La última semana de septiembre comenzó con la noticia de que el dominio oficial de Bitcoin (bitcoin [.] Org) fue invadido por ciberdelincuentes que aplicaron el infame “estamos retribuyendo a la comunidad.. Al final de la misma semana, el viernes ( 10/01), más de 6.000 inversores registrados en la plataforma de intercambio de criptomonedas Coinbase sufrieron el robo de activos por parte de ciberdelincuentes que explotaron una vulnerabilidad en el sistema de autenticación de SMS en la plataforma del corredor.
La estafa de “estamos retribuyendo a la comunidad” no es nueva para nadie. En este caso también, porque lograron robar solo U $ 19.000 (BRL 101.000), que ni siquiera es una cantidad relevante, como fue el caso de Poly Network, el mayor robo de criptomonedas en la historia de la tecnología, por ejemplo. Tampoco es tan relevante como la historia de Coinbase, que dejó una pregunta muy importante sin respuesta: si los ciberdelincuentes encontraron una vulnerabilidad en el sistema de autenticación de SMS pero aún necesitaban información de inicio de sesión y contraseña para acceder a las cuentas de los usuarios, ¿cómo comprometieron a más de 6.000 clientes? ¿De dónde provienen estas credenciales?
Empresas financieras descentralizadas (DeFis), brokers de criptoactivos y criptomonedas, si bien tienen este aura disruptiva, innovadora y tecnológica, son como empresas tradicionales, por lo que están sujetas al ciberdelito. Sin embargo, hay un dato sobre las criptomonedas que no podemos ignorar, la mayoría son completamente anónimas, lo que las hace aún más interesantes para los ciberdelincuentes, tanto aquellos con el objetivo de robar criptomonedas, como aquellos interesados en blanquear dinero ilegal, logrado a través de la extorsión digital.
En ciertos casos de robo de criptomonedas, las empresas responsables de ellos pueden recuperar el dinero y recuperar el saldo de sus inversores. Pero si las criptomonedas son anónimas, ¿cómo pueden recuperarlas las carteras de DeFis?
Es importante recordar que las criptomonedas, aunque son anónimas, son totalmente rastreables. La idea de que las criptomonedas sean utilizadas por delincuentes es porque son anónimas e imposibles de rastrear es incorrecta. Con la excepción de unos pocos que también fueron diseñados para ser imposibles de rastrear (como Monero, por ejemplo), la mayoría de ellos son completamente rastreables.
Para comprender mejor este concepto de trazabilidad de las criptomonedas, podemos analizar el caso de la invasión de la web oficial de Bitcoin. En este caso, los ciberdelincuentes tomaron el control del sitio y agregaron una alerta con el siguiente texto: “¡La Fundación Bitcoin está retribuyendo a la comunidad! Queremos apoyar a nuestros usuarios que nos han ayudado a lo largo de los años. Envía bitcoins a esta dirección [1NgoFwgsfZ19RrCUhTmmuLpmdek45nRd5N], y le enviaremos el doble de la cantidad a cambio. […] Cualquier cantidad enviada a esta dirección se duplicará y se devolverá al remitente “.
En el sitio web Blockchain[.]com podemos ver los activos almacenados en cada billetera de criptomonedas, solo tenemos su dirección, que en este caso es “1NgoFwgsfZ19RrCUhTmmuLpmdek45nRd5N”. Por lo tanto, solo busque este código en la barra de búsqueda en el encabezado de la página Blockchain y descubra qué transacciones involucraron una cartera en particular.
Al acceder a la billetera Bitcoin (BTC) desde esta dirección, lo primero que vemos es un “resumen” de las transacciones: “Esta dirección ya ha realizado 10 transacciones en la blockchain de Bitcoin. Recibió un total de 0.40571238 BTC (US $ 19.624,05) y envió un total de 0.40571238 BTC (US $ 19,624.05). El valor actual de esta dirección es 0.00000000 BTC (US $ 0.00). “. De esta manera, podemos concluir que esta billetera, señalada en la alerta maliciosa, insertada en el sitio web de Bitcoin por ciberdelincuentes recibió U $ 19 mil y porque tiene un saldo actual cero, lo que significa que ya se deshizo de todo ese dinero.
