Hechos clave:
-
Las autoridades recuperaron 85% del rescate entregado a los atacantes.
-
Algunos bitcoiners consideran que se trata de un ataque a la credibilidad de bitcoin.
El FBI anunciĆ³ la recuperaciĆ³n de fondos en bitcoins obtenidos por el ataque con ransomware a un oleoducto gestionado por la compaƱĆa Colonial Pipeline, en Estados Unidos. Y aunque hay quienes atribuyen el hecho a una ruptura de la criptografĆa de Bitcoin por parte de los oficiales estadounidenses, la realidad es otra.
SegĆŗn el reporte de la instituciĆ³n norteamericana, el FBI logrĆ³ incautar 63,7 bitcoins (hoy equivalentes a unos 2.300.000 dĆ³lares) del hackeo, ocurrido en mayo pasado. Esto abarca alrededor de 85% de los fondos enviados por la compaƱĆa (75 BTC en total) para recuperar el control sobre el oleoducto.
La declaraciĆ³n de la incautaciĆ³n expone que el FBI tiene en su poder las llaves privadas de la direcciĆ³n de Bitcoin que recibiĆ³ los fondos, por lo que pudieron recuperar ese porcentaje del rescate. Sin embargo, no explican cĆ³mo obtuvieron acceso a esa informaciĆ³n, mĆ”s allĆ” de declarar que se encuentra en la jurisdicciĆ³n del Distrito Norte de California.
Otro documento muestra que hubo una solicitud de confiscaciĆ³n en esa jurisdicciĆ³n al Oeste del paĆs norteamericano. Es decir, que los fondos o las llaves privadas estaban en manos de un tercero que habrĆa cooperado con las autoridades.
Oficiales del FBI alegan que no importa dĆ³nde estĆ©n almacenados o resguardados los fondos en bitcoin, ellos podrĆan acceder a ellos. Tal como apuntĆ³ el reportero de NBC Geoff Bennett, Ā«ellos no dicen cĆ³moĀ».
Otro reporte atribuido a fuentes anĆ³nimas familiarizadas con la operaciĆ³n expone que la incautaciĆ³n no se dio al tomar control sobre una direcciĆ³n del custodio y exchange Coinbase.
Philip Martin, jefe de seguridad de la compaƱĆa, ratificĆ³ esta negativa al argumentar que Ā«Coinbase no era el objetivo de la orden y no recibiĆ³ el rescate ni ninguna parte del rescate en ningĆŗn momento. Tampoco tenemos evidencia de que los fondos pasaron por una cuenta o monedero de CoinbaseĀ».
Esta teorĆa tuvo cierto apoyo en redes sociales, debido a que la compaƱĆa estĆ” regulada en Estados Unidos y tiene su sede precisamente en el Norte de California.
Faltan los fondos recibidos por el desarrollador del ransomware
SegĆŗn la firma de rastreo e investigaciĆ³n de blockchains Elliptic, el ransomware responsable del hackeo que paralizĆ³ las actividades del oleoducto ubicado en Texas es uno conocido como ransomware as a service.
En esta modalidad, un cliente recibe acceso al software para infectar los sistemas de una compaƱĆa o entidad objetivo. La recompensa se divide entre el cliente y el desarrollador del software, como una especie de alquiler del software para llevar a cabo el ataque.
Los investigadores de Elliptic aseguran que, una vez recibido el rescate, 85% de los fondos fueron al cliente que ejecutĆ³ el ataque y el 15% restante lo recibiĆ³ el desarrollador del software. En este caso, el grupo DarkSide, que se presume opera desde Rusia y se atribuyĆ³ el ataque en mayo pasado, reportĆ³ CriptoNoticias.
Precisamente, ese 85% del cliente se corresponde con el monto incautado por el FBI. DarkSide ya habĆa anunciado poco despuĆ©s del ataque que habĆa perdido el control sobre sus direcciones, aunque Elliptic alegaba para entonces que el grupo delictivo habĆa movido gran parte del dinero antes de la incautaciĆ³n.
