Si algo que aterroriza a los usuarios de las criptomonedas no son los comentarios que Jamie Dimon tenga que hacer al respecto, sino perder el pin de acceso y las llaves privadas de una cartera de criptoactivos.
Perder los fondos almacenados en una cartera por un descuido o accidente, de modo que sean irrecuperables, es una posibilidad muy lejana, y eso es positivo y habla muy bien de los criptoactivos y su tecnologรญa subyacente como herramientas disruptivas; pero la posibilidad existe aรบn, remotamente, pero sigue allรญ. La diferencia yace en que en blockchain, cada individuo es enteramente responsable de los activos que posea. En casos extremos, las compaรฑรญas no pueden hacer mรกs que desearte suerte.
Un particular caso se conociรณ recientemente, en el que un renombrado periodista perdiรณ sus llaves privadas y olvidรณ el pin de acceso a su cartera frรญa, lo que resultรณ una autรฉntica tragedia que lo llevรณ a emprender una desesperante odisea para lograr acceder de nuevo.
Mark Frauenfelder, periodista y editor de la reconocida revista Wired asegurรณ en un artรญculo queย perdiรณ el equivalente a $30,000 dรณlares en bitcoin, pero finalmente logrรณ recuperarlos.
I lost $30 thousand in bitcoin and tried to get it back. Hereโs my Wired article: https://t.co/4SmUBWOq7w
— Mark Frauenfelder (@Frauenfelder) 29 de octubre de 2017
Inicialmente, realizรณ una compra de 7,4 bitcoins por $3.000 dรณlares en enero de 2016, pues debido a ocupar tambiรฉn el puesto como director de investigaciรณn del Institute for the Futureโs Blockchain Futures Lab, le llamรณ la atenciรณn invertir en el criptoactivo que basa sus transacciones en la tecnologรญa blockchain.
Desde entonces, utilizรณ con frecuencia la aplicaciรณn airBitz para comprar crรฉdito de Starbucks; Purse.io para realizar compras en Amazon e incluso pagรณ por algunas historietas en la tienda Meltdown Comics de Los Angeles. Dado que tenรญa sus llaves privadas almacenadas en una cartera web, decidiรณ que era momento de buscar mayor seguridad para sus criptoactivos, por lo que adquiriรณ una cartera frรญa Trezor, dispositivo USB bastante conocido en su segmento de mercado y que permite almacenar bitcoins y realizar transacciones sin exponer las llaves privadas a Internet.
Una vez Frauenfelder recibiรณ su nueva cartera, comenzรณ a configurarla: anotando en un papel color naranja las 24 palabras de seguridad generadas por el Trezor y luego, creando un PIN de acceso que era una combinaciรณn de nรบmeros con la que estaba familiarizado.
Las 24 palabras son las llaves para recuperar sus bitcoins en caso de emergencia, ingresando estas palabras en un nuevo Trezor u otras carteras frรญas o en lรญnea que utilizaran el mismo algoritmo de generaciรณn de claves. Como bien saben los usuarios de criptomonedas, estas palabras, que por lo general son 12 en lugar de 24, deben ser guardadas celosamente en el lugar mรกs seguro posible, pues de extraviarse, se perderรญa la oportunidad de recuperar los criptoactivos.
El grave error
Frauenfelder planeรณ comprarse una lรกmina de aluminio e imprimir allรญ las claves, para asรญ darles mayor protecciรณn, pero esto nunca lo hizo.
El dรญa 16 de marzo de 2017, Frauenfelder se preparaba junto a su esposa Carla para partir al aeropuerto y tomar unas vacaciones en Tokio, Japรณn. Sus hijas, Jane y Sarina, se encontraban fuera de casa; la primera en un viaje escolar en Londres, y la segunda, estudiando en Colorado. Mientras se encontraba revisando su escritorio para buscar un cargador de telรฉfono, vio la hoja color naranja con las palabras clave y el PIN de su Trezor, por lo que pensรณ que si el aviรณn sufrรญa un accidente, quisiera que sus hijas pudieran acceder a los bitcoins de su cartera, pues desde que las comprรณ habรญan multiplicado su precio enormemente. Frauenfelder se imaginรณ que algรบn dรญa valdrรญan $50.000 dรณlares, por lo que tomรณ un lรกpiz y escribiรณ en el mismo papel: ยซJane, si algo me pasa, ensรฉรฑale este papel a Cory. รl sabrรก quรฉ hacer con รฉl. Con cariรฑo, Papรกยป. Cory es Cory Doctorow, amigo y compaรฑero de trabajo en el sitio web Boing Boing, que si bien no es un entusiasta de Bitcoin, seรฑala, sabrรญa que hacer con estas llaves. Luego, tomรณ el papel y lo escondiรณ bajo la almohada en la cama de su hija Jane.
