Si algo que aterroriza a los usuarios de las criptomonedas no son los comentarios que Jamie Dimon tenga que hacer al respecto, sino perder el pin de acceso y las llaves privadas de una cartera de criptoactivos.
Perder los fondos almacenados en una cartera por un descuido o accidente, de modo que sean irrecuperables, es una posibilidad muy lejana, y eso es positivo y habla muy bien de los criptoactivos y su tecnología subyacente como herramientas disruptivas; pero la posibilidad existe aún, remotamente, pero sigue allí. La diferencia yace en que en blockchain, cada individuo es enteramente responsable de los activos que posea. En casos extremos, las compañías no pueden hacer más que desearte suerte.
Un particular caso se conoció recientemente, en el que un renombrado periodista perdió sus llaves privadas y olvidó el pin de acceso a su cartera fría, lo que resultó una auténtica tragedia que lo llevó a emprender una desesperante odisea para lograr acceder de nuevo.
Mark Frauenfelder, periodista y editor de la reconocida revista Wired aseguró en un artículo que perdió el equivalente a $30,000 dólares en bitcoin, pero finalmente logró recuperarlos.
I lost $30 thousand in bitcoin and tried to get it back. Here’s my Wired article: https://t.co/4SmUBWOq7w
— Mark Frauenfelder (@Frauenfelder) 29 de octubre de 2017
Inicialmente, realizó una compra de 7,4 bitcoins por $3.000 dólares en enero de 2016, pues debido a ocupar también el puesto como director de investigación del Institute for the Future’s Blockchain Futures Lab, le llamó la atención invertir en el criptoactivo que basa sus transacciones en la tecnología blockchain.
Desde entonces, utilizó con frecuencia la aplicación airBitz para comprar crédito de Starbucks; Purse.io para realizar compras en Amazon e incluso pagó por algunas historietas en la tienda Meltdown Comics de Los Angeles. Dado que tenía sus llaves privadas almacenadas en una cartera web, decidió que era momento de buscar mayor seguridad para sus criptoactivos, por lo que adquirió una cartera fría Trezor, dispositivo USB bastante conocido en su segmento de mercado y que permite almacenar bitcoins y realizar transacciones sin exponer las llaves privadas a Internet.
Una vez Frauenfelder recibió su nueva cartera, comenzó a configurarla: anotando en un papel color naranja las 24 palabras de seguridad generadas por el Trezor y luego, creando un PIN de acceso que era una combinación de números con la que estaba familiarizado.
Las 24 palabras son las llaves para recuperar sus bitcoins en caso de emergencia, ingresando estas palabras en un nuevo Trezor u otras carteras frías o en línea que utilizaran el mismo algoritmo de generación de claves. Como bien saben los usuarios de criptomonedas, estas palabras, que por lo general son 12 en lugar de 24, deben ser guardadas celosamente en el lugar más seguro posible, pues de extraviarse, se perdería la oportunidad de recuperar los criptoactivos.
El grave error
Frauenfelder planeó comprarse una lámina de aluminio e imprimir allí las claves, para así darles mayor protección, pero esto nunca lo hizo.
El día 16 de marzo de 2017, Frauenfelder se preparaba junto a su esposa Carla para partir al aeropuerto y tomar unas vacaciones en Tokio, Japón. Sus hijas, Jane y Sarina, se encontraban fuera de casa; la primera en un viaje escolar en Londres, y la segunda, estudiando en Colorado. Mientras se encontraba revisando su escritorio para buscar un cargador de teléfono, vio la hoja color naranja con las palabras clave y el PIN de su Trezor, por lo que pensó que si el avión sufría un accidente, quisiera que sus hijas pudieran acceder a los bitcoins de su cartera, pues desde que las compró habían multiplicado su precio enormemente. Frauenfelder se imaginó que algún día valdrían $50.000 dólares, por lo que tomó un lápiz y escribió en el mismo papel: «Jane, si algo me pasa, enséñale este papel a Cory. Él sabrá qué hacer con él. Con cariño, Papá». Cory es Cory Doctorow, amigo y compañero de trabajo en el sitio web Boing Boing, que si bien no es un entusiasta de Bitcoin, señala, sabría que hacer con estas llaves. Luego, tomó el papel y lo escondió bajo la almohada en la cama de su hija Jane.
