIFT, actualmente el que utilizan los bancos de todo el mundo para transacciones internacionales โy que ha sido hackeado en varias ocasiones, permitiendo robos millonariosโ. Una plataforma que puede superar en seguridad a otra de semejante importancia nos hace sentir confiados sobre la protecciรณn de nuestras criptomonedasโฆ pero no deberรญamos estar tan seguros.
Lo cierto es que, fuera de la blockchain, y tal como ocurre en cualquier moneda โsea fรญat o noโ las posibilidades de robo son lamentablemente numerosas. Y en este caso, dado que las criptomonedas son activos digitales y mรกs difรญciles de rastrear que los sistemas de pago tรญpicos, constituyen una excelente carnada para hackers de todo el mundo, que sin duda han encontrado diversos mรฉtodos para poder robar unas cuantas criptomonedas sin tener que salir de casa. A continuaciรณn, siete de estos mรฉtodos y cรณmo defenderte.
Ransomware
Este es quizรกs el mรกs popular por lo fรกcil y rentable que resulta. Una vez afectada la vรญctima, este virus cifra todos los archivos del ordenador y, para devolverlos, solicita un rescate en Bitcoin, Litecoin o Monero que varรญa segรบn la querencia del hacker.
Aunque hay que decir que la creatividad de los hackers parece no tener lรญmites, pues una clase de ransomware, el PopCorn Time, da tambiรฉn la opciรณn al infectado de esparcir el virus a otras dos personas que, si llegan a pagar, le darรกn la oportunidad de conseguir su propia clave de descifrado sin necesidad de pagar รฉl mismo. Y otra variante, el Patcher, engaรฑa por completo a sus vรญctimas, pues en realidad ni el mismo hacker que solicita los bitcoins puede descifrarlo. Esto por no mencionar tambiรฉn el Spora, que viene con servicio al โclienteโ para mayor comodidad en el secuestro; o el mรกs peligroso RoT (Ransomware of Things) que no secuestra archivos sino cualquier cosa conectada a la red, tal como las cerraduras electrรณnicas.
Muchos ransomwares tรญpicos, inclusive, estรกn a la venta en la Deep Web, asรญ que en realidad cualquiera puede comprar su propia plataforma para esparcirlo. Han llegado a solicitarse hasta 500 mil dรณlares en criptomonedas por rescate, asรญ que este virus no es una broma.
Con tal de evitarlo, hay que saber cรณmo puede llegar hasta tu computador o dispositivo inteligente: la mayorรญa de ellos viene por correo electrรณnico, oculto en archivos adjuntos y links desconocidos que no deben abrirse. Sin embargo hay otras variantes, como el ImageGate, que se adjunta a imรกgenes de las redes sociales enviadas presuntamente por un amigo, y los ataques dirigidos, donde los hackers se centran en un objetivo en especรญfico. Para acceder a los sistemas elegidos en este รบltimo caso, pueden pasar semanas tratando de hallar un servidor dรฉbil o enviando correo falso hasta hacer caer a su vรญctima.
En conclusiรณn, para protegerse del ransomware, no se deben abrir adjuntos, imรกgenes ni links en correos que no sean de confianza o mensajes sospechosos en las redes sociales. Hay que mantener respaldos de todos los datos, los servidores actualizados y cambiar todas las credenciales por defecto de cualquier dispositivo.
Phishing
Se trata, bรกsicamente, de engaรฑo descarado. Consiste en la creaciรณn de pรกginas web y correos electrรณnicos con formato, logos e imรกgenes idรฉnticos a los de organizaciones y empresas reales para poder solicitar (y robar) las credenciales de los usuarios, lo que en muchos casos tambiรฉn implica robar sus fondos. Este mรฉtodo se utiliza bastante para acceder a cuentas bancarias ajenas, pero tambiรฉn se ha visto en el mundo de las criptomonedas con frecuencia. Un buen ejemplo de ello se dio a principios de este aรฑo, cuando estuvo circulando โno por primera vezโ un correo falso que presuntamente provenรญa de la casa de cambio Coinbase.
Por otro lado, segรบn Cisco, el aumento del phishing destinado a robar las credenciales de carteras online suele venir de la mano del aumento del precio de Bitcoin. Afortunadamente, para evitarlo, basta con prestar atenciรณn: las imitaciones nunca son del todo exactas, siempre hay algo fuera de lugar, especialmente en lo que al URL se refiere. Cuando se trata de otorgar datos sensibles, hay que asegurarse de que se trata del URL oficial, sin mรกs ni menos caracteres.