A la basura
El dรญa 24 de marzo regresaron de Tokyo y no fue sino hasta el 4 de abril que Frauenfelder recordรณ haber guardado el papel en la habitaciรณn de Jane. Lo que le pareciรณ curioso es que ella tenรญa una semana en casa y no habรญa mencionado el asunto. Cuando Frauenfelder entrรณ a la habitaciรณn, se dio cuenta que debajo de la almohada no estaba el papel, como tampoco entre varias cajas bajo la cama. Al preguntarle a su hija, que estaba en la escuela, esta respondiรณ no saber nada acerca de la hoja color naranja, el รบnico lugar donde estaban escritas las claves.
Carla, la esposa deย Frauenfelder, llamรณ a la compaรฑรญa de limpieza que aseรณ su casa mientras ellos estaban de viaje y ubicรณ a la mujer que se ocupรณ de la tarea. Al preguntarle si recuerda haber visto el papel, la bedel asegurรณ que sรญ y que lo botรณ a la basura,ย a lo queย Frauenfelder se dirigiรณ de inmediato al basurero de su calle sin hacer ningรบn hallazgo.
Yo sabรญa que la basura ya habรญa sido recogida, pero me puse un par de guantes de nitrilo y busquรฉ en la basura y en las papeleras de reciclaje por igual. No encontre nada sino cartones de huevos, residuos de cafรฉ y cajas de Amazon. El papel anaranjado se estaba descomponiendo debajo de una enorme pila de basura en algรบn terreno de Los รngeles.
Mark Fraunfelder
Sin embargo, esto no preocupรณ a Frauenfelder, pues como se sabรญa su cรณdigo PIN (551445), solamente tenรญa que ingresar a su Trezor, enviar los bitcoins a una cartera en lรญnea, reiniciar la cartera frรญa y devolver sus bitcoins a dicho dispositivo.
Pero, lastimosamente, al ingresar la clave, el dispositivo le informรณ que la misma era incorrecta. Asรญ, tres veces lo intentรณ y notรณ que apareciรณ un metrรณnomo en cuenta regresiva que le obligaba a esperar unos segundos antes de volver a intentarlo. Para su pesar, al revisar el sitio web de Trezor, descubriรณ que este tiempo se duplicaba con cada intento fallido de ingresar el PIN, por lo que quien robara la cartera tendrรญa que pasar toda su vida intentรกndo acceder. El problema, era que Frauenfelder era el ladrรณn, por asรญ decirlo.
Hice unos intentos mรกs y cada vez que fallaba, mi incertidumbre crecรญa junto con el tiempo para intentar de nuevo ingresar el PIN, que era ya de 2.048 segundos, o cerca de 34 minutos. Abrรญ mi calculadora y rรกpidamente me percatรฉ que estarรญa muerto para el intento nรบmero 31. Cien intentos hubieran tomado mรกs de 80 sixtillones de aรฑos.
Mark Fraunfelder
Haciendo consultas en Reddit no encontrรณ mayor respuesta sino condolencias de muchos usuarios y compaรฑรญas que no le dieron ninguna esperanza de recuperar el acceso a su cartera. Salvo un usuario de nombreย zero404cool, al que muchos acusaron de ser fraudulento, pero que asegurรณ haber visto a otros acceder a la cartera sin necesidad de ingresar el PIN. Frauenfelder se inclinรณ por estas teorรญas ante el prestigio que Trezor tiene como una cartera impenetrable y sumamente segura. En efecto, un representante de ayuda al cliente de Trezor asegurรณ que no habรญa manera de recuperar el acceso sin conocer el PIN.
Entre tanto,ย zero404cool le escribiรณ un mensaje directo diciendo lo siguiente:
Sรญ, puedo hacer algo por ti si aceptas mi ayuda. Obviamente no encontrarรกs estas instrucciones en ningรบn lugar en lรญnea. Y esto requiere tener ciertas habilidades tรฉcnicas para hacerlo. Un profesional puede extraer toda la informaciรณn en solo 10 segundos, pero esto no es de conocimiento pรบblico, y nunca lo serรก.
El problema es que yo no te conozco, y no sรฉ si tu historia es real o no. Ni siquiera sรฉ si eres una persona real y si verdaderamente eres propietario de un Trezor. Por ejemplo, podrรญas preguntarme esto para hackear la cartera de otra persona, y eso no puedo permitirlo. Asรญ que, para que esto funcione, tendremos que ganarnos la confianza mutua.
Mark Fraunfelder
Al responderle que era editor principal de Wired y fundador del sitio Boing Boin, que cuenta con 5 millones de visitas รบnicas al mes, zero404cool asegurรณ sentirse confiado, pero que estaba algo ocupado en esos momentos. Despuรฉs de eso, no tuvieron mรกs comunicaciรณn.