InformaciĆ³n publicada en un foro sobre cibercrimen, replicada por el canal de Telegram Russian OSINT, revela que los servidores de DarkSide habrĆan sido confiscados y el dinero (los BTC) fue enviado a una Ā«direcciĆ³n desconocidaĀ».
Esta serĆa la direcciĆ³n del FBI. El reporte no expone el paĆs donde estaban alojados los servidores del grupo, pero la informaciĆ³n parece coincidir con la solicitud de confiscaciĆ³n del FBI en territorio californiano.
Adam Back, CEO y cofundador de Blockstream, lo resume asĆ: Ā«ningĆŗn monedero de bitcoin fue pirateado, ni siquiera se sabe que sea posible. Los piratas informĆ”ticos utilizaron un servidor en la nube alquilado. El FBI obtuvo una citaciĆ³n, tomĆ³ el control [del servidor] y recuperĆ³ las monedas. Eso es todoĀ».
Un caballo de Troya para atacar a Bitcoin
Kevin Collier, otro reportero de la cadena estadounidense NBC News, apuntĆ³ vĆa Twitter que la agencia de seguridad estadounidense Ā«estĆ” siendo deliberadamente vaga sobre cĆ³mo obtuvieron acceso al monedero de DarkSideĀ».
Collier alega que los agentes buscan Ā«evitar avisar a otros piratas informĆ”ticosĀ», ya que el mĆ©todo que utilizaron es Ā«replicableĀ», segĆŗn uno de los funcionarios del FBI. En palabras del reportero, la agencia parecĆa estar presionando contra la teorĆa de que los hackers usaron Coinbase y por eso fue posible la recuperaciĆ³n de los fondos.
Para muchos bitcoiners, tanta insistencia, la falta de claridad sobre la obtenciĆ³n del acceso al monedero y lo ilĆ³gico de que los hackers hayan tenido las llaves privadas almacenadas en servidores en Estados Unidos, podrĆa apuntar a algo mĆ”s oscuro: un ataque directo a la reputaciĆ³n de Bitcoin como herramienta de resistencia a la censura y la intervenciĆ³n estatal sobre el dinero de los ciudadanos.
Ā«O estos son los peores piratas informĆ”ticos de ransomware (muy posible) o esta fue una operaciĆ³n de bandera falsa para justificar una represiĆ³n de las criptomonedasĀ», argumentĆ³ en un tuit @mikeinspace, creador del podcast Bitcoin Car Talk.
El periodista independiente Jordan Schachtel, por su parte, alegĆ³: Ā«Me estĆ” costando creer que esta red de piraterĆa supuestamente rusa era tan sofisticada que podrĆa cerrar nuestra infraestructura, pero no tenĆa el conocimiento suficiente para mantener la custodia segura de sus bitcoins. Nos estamos perdiendo la historia completa, aquĆĀ».
Incluso, en redes sociales se ha hecho comĆŗn referirse a los atacantes como Ā«hackersĀ», entre comillas, poniendo en entredicho que se haya tratado de un ataque real con fines de lucro, en lugar de una acciĆ³n encubierta de las fuerzas de seguridad.
DespuĆ©s de todo, los Ćŗnicos fondos recuperados pertenecen al cliente que tenĆa suficiente acceso al sistema como para infectarlo con el software maligno.
La posibilidad de que el FBI haya ejecutado esta operaciĆ³n para minar la credibilidad de bitcoin son puras conjeturas. Sin embargo, no es secreta la postura contra bitcoin y el resto de criptomonedas de parte de las fuerzas de seguridad en el paĆs norteamericano.
Precisamente a raĆz del caso de Pipeline, el Departamento de Justicia norteamericano declarĆ³ los ataques de ransomware como casos que se atenderĆ”n con una prioridad similar a los ataques terroristas, reportĆ³ este periĆ³dico hace apenas unos dĆas.
Ya los organismos estadounidenses han revelado trabajar con organizaciones que rastrean los movimientos en la blockchain de Bitcoin y han llegado incluso a esclarecer un intento de homicidio gracias a la contabilidad pĆŗblica de Bitcoin recientemente.