“Así ‘hackeé’ una cartera de criptomonedas con 2 millones de dólares. Ahora quiero convertirlo en un trabajo”
Jordi Perez Colome
El Pais
“He olvidado la contraseña”, dijo su amigo a Dan Reich, ingeniero eléctrico y fundador de start-ups en Nueva York. La contraseña era de una cartera con Theta, una criptomoneda. En 2018 los dos habían comprado 50.000 dólares de Theta y, a finales de 2020, tras no pasar nunca de unos céntimos, empezó a subir. En apenas tres meses los 50.000 dólares rondaban los 2,5 millones. El amigo de Reich que había olvidado la contraseña es jugador profesional de póker. Su trabajo es precisamente recordar: “Recuerda los números de matrícula de nuestros amigos del instituto. Juega al póker para ganarse la vida jugando 8 mesas a la vez y recuerda cómo docenas de jugadores diferentes juegan”, cuenta Reich en un artículo en su web.
Había un problema añadido. La cartera cripto, que es una especie de memoria USB, se autoborraba tras 16 intentos erróneos. Y llevaban una docena. Como buen ingeniero electrónico, Reich sabía que debía haber otra solución: “Los chats con nuestros amigos se estaban volviendo ridículos”, explica. “Si no podíamos encontrar una forma técnica de liberar el dinero, encontraríamos una forma química: nos iríamos por un fin de semana y lo alimentaría con alucinógenos hasta que recordara la contraseña”. La cosa iba en serio.
Al final, tras dar con un misterioso grupo secreto suizo con un laboratorio en París que no les convenció, encontró a Joe Grand. Grand es más conocido dentro de la comunidad hacker como Kingpin. Fue el miembro más joven del legendario grupo L0pht, que en 1998 compareció en el Senado con sus melenas, trajes y caras de nerds para responder a una maravillosa pregunta de un senador: “Me han informado de que en 30 minutos ustedes siete pueden hacer que internet sea inútil para todo el país”. “Correcto”, respondieron. Grand se dedica ahora a dar clases y cursos por el mundo. Pero, en el fondo, dice en conversación por videollamada con EL PAÍS desde su laboratorio en Portland (Oregón, EE UU): ”Sigo siendo el hacker de 16 años al que le gusta fastidiar a gente”.
Dan Reich contó su caso a Grand en febrero de 2021. Era época de pandemia y Grand dedicó tiempo a intentar desentrañar la solución. Grand es un hacker de hardware, una categoría especial dentro de su mundo. El ataque para recuperar la información de dentro de la cartera debía ser a nivel de chip, no solo con código. En cripto el dinero solo es accesible con tu llave privada, que es lo que se conserva en estas carteras. Sin esa llave, protegida además por una contraseña de pocas cifras en el caso de Reich, no hay nada que hacer.
Ambos acordaron grabar en un vídeo profesional todo el proceso. La grabación fue en mayo de 2021, pero el vídeo solo se subió a YouTube el 24 de enero. En tres semanas, llevaba la increíble cifra de más de 4 millones de visualizaciones y ahora ya va por las 4,6 millones. El vídeo, de 32 minutos, logra explicar de maravilla la complejidad del proceso técnico de ataque y las soluciones que Grand va aportando: “Hacking no es lo que ves en las películas”, dice Grand en el vídeo. “Es una gran montaña rusa, resolver acertijos, obligar a las computadoras y al hardware a hacer cosas que no esperaban hacer, quieres que incumplan su función de una manera que tú puedas controlar”.
Ahora Reich y Grand, junto a otros, son socios en una nueva compañía que quiere ayudar sobre todo a propietarios de cripto que han perdido acceso a su cartera. Grand no se explica el éxito increíble del vídeo, que tuvo una versión artículo en The Verge: “Sea lo que sea, demuestra que la gente tiene problemas con las criptomonedas, no es algo fácil de usar”, dice. ”Nos están avasallando con emails, cientos y cientos y cientos de mensajes”, añade. Algunos han llegado desde España y América Latina.
No todos los casos son de carteras cripto con dinero perdido. Hay gente que ha sido estafada y busca ayuda, otros tienen algún dispositivo cifrado y no saben cómo acceder. “Pero luego hay algunos que son buenos, casos legítimos de problemas con los que podemos ayudar. Es emocionante ver este tipo de respuesta”, dice. La liberación de carteras es especialmente interesante porque sus beneficios son un porcentaje del dinero recuperado.
Grand está en contacto desde el año pasado con uno de los casos más sonados de perdida de dinero. Aunque hay muchos más de los que podemos imaginar: un informe ampliamente citado de Chainanalysis dice que un 20% de los bitcoins en circulación no tienen dueño. Son muchos miles de millones de euros. James Howells tiró a la basura un disco duro que contenía sus claves y conservó otro igual que no las tenía. Su caso ha salido en todas partes. La BBC tiene un artículo con uno de las frases más obvias de la historia del periodismo: “Howells dice que desearía no haber tirado el disco duro”. No es difícil meterse en la cabeza de alguien que vive en una ciudad de Gales y podría tener más de 200 millones de euros y no los tiene.
