Web Analytics
Conecta con nosotros

Noticias

Contraseña olvidada, ¿bitcoins perdidos?

Publicado el
Contraseña olvidada, ¿bitcoins perdidos?

¿Recuerdas la primera contraseña olvidada de tu vida? Vale, perdón, expresado así puede sonar absurdo ya que, si la olvidaste, ¿cómo ibas a recordarla ahora? Quiero decir que si recuerdas la primera vez que olvidaste una contraseña. Porque, claro, olvidar ahora una contraseña de un servicio online no es un problema mayor, ya que cuentas con la función de recuperación de contraseña pero, ¿qué ocurría si olvidabas la contraseña de acceso al primer servicio de correo electrónico, en el que te diste de alta allá por los noventa? No digo que sea mi caso, pero sí un ejemplo de un problema serio con una contraseña olvidada.

Por otra parte, cuando hablamos de contraseñas, tendemos a asociarlas a servicios online, olvidando que hay otros muchos campos de aplicación de las mismas, y que podemos resumir con una sola palabra: archivos. Y, claro, en este caso, en el caso de una contraseña olvidada y que era la que nos daba acceso al contenido del mismo, no dispondremos de la función de recuperación de clave que sí que nos ofrecen los servicios online. Es decir, tendremos un problema, cuya valoración cuantitativa dependerá, directamente, del valor del contenido de dicho fichero.

Ars Technica publica hoy un interesante artículo al respecto, en el que se hace eco de un caso real, en el que una contraseña olvidada, y que protegía el acceso a un archivo en formato zip, pudo haberle costado 300.000 dólares a su propietario. Y es que ese era el valor, al cambio, de los bitcoins que había guardado en el fichero comprimido.

La historia comienza en enero de 2016, cuando una persona adquiere bitcoins por valor de 10.000 dólares y, para protegerlos, los guarda en un archivo comprimido en su portátil. Un archivo comprimido que, efectivamente, protege con una contraseña. Pasa el tiempo, el valor de la cibermoneda se incrementa sustancialmente y, cuando el propietario de los bitcoins intenta recuperarlos, descubre que ha olvidado la clave con la que protegió el fichero zip.

Consciente de que la contraseña olvidada le puede salir muy, muy cara, y lejos de rendirse, esta persona busca información en Internet y encuentra un ensayo escrito por Michael Stay, experto en seguridad, publicado ahora hace alrededor de dos décadas, y en el que el experto afirma que es posible averiguar la contraseña de este tipo de ficheros. Un rayo de luz y un cable del que tirar, así que el propietario de los bitcoins, ni corto ni perezoso, se pone en contacto con Stay y le explica su situación, y el coste que puede tener para él la contraseña perdida.

Con el paso de los años, las funciones de seguridad alrededor de las contraseñas han evolucionado sustancialmente. Según Stay, las primeras implementaciones de las mismas eran poco seguras, algunas se podían descifrar prácticamente de inmediato. Con los años, sin embargo, la industria ha ido apostando por estándares más y más seguros, hasta el punto en el que, con la tecnología actual, y salvo en el caso de elegir contraseñas fácilmente deducibles, romper el cifrado de un archivo de este tipo puede ser tarea imposible.

Tras un intercambio de mensajes y la recopilación de cierta información, el propietario de los bitcoins y Stay llegaron a un acuerdo, en base al cual el experto en seguridad cobraría 100.000 dólares, de los 300.000 que valían los bitcoins al cambio en ese momento, si finalmente conseguía encontrar la contraseña olvidada. Y es que, tras hacer algunas averiguaciones, además de comprobar que su contacto era el legítimo propietario del archivo, pudo averiguar con qué aplicación se había creado el zip y, sorpresa, la implementación de la función de cifrado en la misma era «atacable».

Para conseguirlo, el trabajo se dividió en dos fases, una primera de definición del ataque y recopilación de elementos para el mismo, y una segunda en la que todo ese material sería empleado, en una plataforma compuesta por varios sistemas de computación en la nube, para intentar dar con la contraseña olvidada. Un trabajo de meses que, no obstante, supuso una tarea divertida y desafiante para Stay.

¿Y qué pasó al final con la contraseña olvidada? La suerte estuvo de parte del investigador y el propietario de los bitcoins, ya que no solo fue posible recuperarla, sino que además, gracias a la excelente planificación de Stay, pudo hacerse en un plazo bastante menor al previsto inicialmente. Algo que ambas partes agradecieron, pues a mitad del proceso el bitcoin entró en una tendencia a la baja que asustó sobremanera a los dos.

El final feliz de esta historia podría, sin duda, haber sido muy distinto. Si el dueño de los bitcoins hubiera empleado una aplicación con una mejor implementación de las funciones de cifrado, o si el archivo se hubiera creado más recientemente, es probable que la contraseña olvidada nunca hubiera podido ser recuperada (bueno, matizo ese nunca, cambiándolo por «hasta la llegada real de la computación cuántica«). Y eso es por lo que, de vez en cuando, conviene recordar lo útiles que son los gestores de contraseñas.

Si quieres conocer la historia completa de la contraseña olvidada, en este vídeo (en inglés) puedes escucharla de la boca del propio Michael Stay

 

Imagen: Santeri Viinamäki

Si me dieran una cana por cada contenido que he escrito relacionado con la tecnología... pues sí, tendría las canas que tengo. Por lo demás, música, fotografía, café, un eReader a reventar y una isla desierta. ¿Te vienes?

Lo más leído