A la basura
El día 24 de marzo regresaron de Tokyo y no fue sino hasta el 4 de abril que Frauenfelder recordó haber guardado el papel en la habitación de Jane. Lo que le pareció curioso es que ella tenía una semana en casa y no había mencionado el asunto. Cuando Frauenfelder entró a la habitación, se dio cuenta que debajo de la almohada no estaba el papel, como tampoco entre varias cajas bajo la cama. Al preguntarle a su hija, que estaba en la escuela, esta respondió no saber nada acerca de la hoja color naranja, el único lugar donde estaban escritas las claves.
Carla, la esposa de Frauenfelder, llamó a la compañía de limpieza que aseó su casa mientras ellos estaban de viaje y ubicó a la mujer que se ocupó de la tarea. Al preguntarle si recuerda haber visto el papel, la bedel aseguró que sí y que lo botó a la basura, a lo que Frauenfelder se dirigió de inmediato al basurero de su calle sin hacer ningún hallazgo.
Yo sabía que la basura ya había sido recogida, pero me puse un par de guantes de nitrilo y busqué en la basura y en las papeleras de reciclaje por igual. No encontre nada sino cartones de huevos, residuos de café y cajas de Amazon. El papel anaranjado se estaba descomponiendo debajo de una enorme pila de basura en algún terreno de Los Ángeles.
Mark Fraunfelder
Sin embargo, esto no preocupó a Frauenfelder, pues como se sabía su código PIN (551445), solamente tenía que ingresar a su Trezor, enviar los bitcoins a una cartera en línea, reiniciar la cartera fría y devolver sus bitcoins a dicho dispositivo.
Pero, lastimosamente, al ingresar la clave, el dispositivo le informó que la misma era incorrecta. Así, tres veces lo intentó y notó que apareció un metrónomo en cuenta regresiva que le obligaba a esperar unos segundos antes de volver a intentarlo. Para su pesar, al revisar el sitio web de Trezor, descubrió que este tiempo se duplicaba con cada intento fallido de ingresar el PIN, por lo que quien robara la cartera tendría que pasar toda su vida intentándo acceder. El problema, era que Frauenfelder era el ladrón, por así decirlo.
Hice unos intentos más y cada vez que fallaba, mi incertidumbre crecía junto con el tiempo para intentar de nuevo ingresar el PIN, que era ya de 2.048 segundos, o cerca de 34 minutos. Abrí mi calculadora y rápidamente me percaté que estaría muerto para el intento número 31. Cien intentos hubieran tomado más de 80 sixtillones de años.
Mark Fraunfelder
Haciendo consultas en Reddit no encontró mayor respuesta sino condolencias de muchos usuarios y compañías que no le dieron ninguna esperanza de recuperar el acceso a su cartera. Salvo un usuario de nombre zero404cool, al que muchos acusaron de ser fraudulento, pero que aseguró haber visto a otros acceder a la cartera sin necesidad de ingresar el PIN. Frauenfelder se inclinó por estas teorías ante el prestigio que Trezor tiene como una cartera impenetrable y sumamente segura. En efecto, un representante de ayuda al cliente de Trezor aseguró que no había manera de recuperar el acceso sin conocer el PIN.
Entre tanto, zero404cool le escribió un mensaje directo diciendo lo siguiente:
Sí, puedo hacer algo por ti si aceptas mi ayuda. Obviamente no encontrarás estas instrucciones en ningún lugar en línea. Y esto requiere tener ciertas habilidades técnicas para hacerlo. Un profesional puede extraer toda la información en solo 10 segundos, pero esto no es de conocimiento público, y nunca lo será.
El problema es que yo no te conozco, y no sé si tu historia es real o no. Ni siquiera sé si eres una persona real y si verdaderamente eres propietario de un Trezor. Por ejemplo, podrías preguntarme esto para hackear la cartera de otra persona, y eso no puedo permitirlo. Así que, para que esto funcione, tendremos que ganarnos la confianza mutua.
Mark Fraunfelder
Al responderle que era editor principal de Wired y fundador del sitio Boing Boin, que cuenta con 5 millones de visitas únicas al mes, zero404cool aseguró sentirse confiado, pero que estaba algo ocupado en esos momentos. Después de eso, no tuvieron más comunicación.
Tras esta fallida colaboración, Frauenfelder asistió a una terapia de hipnósis para tratar de descubrir el PIN olvidado hallándolo en su subconciente. Luego de intuir que la clave era 5514455 y esperar unos días para reunir el coraje suficiente, insertó el PIN infructuosamente. Ahora, debía esperar 16.384 segundos, o cerca de cuatro horas y medias para intentarlo de nuevo.