Más abajo en la página, podemos ver la sección “Transacciones” donde en la columna de la izquierda están las entradas y en la columna de la izquierda están las salidas. En el último elemento de esta lista vemos una entrada de 0.29891466 Bitcoin (alrededor de U $ 19 mil), que se disolvió en 45 salidas para diferentes billeteras. Es decir, los ciberdelincuentes transfieren dinero a varias carteras diferentes para dificultar el proceso de investigación. Pero solo hazlo difícil, ya que no hay forma de realizar una transacción de Bitcoin que no genere un rastro público.
Como explicó Daniel Conquieri, director de operaciones de BitcoinTrade, en una entrevista con The Hack en noviembre del año pasado, específicamente los Bitcoins son extremadamente rastreables. Además, los corredores de criptomonedas enumeran las billeteras, identificando cuáles pertenecen al mismo propietario y bloqueando las transacciones de las billeteras que se descubrieron con dinero ilegal.
“Hay plataformas que hacen lo que llamamos lista negra o lista blanca, que son carteras que de alguna manera se identifican como carteras que intercambiaron bitcoins robados o fueron objeto de estafas. Estas carteras están bloqueadas y las principales agencias de intercambio de bitcoins del mundo no le permiten recibir dinero de billeteras robadas […] Un usuario puede abrir una billetera privada y comenzar a moverse en secreto. Sin embargo, cuando vaya a negociar en una gran corredora internacional, estas carteras se relacionarán y el corredor identificará que ese depósito provino de otra cartera, del mismo propietario…. De hecho, el mercado ha ido evolucionando en este tema de la trazabilidad ”, dijo Conquieri.
Deanonimizar las criptomonedas
Desde enero de 2009, cuando se lanzó Bitcoin (junto con todo el movimiento de criptomonedas), la policía, junto con las entidades que administran este sistema, están mapeando y analizando las carteras de criptomonedas involucradas en delitos cibernéticos y frutas. Como resultado, los investigadores forenses se están volviendo cada vez más expertos en mapear la actividad criminal en la cadena de bloques para descubrir los rastros que conducen a los perpetradores de un crimen.
Con base en esta estrategia, el FBI (por supuesto, junto con otras tecnologías únicas de investigación forense) logró identificar dónde parte de los U$5 millones pagados por Colonial Pipeline fueron a parar a los operadores de ransomware DarkSide y con ello recuperó U $ 2,3 millones.
Sin embargo, a pesar de ser bastante transparente, como podemos ver en el ejemplo del sitio web de Bitcoin, en algunos casos, el seguimiento de una gran cantidad de transacciones puede requerir profesionales y software especializados, además de potencia de procesamiento computacional.
Una empresa que realiza investigaciones forenses sobre el robo de criptomonedas es Bitquery, que tiene su sede en Nueva York, EE. UU., Pero el trabajo de computación en bruto se lleva a cabo en Finlandia, donde, según The Washington Post, los servidores procesan simultáneamente alrededor de 300 terabytes de datos extraídos de Blockchain en tiempo real.
El periódico explica que existen herramientas forenses aún más avanzadas, que pueden revelar la dirección IP del propietario e incluso si la dirección de la billetera se encontró publicada en la web oscura, lo que ayuda a identificar a los ciberdelincuentes.
Estas herramientas, que requieren una potencia de procesamiento simultánea de 300 Terabytes, pueden resultar bastante costosas. Pero para una empresa que paga $ 40 millones como rescate por los ciberdelincuentes (como fue el caso de CNA Financial), tal vez no sea tan caro.
Fuentes: The Whashington Post; Business Insider; TheHack.