El problema, según Grand, es comunitario, no técnico. Para buscar el disco duro necesita permiso para remover el vertedero. “Lleva casi 10 años tratando de aceptar este hecho”, explica Grand acerca de sus charlas con Howells. “Tengo esperanza. Creo que con los procesos justos y las personas adecuadas puede pasar. Es una buena historia porque tiró un disco duro, pero a nadie le importa. La pregunta es cómo beneficiar a la comunidad”, explica.
La empresa que ha creado Grand no es la única que ha visto un filón en recuperar carteras perdidas con millones en cripto. Hay otro problema en ese sector: no todas las personas que creen tener millones los tienen realmente. “He hablado con personas que se dedican a esto y dicen que viven en un estado constante decepción. Hay veces que te dicen que tienen dinero y luego encuentras 2 dólares. Mucha gente exagera”, dice Grand.
Este nuevo negocio de Grand no es solo un reto técnico, también vital. Con el confinamiento Grand se hizo preguntas más grandes que las que suele hacerse cuando se enfrenta a retos informáticos: “Me quemé. Perdí la energía para la ingeniería e incluso para hackear. Había estado viajando como loco y diseñando productos con jornadas de 18 horas realmente estresantes”, dice. Esos productos eran “pases” para acceder a las famosas conferencias de hackers Def Con, que son obras de arte de la ingeniería, con retos internos de electrónica, hardware, análisis de código o criptografía. La tarea daba prestigio dentro de la comunidad, pero el esfuerzo que requiere desgasta.
“Acabé preguntándome cómo es mi vida, por qué me va a recordar la gente. Todo el mundo ha hecho algo tal vez memorable y a nadie le va a importar nada de todos modos, te conviertes en una nota al pie de algo. Así que acepté mi mortalidad, creo. Llegué a la conclusión de hacer solo lo que me gusta”, explica. El hackeo de carteras cripto llegó justo en el momento adecuado.
Con la calma del confinamiento, pudo dedicar tres meses a entender cómo atacar la cartera cripto de Dan Reich. Era de la marca Trezor, quizá la más popular. El software estaba sin actualizar, lo que Grand aprovechó para hacer el ataque. Pero no tiene muchos problemas con otros retos: “Todo es hackeable, todo”, dice. Aunque la versión vieja del software de Trezor facilitó el ataque, Grand tiene recursos para acceder a nuevas versiones, que no revela por ahora.
A Trezor, claro, no le hace ninguna gracia ser protagonista de un ataque en vídeo que ven millones de personas. Corrieron a confirmar que ese ataque era inútil hoy, que estaba parcheado. Grand entiende su postura: “Cuando sale algo así no les gusta mucho. Y me siento mal y me encantaría ayudarles”, dice. Pero Grand tiene causas mayores: “Mi propósito es hacer que la gente piense y vea cosas que no han visto. Es como patear un poco la colmena para obtener presión y arreglar productos o aumentar la conciencia. Ser hacker es mostrar ese lado tal vez controvertido y que a la gente quizá no le gusta. La gente lo ve como magia, pero no lo es”, añade.
Grand creó una tarjeta para engañar a parquímetros de la ciudad o un mando para abrir puertas de garaje: con cada clic cambiaba el código que mandaba y al final la puerta se abría. “Prometo que nunca lo usé para nada malo”, dice.
“Soy un hacker que da igualdad de oportunidades: no soy leal a nada y cuestiono desconfío de todo”, añade. Por ese motivo, Grand es un “minimalista tecnológico”: la tecnología es su vida, pero usa tan poca como sea estrictamente necesaria porque sabe de sus riesgos. En el móvil lo tiene solo llamadas y mapas, ni redes sociales ni email.
“Trato de compartimentar”, dice. “Y sé que estoy siendo rastreado por mi teléfono, cuando uso un teléfono inteligente. Así que hay un límite de eso, pero soy consciente de qué es la tecnología y lo que las empresas que te la están dando hacen con tus datos”, añade.
“No tengo ningún Amazon Echo o Alexa, porque sé que incluso si dicen que solo escucha cuando dices ’hey, Alexa’ no es cierto, porque tiene que escuchar para que te oiga cuando le dices ‘hey Alexa’”, razona. Y añade: “Solo uso lo que necesito usar, y solo si tiene un propósito específico y no introduciré esas cosas en la casa a menos que tengan un propósito”.
Con su nuevo proyecto espera que la gente perciba el lado positivo del mundo hacker: “A la gente le gusta ver que hay hackers que hacen cosas buenas”, dice.