El intento final
Las hijas de Frauenfelder le preguntaban rápidamente en ocasiones cuál era el PIN de acceso, pero ninguna combinación sonaba mejor que la anterior. Incluso, le sugirieron varias claves parecidas que podían ser las adecuadas. Era el 12 de agosto de 2016 y 7,4 bitcoins valían casi 29.000 dólares.
Frauenfelder intentó ingresar la clave sugerida y falló en su propósito, a lo que debía esperar 9 horas más para intentarlo con otra clave. Carla, su esposa, le colocó la mano en el hombro y le dijo que si esta vez no funcionaba, quizá sería momento de superarlo y dejarlo pasar. A la mañana siguiente llegó a su oficina y lo intentó sin éxito. That was it.
Una luz al final del tunel
Fue el día 16 de agosto de 2017, cuando 7,4 bitcoins valían $32.390 dólares, que hubo algo de esperanza para resolver esta triste situación.
Un email enviado por el fabricante de Trezor, Satoshi Labs, a todos sus clientes, advertía que se detectó una falla de seguridad en todos los dispositivos que debía ser corregida con la actualización TREZOR Firmware Security 1.5.2.
Para lograr explotar esta vulnerabilidad, un atacante deberá ingresar al servicio, destruir su carcasa durante el proceso. Luego deberán vulnerar el dispositivo con un firmware especialmente diseñado. Si tu dispositivo está intacto, tus llaves privadas están seguras y deberías actualizar a la versión 1.5.2 lo más pronto posible. Con el firmware 1.5.2 el vector de ataque es eliminado y el dispositivo está a salvo.
De inmediato, consultó en Reddit y se topó con una publicación de Medium en el que se explicaba paso por paso, con imágenes además, cómo vulnerar la seguridad del dispositivo. Para su sorpresa, el nombre del autor era Doshay Zero404Cool. Al revisar sus mensajes directos de Reddit se dio cuenta que Zero404Cool le había propuesto hacía unos pocos meses hacer ese trabajo.
Ante esto, Mark Frauenfelder se comunicó con el experto Andreas Antonopoulos acerca de la oferta de Zero404Cool a lo que Andreas le aseguró saber de un adolescente de 15 años de edad que era un genio de la programación informática y que sabía como penetrar en la vulnerabilidad de Trezor. Sin darse cuenta, hablaban de la misma persona.
Al ponerse en contacto con Antonopoulos de por medio y realizar los trabajos necesarios, finalmente Frauenfelder pudo descubrir el PIN perdido de seguridad: 45455544.
Meses de ansiedad aplastante se fueron como terrones de barro sobre mis hombros. Me levanté, alcé mis brazos y empecé a reír. Había conquistado al Trezor y su cruel función de retraso para ingresar el PIN, y alcancé a la parte de mi cerebro que pensó podía ocultar este secreto de su dueño. ‘Jódanse ambos’, pensé. Gané.
Mark Fraunfelder
Esta lección sin duda que nunca la olvidará y sirve de ejemplo para todos los usuarios de bitcoin y otros criptoactivos. La facultad descentralizada de esta tecnología radica en que nadie, sino solamente los propietarios, son responsables de la integridad de sus criptomonedas.
Pero también, nos enseña que no todo está perdido, y que dentro de la misma comunidad se pueden encontrar soluciones al peor de los problemas y que entre los usuarios de Bitcoin existe gente inteligentísima y muy capaz de cambiar el mundo, como es el caso de Zero404Cool, que con su pericia logró detectar la vulnerabilidad de una de las carteras frías más seguras del mercado.
A su vez, el incremento del precio de bitcoin, que aumentó junto a la desesperación de Frauenfelder, nos hace querer formar parte de esta revolución tecnológica y financiera. Los 7,4 bitcoins que Frauenfelder compró a $3.000 dólares en enero de 2017 hoy tienen un valor aproximado de $55.000 dólares. Quién sabe cuánto valdrá en unos años.
5
3.5
4
La moraleja entonces es que no existe ningun sistema criptografico infalible? Como sabemos que en un tiempo mas no habra que aplicar una actualizacion a 1.5.4 a este dispositivo (o el equivalente para algun otro) pues hay otra vulnerabilidad esperando ser encontrada? O peor aun, estas son intencionales?
No son intencionales. Todos los sistemas son potencialmente vulnerables, es cuestión de tiempo que se descubran. Sucedió recientemente y de forma inesperada con el protocolo WPA-2. Lo importante es que las compañías actúen a tiempo y eviten cualquier hecho lamentable. En lo particular, Trezor es bastante segura y dificil de vulnerar. Esto fue una excepción sin duda.
4.5