BTC
$0.00
0.00%
Nunca pensé que una noche normal se convertiría en una historia de espionaje que luego se haría famosa en todo el mundo. Una historia muy extraña, pero al mismo tiempo muy simple, que primero tuve que contar a los empleados del servicio de seguridad de la empresa y ahora a ustedes.
Además, no es difícil imaginar lo que habría pasado si mi software, al pasar la autenticación, hubiera obtenido inesperadamente acceso a las claves de monederos criptográficos de todo el mundo, al igual que a los robots aspiradores. No solo habría podido ver los datos, sino también controlar los fondos ajenos que pertenecían a desconocidos de todo el mundo. Pero les contaré todo por orden.
Estaba sentado en mi habitación intentando dominar el control de mi nuevo robot aspirador DJI Romo, que combina tecnología de drones (LiDAR, visión binocular) y función de videovigilancia. En pocas palabras: quería jugar un poco, en lugar de limpiar. Y cuando encendí mi aspiradora, aparecieron ante mí los datos de otro dispositivo. Y luego otro, y otro. Y al cabo de unos minutos ya veía 6700 robots de todo el mundo, cada uno con su número de serie, dirección IP, estado de la batería e incluso un mapa de las habitaciones. Es decir, al mismo tiempo, tenía acceso a miles de hogares ajenos y a sus cámaras.
En un momento dado, me convertí en un observador invisible en cientos de apartamentos de Asia, Europa, Norteamérica, etc.
Aunque no hackeé estos robots a propósito, mi clave de autenticación fue reconocida por el servidor DJI como una clave universal. Ahora imagina que, en lugar de robots aspiradores, este sistema tuviera cuentas y monederos criptográficos, cada uno con cientos o cientos de miles de dólares en diferentes monedas digitales.
Me horrorizó imaginar lo poco que se tardaría en transferir cientos de millones a un destino desconocido, ya que los delincuentes podrían enviar rápidamente ether, bitcoins u otros tokens a direcciones ajenas. Sin embargo, afortunadamente, se trataba solo de un escenario hipotético. En realidad, me encontré con millones de imágenes de interiores domésticos y rutas de desplazamiento de aspiradoras, y no con claves de cuentas de criptomonedas.
Desactivé inmediatamente mi aplicación, devolví los accesos a DJI y escribí a la empresa sobre la vulnerabilidad. Casi me tachan de delincuente, aunque, en realidad, solo estaba intentando limpiar la habitación con la ayuda del dispositivo.
Sin embargo, parece que la empresa aprendió la lección, ya que, cuando se trata de datos privados o activos digitales, un solo error puede costar mucho más de lo que puedas imaginar.
Después de la historia con Romo, pensé que había puesto punto final a esta extraña historia. Sí, es esa historia tan sonada en la que intenté dominar el control de mi nuevo robot DJI Romo, que combina la tecnología de los drones y la función de videovigilancia, y hackeé dispositivos robóticos en todo el mundo. Pero la verdadera intriga comenzó más tarde, cuando un analista de Chainalysis que conozco me llamó por teléfono y me preguntó si estaba seguro de que mi caso era una casualidad. Cabe señalar que anteriormente nos habíamos encontrado en conferencias sobre seguridad digital en San Francisco y Las Vegas, donde hablamos sobre phishing, métodos y técnicas de hackeo, y carteras criptográficas ya hackeadas.
Me contó que sus sistemas habían detectado una actividad extraña: intentos sincronizados de acceder a varios miles de monederos criptográficos que tenían una cosa en común: el uso de servicios externos con autenticación centralizada. Además, no había rastros visibles de un hackeo directo. Solo un eslabón débil entre el usuario y el servidor. Acepté contar todo lo que sabía al respecto y la ya conocida historia de cómo hackeé accidentalmente 6700 dispositivos.
Nos reunimos en persona. Sobre la mesa había un ordenador portátil con listas de transacciones, marcas de tiempo y clústeres de IP. Parte de las rutas conducían a la infraestructura que anteriormente se asociaba con Lazarus Group, un grupo conocido por sus ataques a criptobolsas y proyectos DeFi. No había pruebas directas. Pero las coincidencias eran demasiado interesantes.
Me di cuenta de que si la vulnerabilidad de Romo no afectara a los robots aspiradores, sino a los monederos criptográficos, el escenario sería catastrófico: el sistema registraría el movimiento de fondos. Además, las claves privadas se perderían irremediablemente. Cabe destacar que los usuarios habrían culpado a las bolsas, a los fabricantes y a los desarrolladores de software. Pero la verdadera causa eran los errores en la arquitectura de acceso.
No dimos publicidad a nuestras acciones posteriores. En su lugar, transmití las conclusiones técnicas al equipo de seguridad y, en pocos días, apareció un parche. Me informaron por carta de que los especialistas ya estaban probando el siguiente sistema de seguridad para impedir la aparición del fenómeno denominado «llave universal».
En el mundo digital, los delitos rara vez comienzan con un robo. La mayoría de las veces comienzan con una solución conveniente que funciona «demasiado bien para todas las cerraduras». Y a veces todo puede comenzar con el encendido del controlador de una aspiradora común. Así es, recientemente me sucedió a mí.