Keyloggers
Son programas que, una vez instalados en el ordenador, detectan las pulsaciones del teclado y el mouse en el momento justo para averiguar las contraseรฑas, aunque en ocasiones tambiรฉn son capaces de buscar la informaciรณn guardada en el disco y el navegador โcomo el cachรฉ y las carterasโ para lograrlo. Suelen adquirirse a travรฉs de phishing, como pudimos ver en febrero de este aรฑo, cuando empezรณ a circular un correo spam donde se le hace una notificaciรณn bancaria falsa a la vรญctima con la intenciรณn de que, al pulsar el link, el keylogger se descargue en su computador y averigรผe sus credenciales.
Para combatirlos, tambiรฉn hay que prestar mucha atenciรณn a los correos electrรณnicos, por donde suelen llegar. Ademรกs, vale la pena cambiar las contraseรฑas y credenciales con cierta frecuencia, aunque el cambio seaย sรณlo de un carรกcter.
Ratas (Remote Acess Trojans)
Los troyanos de acceso remoto, mejor conocidos como โratasโ por sus siglas en inglรฉs, pueden ser una verdadera pesadilla para la vรญctima y una obra maestra para el hacker. Si llegan a instalarse en un computador, literalmente serรก como si hubiese sido robado, pues (dependiendo del tipo de โrataโ) el hacker podrรก controlar cualquier funciรณn a distancia, tal como si tuviera la PC en sus manos. De esta forma, puede desde hacer una sencilla broma como abrir y cerrar el puerto de CDs, activar sonidos y cambiar los fondos de pantalla, hasta borrar archivos, enviar mensajes, utilizar cuentas privadas, instalar aplicaciones y, por supuesto, robar las contraseรฑas y usar las carteras frรญas sin protecciรณn. Escalofriante, ยฟno?
De nuevo, el mรฉtodo de distribuciรณn mรกs popular es el correo electrรณnico basura, asรญ que jamรกs deben abrirse ni adjuntos ni links que provengan de correos desconocidos. Pero ademรกs las ratas tambiรฉn se esconden en archivos compartidos mediante programas P2P y descargas de programas no certificados. Asรญ, por ejemplo, en 2013 estuvo circulando una aplicaciรณn para Windows llamada Bitcoin Alarm, que presuntamente avisaba sobre los cambios en el precio de las criptomonedas, pero en realidad estaba destinada a robar los BTCs de los desafortunados que la instalaban, pues se trataba de un RAT.
Ahora bien, cabe mencionar que todos los enumerados hasta el momento pueden evitarse, en su mayorรญa, manteniendo un buen antivirus y el Firewall activo.
Casas de cambio y mercados
Las casas de cambio son casas de cambio y no carteras por alguna razรณn. Al menos, no deberรญan tomarse como carteras, pues todo lo que estรก en lรญnea es susceptible de ser hackeado, y peor aรบn, cuando le confรญas tus criptomonedas a una casa de cambio, estas criptomonedas, tรฉcnicamente, ya no son tuyas. Pierdes el control sobre ellas, pasan de estar descentralizadas a estar centralizadas en la plataforma de esa compaรฑรญa, cuya obligaciรณn contigo se limita, en muchas ocasiones, a la รฉtica y el beneficio mutuo. Pero esa es otra historia que trataremos mรกs adelante.
En cuanto a hacks, hay que decir que las plataformas de las casas de cambio y distintos mercados en lรญnea han demostrado tener muchas debilidades a nivel informรกtico, por lo que, para los hackers, resultan un blanco muy fรกcil de robar. El gran ejemplo de ello es Bitfinex, una de las mรกs populares de hecho, de la que fueron extraรญdos 120.000 BTC el aรฑo pasado; cantidad que apenas terminรณ de reembolsar a sus clientes hace poco. Pero, por supuesto, no es la รบnica. ShapeShift, Gatecoin y Bitstamp tambiรฉn fueron robadas del mismo modo.
Ademรกs, los mercados en lรญnea que admiten depรณsitos en criptomonedas tambiรฉn son susceptibles a hackeos. Ejemplo reciente de ello es AlphaBay, a la que un hacker de sombrero blancoย advirtiรณ sobre la presencia de un bug en sus sistemas que le permitiรณ acceder a mรกs de 200 mil mensajes privados. Por fortuna, aรบn quedan tambiรฉn este tipo de hackers, que se dedican a encontrar debilidades para advertir a los administradores.
Concluyendo: no es recomendable dejar fondos almacenados en casas de cambio y mercados en lรญnea. Siempre mantenlos en tu dispositivo personal.
