-
Las autoridades recuperaron 85% del rescate entregado a los atacantes.
-
Algunos bitcoiners consideran que se trata de un ataque a la credibilidad de bitcoin.
El FBI anunció la recuperación de fondos en bitcoins obtenidos por el ataque con ransomware a un oleoducto gestionado por la compañía Colonial Pipeline, en Estados Unidos. Y aunque hay quienes atribuyen el hecho a una ruptura de la criptografía de Bitcoin por parte de los oficiales estadounidenses, la realidad es otra.
Según el reporte de la institución norteamericana, el FBI logró incautar 63,7 bitcoins (hoy equivalentes a unos 2.300.000 dólares) del hackeo, ocurrido en mayo pasado. Esto abarca alrededor de 85% de los fondos enviados por la compañía (75 BTC en total) para recuperar el control sobre el oleoducto.
La declaración de la incautación expone que el FBI tiene en su poder las llaves privadas de la dirección de Bitcoin que recibió los fondos, por lo que pudieron recuperar ese porcentaje del rescate. Sin embargo, no explican cómo obtuvieron acceso a esa información, más allá de declarar que se encuentra en la jurisdicción del Distrito Norte de California.
Otro documento muestra que hubo una solicitud de confiscación en esa jurisdicción al Oeste del país norteamericano. Es decir, que los fondos o las llaves privadas estaban en manos de un tercero que habría cooperado con las autoridades.
Oficiales del FBI alegan que no importa dónde estén almacenados o resguardados los fondos en bitcoin, ellos podrían acceder a ellos. Tal como apuntó el reportero de NBC Geoff Bennett, «ellos no dicen cómo».
Otro reporte atribuido a fuentes anónimas familiarizadas con la operación expone que la incautación no se dio al tomar control sobre una dirección del custodio y exchange Coinbase.
Philip Martin, jefe de seguridad de la compañía, ratificó esta negativa al argumentar que «Coinbase no era el objetivo de la orden y no recibió el rescate ni ninguna parte del rescate en ningún momento. Tampoco tenemos evidencia de que los fondos pasaron por una cuenta o monedero de Coinbase».
Esta teoría tuvo cierto apoyo en redes sociales, debido a que la compañía está regulada en Estados Unidos y tiene su sede precisamente en el Norte de California.
Faltan los fondos recibidos por el desarrollador del ransomware
Según la firma de rastreo e investigación de blockchains Elliptic, el ransomware responsable del hackeo que paralizó las actividades del oleoducto ubicado en Texas es uno conocido como ransomware as a service.
En esta modalidad, un cliente recibe acceso al software para infectar los sistemas de una compañía o entidad objetivo. La recompensa se divide entre el cliente y el desarrollador del software, como una especie de alquiler del software para llevar a cabo el ataque.
Los investigadores de Elliptic aseguran que, una vez recibido el rescate, 85% de los fondos fueron al cliente que ejecutó el ataque y el 15% restante lo recibió el desarrollador del software. En este caso, el grupo DarkSide, que se presume opera desde Rusia y se atribuyó el ataque en mayo pasado, reportó CriptoNoticias.
Precisamente, ese 85% del cliente se corresponde con el monto incautado por el FBI. DarkSide ya había anunciado poco después del ataque que había perdido el control sobre sus direcciones, aunque Elliptic alegaba para entonces que el grupo delictivo había movido gran parte del dinero antes de la incautación.
Información publicada en un foro sobre cibercrimen, replicada por el canal de Telegram Russian OSINT, revela que los servidores de DarkSide habrían sido confiscados y el dinero (los BTC) fue enviado a una «dirección desconocida».
Esta sería la dirección del FBI. El reporte no expone el país donde estaban alojados los servidores del grupo, pero la información parece coincidir con la solicitud de confiscación del FBI en territorio californiano.
Adam Back, CEO y cofundador de Blockstream, lo resume así: «ningún monedero de bitcoin fue pirateado, ni siquiera se sabe que sea posible. Los piratas informáticos utilizaron un servidor en la nube alquilado. El FBI obtuvo una citación, tomó el control [del servidor] y recuperó las monedas. Eso es todo».
Un caballo de Troya para atacar a Bitcoin
Kevin Collier, otro reportero de la cadena estadounidense NBC News, apuntó vía Twitter que la agencia de seguridad estadounidense «está siendo deliberadamente vaga sobre cómo obtuvieron acceso al monedero de DarkSide».
Collier alega que los agentes buscan «evitar avisar a otros piratas informáticos», ya que el método que utilizaron es «replicable», según uno de los funcionarios del FBI. En palabras del reportero, la agencia parecía estar presionando contra la teoría de que los hackers usaron Coinbase y por eso fue posible la recuperación de los fondos.
Para muchos bitcoiners, tanta insistencia, la falta de claridad sobre la obtención del acceso al monedero y lo ilógico de que los hackers hayan tenido las llaves privadas almacenadas en servidores en Estados Unidos, podría apuntar a algo más oscuro: un ataque directo a la reputación de Bitcoin como herramienta de resistencia a la censura y la intervención estatal sobre el dinero de los ciudadanos.
«O estos son los peores piratas informáticos de ransomware (muy posible) o esta fue una operación de bandera falsa para justificar una represión de las criptomonedas», argumentó en un tuit @mikeinspace, creador del podcast Bitcoin Car Talk.
El periodista independiente Jordan Schachtel, por su parte, alegó: «Me está costando creer que esta red de piratería supuestamente rusa era tan sofisticada que podría cerrar nuestra infraestructura, pero no tenía el conocimiento suficiente para mantener la custodia segura de sus bitcoins. Nos estamos perdiendo la historia completa, aquí».
Incluso, en redes sociales se ha hecho común referirse a los atacantes como «hackers», entre comillas, poniendo en entredicho que se haya tratado de un ataque real con fines de lucro, en lugar de una acción encubierta de las fuerzas de seguridad.
Después de todo, los únicos fondos recuperados pertenecen al cliente que tenía suficiente acceso al sistema como para infectarlo con el software maligno.
La posibilidad de que el FBI haya ejecutado esta operación para minar la credibilidad de bitcoin son puras conjeturas. Sin embargo, no es secreta la postura contra bitcoin y el resto de criptomonedas de parte de las fuerzas de seguridad en el país norteamericano.
Precisamente a raíz del caso de Pipeline, el Departamento de Justicia norteamericano declaró los ataques de ransomware como casos que se atenderán con una prioridad similar a los ataques terroristas, reportó este periódico hace apenas unos días.
Ya los organismos estadounidenses han revelado trabajar con organizaciones que rastrean los movimientos en la blockchain de Bitcoin y han llegado incluso a esclarecer un intento de homicidio gracias a la contabilidad pública de Bitcoin recientemente.