Joe Grand: “Así ‘viaja en el tiempo’ para recuperar una contraseña y 3 millones de euros en bitcoin” | Tecnología

Joe Grand: “Así ‘viaja en el tiempo’ para recuperar una contraseña y 3 millones de euros en bitcoin” | Tecnología

El alemán Michael compró uno de bitcoins en 2013 y lo guardó en una tarjeta digital con contraseña. Se utiliza para crear un generador de código llamado Roboform y almacenarlo en un archivo de texto cifrado. Poco después ese archivo con la contraseña se corrompió y lo perdió para siempre: “En ese momento pensó ok, perdón, uno de dos mil euros… bueno, ya has aprendido más”, dice Michael, que utiliza un nombre ficticio. para proteger su identidad. Pero con los años. El precio del bitcoin se ha hecho cargo. En 2024 su tarjeta tenía un valor de 3 millones de euros. “Tengo esta suerte, puedo verla pero no puedo usarla porque no tengo la contraseña”, dice.

La única forma en que ocurrió el evento para recuperarla fue recurrir a uno pirata informático el legendario Joe Grand, conocido como Kingpin. Grandes han recuperado otras contraindicaciones en procesos laboriosos y complejos y habían quedado registradas en vídeos de YouTube. Cuando Michael le escribió, Grand le dijo que olvidaría su respuesta: “Todas las combinaciones posibles son más de 100 mil millones de veces la ingesta de agua en todo el mundo. Puede ser un sueño que está en el cielo, que está en un río o en cualquier océano del mundo. La única solución es reducir esa cantidad insuperable de algo con lo que podemos tener éxito”, explica Grand. Y recibió la petición de Michael, cuya única esperanza era vincular la tarjeta a su hijo para que una tecnología más avanzada pudiera abrirla.

El principal trabajo de Grand es definir cómo hackear dispositivos en empresas y organizaciones: “Tenemos un dispositivo electrónico, lo analizamos, comprobamos cómo funciona, identificamos los principales componentes que podemos probar, monitorizamos señales y buscamos vulnerabilidades”, explica en vídeo. conferencia en EL PAÍS. Por otro lado, se dedica a ayudar a personas como Michael que perdieron sus insignias o destruyeron sus dispositivos digitales con criptomonedas. Recibes muchos mensajes cada semana: “Ahora me ocupa una cantidad significativa de tiempo, no esperaba la cantidad de mensajes que recibes”, dice.

Dos de tus últimos éxitos, según la historia, son revivir la tarjeta de un tipo que la arrojó a un lago en Florida y tener que contactar con un equipo de buzos para recuperarla (“no sé por qué la arrojó”) o conocer el objetivo de un joven que, tras su muerte, le dijo a su hermano que creería que el club tendría algo que llevaba el nombre de su abuela. En ese caso, cuando el interesado tiene una idea de la contraseña, es posible realizar una búsqueda por fuerza bruta, probando millones de variables una al lado de otra. Pero no es lo mismo cuando son trillones.

El hacker Joe Grand, con el gorro amarillo, charla con su colega Bruno en las calles de Frankfurt.

Michael insistió y Grand, en colaboración con Bruno, un joven pirata informático Especializado en software, descubrí un detalle interesante sobre cómo había logrado cambiar diferentes versiones de Roboform durante mucho tiempo. Para la nueva versión de 2015, la empresa escribió esta novedad: “Aumentar la aleatoriedad de los contratos generados”. ¿Significa esto que antes, por ejemplo en 2013, cuando Michael creó su contraseña, las contraseñas no eran realmente aleatorias?

Aquí es donde imagino que podría tener una opción para recuperar el dinero: “Crear números aleatorios es muy difícil. Si logramos manipular esta aleatoriedad, podremos generar un resultado predecible que nos ayudará a conocer la contraseña de Michael”, explica Grand en el vídeo de este caso, que ha recogido más de 820.000 visualizaciones. Antes de encontrar el código Roboform, cómo se generan las contraseñas. Esta función no es accesible y, para proporcionarla, también utilizó una herramienta de la Agencia de Seguridad Nacional de EE UU (la famosa NSA), llamada Hydra: “Es como las muñecas rusas. El objetivo es encontrar lo que está en el centro, lo pequeño”, dice Grand.

Después de muchas horas de esfuerzo para entender cómo Roboform generó las marcas, verás que puedes crear lo mismo dos veces. Habían descubrió que la aleatoriedad dependía del tiempo: “Podemos activar el sistema y viajar nuevamente en 2013 para generar las contraseñas en el período de tiempo en el que creemos que Michael generó su contraseña”, dice Grand. Las palabras que creaste Roboform dependen del momento en que lo creaste: “Ahora sí empezaba la partida de veradad”, añade Grand. De antemano, Michael debería registrar el día alrededor de 2013 en el que se generaron el contrato y los parámetros precisos (número de caracteres, números en minúsculas, palabras mayúsculas, términos especiales).