Autenticaciรณn telefรณnica
La autenticaciรณn de dos factores fue diseรฑada para agregar seguridad a las cuentas en lรญnea. De esta forma, el usuario no sรณlo debe introducir su contraseรฑa, sino un cรณdigo que le es enviado a su telรฉfono mรณvil vรญa SMS. Y de esta forma, tambiรฉn pueden recuperarse las contraseรฑas olvidadas, pues basta con introducir el nรบmero de telรฉfono y esperar la respuesta del servidor. ยฟQuiรฉn dirรญa que esto se convertirรญa en un arma para los hackers?
Pero asรญ fue, cuando descubrieron que algunas compaรฑรญas telefรณnicas tienen una seguridad tan dรฉbil que permiten suplantar la identidad de sus clientes sin demasiada dificultad. Asรญ que el hacker de turno sรณlo tiene que llamar a la compaรฑรญa, solicitar que transfieran su nรบmero a otra empresa y utilizar la autenticaciรณn de dos factores para reiniciar todas las contraseรฑas, incluyendo los correos electrรณnicos que se utilizan para servicios financieros como el comercio de criptomonedas. En agosto del aรฑo pasado Jered Kenna, un ciudadano colombiano, perdiรณ millones de dรณlares en bitcoins debido a este truco.
Desde esta perspectiva, no parece muy recomendable utilizar la autenticaciรณn de dos factores. Sin embargo, aรบn puede servir como capa extra de seguridad si la compaรฑรญa telefรณnica tiene medidas de identificaciรณn apropiadas.
Bugs en los contratos inteligentes
Los contratos inteligentes se han convertido en una segunda revoluciรณn despuรฉs de Bitcoin, tal como lo demuestra que Ethereum, la principal plataforma que facilita este tipo de contratos,ย continรบe en segunda posiciรณn en el mercado de criptomonedas. Son รบtiles para, virtualmente, cualquier cosa. Pero hay que admitir que se encuentran aรบn en desarrollo, por lo que su seguridad no es inviolable. Un mรญnimo error en su programaciรณn es una puerta abierta de par en par para los hackers, que pueden entrar y robar todas las criptomonedas que estรฉn allรญ almacenadas.
El evento con DAO el aรฑo pasado, que de hecho provocรณ la divisiรณn de Ethereum en dos, es la mayor prueba de que los contratos inteligentes aรบn estรกn a medio camino: 60 millones de dรณlares robados gracias a una debilidad en el contrato no es algo fรกcil de ignorar, especialmente cuando atrapar a el o los culpables resulta prรกcticamente imposible.
En este caso, lo mejor es adherirse a una plataforma confiable para poder utilizar los contratos inteligentes. Algunas aplicaciones, de hecho, especifican en sus Libros Blancos cuรกles serรกn sus mejoras de seguridad en este aspecto y cรณmo evitarรญan que los fondos sean sustraรญdos o los recuperarรญan en caso de que los fueran. Ethereum, despuรฉs de todo, realizรณ su bifurcaciรณn para recuperar los millones de dรณlares robados.
Extra para no-hackers: robar la llave privada y estafar
Ademรกs de los numerosos hackeos posibles para robar las criptomonedas, otros criminales prefieren utilizar mรฉtodos mucho menos tรฉcnicos pero igualmente efectivos. El mรกs sencillo de ellos es, quizรก, robar la llave privada de la cartera que seguramente anotaste/guardas en algรบn lugar junto a las 12 palabras de recuperaciรณn, si tu monedero ofrece esa alternativa. Recuerda que esa es la llave de tu propia bรณveda, y quien la tenga controlarรก los fondos que hay en ella, por lo que es altamente recomendable que la guardes en un sitio seguro que ademรกs recuerdes, pues tampoco debes perderla.
Otro mรฉtodo para robar criptomonedas a lo grande son los diversos tipos de estafas. Antes mencionamos que en las casas de cambio y mercados los fondos ya no son controlados por ti y su obligaciรณn, muchas veces, se limita a la รฉtica. Asรญ que de hecho existe la posibilidad de que los administradores se fuguen con los fondos, tal como sucediรณ con Mt. Gox, Cryptsy y, mรกs recientemente, Bitcurex. Por desgracia es una prรกctica usual, y la รบnica defensa posible es asegurarse de que la casa de cambio es confiable y responde ante sus usuarios. Algunas de ellas, como Coinbase y Bitstamp, estรกn reguladas oficialmente, por lo que, en ese aspecto, los fondos deberรญan estar seguros.
Sin embargo, este no es el รบnico tipo de estafa relacionado a las criptomonedas. Los esquemas Ponzi, como el que se le acusa de ser a OneCoin, tambiรฉn son un buen ejemplo. En otro artรญculo hablaremos sobre este tipo de engaรฑos y cรณmo evitarlos.