Tras esta fallida colaboraciรณn,ย Frauenfelder asistiรณ a una terapia de hipnรณsis para tratar de descubrir el PIN olvidado hallรกndolo en su subconciente. Luego de intuir que la clave eraย 5514455 y esperar unos dรญas para reunir el coraje suficiente, insertรณ el PIN infructuosamente. Ahora, debรญa esperar 16.384 segundos, o cerca de cuatro horas y medias para intentarlo de nuevo.
El intento final
Las hijas de Frauenfelder le preguntaban rรกpidamente en ocasiones cuรกl era el PIN de acceso, pero ninguna combinaciรณn sonaba mejor que la anterior. Incluso, le sugirieron varias claves parecidas que podรญan ser las adecuadas. Era el 12 de agosto de 2016 y 7,4 bitcoins valรญan casi 29.000 dรณlares.ย
Frauenfelder intentรณ ingresar la clave sugerida y fallรณ en su propรณsito, a lo que debรญa esperar 9 horas mรกs para intentarlo con otra clave. Carla, su esposa, le colocรณ la mano en el hombro y le dijo que si esta vez no funcionaba, quizรก serรญa momento de superarlo y dejarlo pasar. A la maรฑana siguiente llegรณ a su oficina y lo intentรณ sin รฉxito. That was it.
Una luz al final del tunel
Fue el dรญa 16 de agosto de 2017, cuando 7,4 bitcoins valรญan $32.390 dรณlares, que hubo algo de esperanza para resolver esta triste situaciรณn.
Un email enviado por el fabricante de Trezor, Satoshi Labs, a todos sus clientes, advertรญa que se detectรณ una falla de seguridad en todos los dispositivos que debรญa ser corregida con la actualizaciรณn TREZOR Firmware Security 1.5.2.
Para lograr explotar esta vulnerabilidad, un atacante deberรก ingresar al servicio, destruir su carcasa durante el proceso. Luego deberรกn vulnerar el dispositivo con unย firmware especialmente diseรฑado. Si tu dispositivo estรก intacto, tus llaves privadas estรกn seguras y deberรญas actualizar a la versiรณn 1.5.2 lo mรกs pronto posible. Con elย firmwareย 1.5.2 el vector de ataque es eliminado y el dispositivo estรก a salvo.
De inmediato, consultรณ en Reddit y se topรณ con una publicaciรณn de Medium en el que se explicaba paso por paso, con imรกgenes ademรกs, cรณmo vulnerar la seguridad del dispositivo. Para su sorpresa, el nombre del autor eraย Doshay Zero404Cool. Al revisar sus mensajes directos de Reddit se dio cuenta que Zero404Cool le habรญa propuesto hacรญa unos pocos meses hacer ese trabajo.
Ante esto, Markย Frauenfelder se comunicรณ con el experto Andreas Antonopoulosย acerca de la oferta deย Zero404Cool a lo que Andreas le asegurรณ saber de un adolescente de 15 aรฑos de edad que era un genio de la programaciรณn informรกtica y que sabรญa como penetrar en la vulnerabilidad de Trezor. Sin darse cuenta, hablaban de la misma persona.
Al ponerse en contacto con Antonopoulos de por medio yย realizar los trabajos necesarios, finalmente Frauenfelder pudo descubrir el PIN perdido de seguridad:ย 45455544.
Meses de ansiedad aplastante se fueron como terrones de barro sobre mis hombros. Me levantรฉ, alcรฉ mis brazos y empecรฉ a reรญr. Habรญa conquistado al Trezor y su cruel funciรณn de retraso para ingresar el PIN, y alcancรฉ a la parte de mi cerebro que pensรณ podรญa ocultar este secreto de su dueรฑo. ‘Jรณdanse ambos’, pensรฉ. Ganรฉ.
Mark Fraunfelder
Esta lecciรณn sin duda que nunca la olvidarรก y sirve de ejemplo para todos los usuarios de bitcoin y otros criptoactivos. La facultad descentralizada de esta tecnologรญa radica en que nadie, sino solamente los propietarios, son responsables de la integridad de sus criptomonedas.
Pero tambiรฉn, nos enseรฑa que no todo estรก perdido, y que dentro de la misma comunidad se pueden encontrar soluciones al peor de los problemas y que entre los usuarios de Bitcoin existe gente inteligentรญsima y muy capaz de cambiar el mundo, como es el caso de Zero404Cool, que con su pericia logrรณ detectar la vulnerabilidad de una de las carteras frรญas mรกs seguras del mercado.
A su vez, el incremento del precio de bitcoin, que aumentรณ junto a la desesperaciรณn de Frauenfelder, nos hace querer formar parte de esta revoluciรณn tecnolรณgica y financiera. Los 7,4 bitcoins que Frauenfelder comprรณ a $3.000 dรณlares en enero de 2017 hoy tienen un valor aproximado de $55.000 dรณlares. Quiรฉn sabe cuรกnto valdrรก en unos aรฑos.