Pero primero, en realidad, lo que Grand y Bruno habían descubierto era una enorme vulnerabilidad en Roboform. Las personas que utilizaron contratos aleatorios con Roboform antes de 2015 son víctimas potenciales: “Era la primera vez que hacía un proyecto como este. Fue ingenioso a diferencia de otras veces, pero básicamente recrear todas las contracciones posibles que se podrían haber generado con un generador era algo nuevo y no sabía que fuera posible. También es extremadamente problemático para cualquiera que haya utilizado este software”, afirma Grand.

la revista cableado Me comuniqué con Roboform, quien no me explicó cómo resolví el problema. También hizo un anuncio a todos sus clientes: “Este es un tema más importante para mí que encontrar el contrato de una persona para recuperar sus bitcoins”, dice Grand. “Esas contraseñas (defectuosas) pueden proteger cuentas bancarias, médicos históricos, porque es un software que se vende. A veces los proveedores fueron muy apreciados y solucionaron los problemas, pero otras veces se comportan como si no hubiera pasado ningún problema. Es posible que las versiones futuras también sean sensibles, sólo que de una manera ligeramente diferente, porque nunca se comparte cómo solucionar el problema”, añade.

Quizás pienses que nadie puede dedicar tantas horas a resolver un problema como éste como Grand y Bruno. Más aún cuando tienen el incentivo de gastar un porcentaje de los bitcoins que ayudan a recuperar. Pero para Grand esto es extremadamente improbable: “Si Bruno y yo hemos descubierto este problema, estoy seguro de que alguien más también lo ha descubierto. Cuando era joven, cuando estaba en un colectivo de hackers, él siempre decía que éramos simplemente un tipo de jugador que jugaba. Imagínese si es una agencia pública, un adversario o un Estado, lo más probable es que esté aprobando de alguna manera, incluso podría ser el gobierno de EE UU”, afirma.

El éxito no fue fácil

Pero de momento Grand y Bruno debían ayudar a Michael. A continuación se muestran algunos datos de la primavera de 2013 y algunos parámetros: 20 dígitos y letras minúsculas, muchas palabras y caracteres especiales. Pruebe los millones de indicadores que Roboform creó en esa ventana y no funciona. Nada estaba bien. Empezaron los nervios: “(Michael) estaba Mosqueando con nosotros”, dice Grand. «Pero al final su memoria fue una incomprensión. Probemos con otro conjunto de parámetros y funciones”, también.

Michael pasó unos días en Barcelona en octubre de 2023 y les ganó a Grand y Bruno un cheque enorme por valor de “1,6 millones de dólares” porque ese era el valor de su bitcoin. Cuando publicó el vídeo en YouTube, en junio de 2024, se multiplicó por dos.

Los vídeos sobre el Gran Canal no son sólo para presumir sus habilidades técnicas: “Hackear muchas veces parece magia, pero en realidad tiene un proceso pobre. Si tienes lo necesario, puedes quitar el control de los sistemas, y eso es algo que me encanta. Me gusta compartir esto con personas que puedan revisar el código y decir: “¡Oh, solo esto!”. Simplemente mueva algunas cosas y ejecute este código, y todo desaparecerá”.

Aunque obtiene dinero, Grand no hace estos proyectos para ganar dinero, dice: “Me mantiene en la mente pirata informático ocupado y vacío y me interesa trabajar en proyectos interesantes porque cada caso es un poco diferente. Ahora estoy jugando con un billeter que nunca he visto, así que tengo que explorarlo, entenderlo, hacer algunos experimentos y luego intentar hackearlo. También hay otro proyecto en proceso que es muy interesante desde el punto de vista del desafío y de los problemas, esto es importante”, afirma.

A pesar de este saludable objetivo para su responsable técnico, Grand también envía un mensaje a la industria: el software no es infalible y menos está en manos de humanos. “Tengo 935 contratos, algunos creados antes de 2015”, afirma. “Si yo me dedico a esto, sin compensación, sin obligación, ¿qué pasará con el resto de la gente? Por eso es muy importante que las empresas se den cuenta de los problemas cuando surgen”.

El éxito de encontrarse con este tipo de señales la llevó a recibir muchos mensajes de personas que se lo preguntaban. En estos casos poco se puede hacer. “Nunca recibo demasiado dinero para el siguiente, porque así es como trabajan los estafadores”, dice. Uno de sus problemas son las páginas que las cubren: “Ahora mi principal objetivo es encontrar una que lleve mi nombre y la extensión ‘.es’, de España”, afirma.

puedes seguir EL PAÍS Tecnología él Haga clic en Me gusta Y incógnita o escribe aquí para recibirnos boletín semanal.


By Francis Gonzalez

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

You May Also Like