Unos investigadores lograron crackear una vieja contraseña de un monedero cripto. El premio: tres millones de dólares
A Joe Grand, más conocido como “Kingpin”, se le da bien crackear dispositivos protegidos por contraseñas imposibles. Lo hizo en 2022 con un monedero cripto de Trezor, y gracias a ello recuperó los dos millones de dólares de su propietario. Ahora ha vuelto a hacerlo en otra loca historia de hackers capaces de lo que parecía imposible.
Joe, no puedo acceder a mi monedero cripto. Hace dos años, “Michael” (pseudónimo para proteger su identidad) contactó con Joe Grand pidiéndole ayuda. Había perdido acceso a un monedero cripto en el que tenía bitcoins valorados en unos dos millones de dólares. Joe declinó la propuesta.
Una contraseña de hace 11 años. Michael había generado la contraseña de su monedero hace 11 años mediante RoboForm, un veterano gestor de contraseñas. Luego guardó esa contraseña en un fichero cifrado con la herramienta TrueCrypt, pero en algún momento ese fichero se corrompió y Michael perdió acceso a la contraseña de 20 caracteres y, por tanto, a su monedero cripto. En él tenía 43,6 BTC que le costaron unos 4.000 euros en 2013. Ahora su valor es de más de 2,7 millones de euros, unos tres millones de dólares.
“Kingpin” acabó aceptando el reto. Grand, ingeniero eléctrico, se ha hecho con una reputación excepcional a la hora de hackear contraseñas. Ahora trabaja como consultor con empresas que le contratan para que otros hackers malintencionados no puedan romper sus protecciones hardware. El problema aquí es que el monedero cripto de Michael estaba basado en una aplicación software, y no en hardware. Tras consultar con algunos expertos, todos le dijeron que era imposible acceder a eso dinero, pero esta vez Grand decidió intentarlo.
Este generador de números aleatorios tiene truco. Grand colaboró con un amigo suyo llamado Bruno, también hacker especializado en monederos digitales. Invirtieron meses en hacer ingeniería inversa a la versión de RoboForm utilizada por Michael, y lograron descubrir algo importante: el generador de números aleatorios que usaba esa aplcación no era tan aleatorio. Usaba la fecha y hora del ordenador del usuario para generar esos números, y por tanto generaba contraseñas predecibles.
Pero Michael no recordaba la fecha. Saber en qué rango de fechas en 2013 generó la contraseña o algunos parámetros de la misma (cuántos caracteres usó, si usó mayúsculas, minúsculas, dígitos y/o símbolos) era crucial para lograr hackear la contraseña. Sin embargo, Michael no recordaba la fecha exacta. Lo que acabaron haciendo Grand y Bruno fue hacer pruebas con distintos rangos de fechas próximos a la del primer movimiento de bitcoin de Michael, que fue el 14 de abril de 2013.
Al final, acertaron. Grand y Bruno acabaron pidiéndole reunirse para darle la buena noticia: habían logrado desvelar la contraseña. La había generado el 15 de mayo de 2013, a las 4:10:40 PM GMT, y tenía 20 caracteres, pero no caracteres especiales. Como apuntaba Grand en Wired, “al final tuvimos suerte de que nuestros parámetros y el intervalo de tiempo fueran correctos. Si cualquiera de ellos hubiera sido incorrecto, habríamos… seguido haciendo conjeturas y tirando a ciegas. Habríamos tardado mucho más tiempo en precalcular todas las contraseñas posibles”.
Resulta que perder la contraseña fue lo mejor. Como explicaba Michael, casi tuvo suerte de perder la contraseña de su monedero cripto, porque si la hubiera tenido habría vendido los bitcoins cuando alcanzaron los 40.000 dólares. Habría perdido una pequeña fortuna, porque hoy su precio ronda los 68.000 dólares, así que como dice él “que perdiera la contraseña fue algo bueno financieramente”.