Una lamentable verdad es que todo aquello que permanezca en línea es susceptible de ser hackeado. Por ello, para el caso de la moneda digital, fueron creadas las ‘carteras frías’, es decir, pequeños dispositivos de hardware fuera de línea en los que resguardar de forma mucho más segura las claves privadas que dan acceso a los fondos en criptomonedas. Una de las compañías que ofrece este producto es KeepKey, y ¿quién pensaría en un hackeo a una cartera fuera de línea?
Pues lo cierto es que KeepKey recibió un pésimo regalo de Navidad por parte de un hacker ambicioso, que, por supuesto, no fue capaz de acceder a los fondos de los dispositivos, pero sí a las cuentas de correo de la compañía y a los servicios enlazados a ellas, como su Twitter oficial. Así lo reportó a través de Reditt Darin Stanchfield, CEO de la empresa, a tan sólo un día de ocurrido el hackeo; quien luego en año nuevo publicó los detalles del suceso, cuando ya todo se había resuelto, a través del blog de KeepKey, ofreciendo además una generosa recompensa de 30 BTC ($27.000 aproximadamente) a quien pueda otorgar alguna información efectiva para rastrear al hacker.
Los hechos se iniciaron el 25 de diciembre de 2016, cuando el correo corporativo y el número telefónico de Stanchfield fueron comprometidos. Con sólo estos datos el hacker logró acceder a todas las cuentas enlazadas, incluidos los correos utilizados para el marketing, ventas y logística de KeepKey; además de la red social de la que no tuvieron control durante algunas horas. Con ayuda del ingeniero de la compañía, empezaron a recuperar y reiniciar las cuentas, hasta que en medio de este proceso el hacker se comunicó por llamada telefónica para solicitar 30 BTC a cambio de decirles cómo fue capaz de acceder, que información tenía en su poder, destruir la data copiada, restaurar las cuentas y guardar el secreto de este fallo de seguridad.
La compañía se limitó a distraerlo mientras terminaban de recuperar las cuentas y notificar a los usuarios. Sin ceder a la demanda, a la mañana siguiente KeepKey presentó el reporte con la División Cibernética del FBI, otorgando todos los detalles relacionados al ataque. Poco después explica en su blog que sus servidores, computadores y red nunca fueron comprometidos, así como tampoco los fondos en las carteras frías, pero el hacker sí fue capaz de acceder y robar la información de los usuarios contenida en los correos, lo que en muchos casos incluyó direcciones, correos y números telefónicos.
Sin embargo, KeepKey decidió no ceder. Resaltaron que, a pesar de que las carteras nunca estuvieron en riesgo, los usuarios tienen la opción de un reembolso a cambio del dispositivo por los próximos 30 días. Asimismo, tomarán medidas para que esta situación no se repita: en primer lugar, ya no tendrán cuentas enlazadas entre sí, y tampoco guardarán ningún dato sobre sus clientes. Por último, han preferido ofrecer la misma cantidad solicitada por el hacker a quien pueda ayudar a rastrearlo, de forma anónima si lo prefiere.
A pesar de que no había absolutamente ninguna manera de que negociáramos o pagáramos a un criminal para mantener este fallo en secreto, queremos ver su captura. Estamos ofreciendo 30 BTC, la cantidad que él pidió, como recompensa. La información puede ser provista de forma anónima: sólo incluye una dirección Bitcoin para el pago de la recompensa.
Darin Stanchfield
CEO
Este sin duda es buen ejemplo de cómo un ataque cibernético puede ser frustrado gracias a la ayuda de un profesional, en lugar de tener que ceder a las exigencias de los hackers. Por desgracia no todas las empresas toman esta actitud: muchos bancos de Londres, de hecho, se han dedicado a comprar BTC tan sólo para pagar a los ciber-criminales en el caso de tener que hacerlo. Pero esta no es la mejor actitud a considerar, siempre debe buscarse antes la ayuda de un experto.
