Joe Grand, un ingeniero legendario conocido en la comunidad ciber como Kingpin, ha encontrado un nuevo reto en su vida: recuperar dinero perdido por descuidos humanos
- 9 minutos de lectura'
“He olvidado la contraseña”, dijo su amigo a Dan Reich, ingeniero eléctrico y fundador de start-ups en Nueva York. La contraseña era de una billetera con Theta, una criptomoneda. En 2018 los dos habían comprado 50.000 dólares de Theta y, a finales de 2020, tras no pasar nunca de unos céntimos, empezó a subir. En apenas tres meses los 50.000 dólares rondaban los 2,5 millones. El amigo de Reich que había olvidado la contraseña es jugador profesional de póker. Su trabajo es precisamente recordar: “Recuerda los números de matrícula de nuestros amigos del instituto. Juega al póker para ganarse la vida jugando 8 mesas a la vez y recuerda cómo docenas de jugadores diferentes juegan”, cuenta Reich en un artículo en su web.
Había un problema añadido. La cartera cripto, que es una especie de memoria USB, se autoborraba tras 16 intentos erróneos. Y llevaban una docena. Como buen ingeniero electrónico, Reich sabía que debía haber otra solución: “Los chats con nuestros amigos se estaban volviendo ridículos”, explica. “Si no podíamos encontrar una forma técnica de liberar el dinero, encontraríamos una forma química: nos iríamos por un fin de semana y lo alimentaría con alucinógenos hasta que recordara la contraseña”. La cosa iba en serio.
Al final, tras dar con un misterioso grupo secreto suizo con un laboratorio en París que no les convenció, encontró a Joe Grand. Grand es más conocido dentro de la comunidad hacker como Kingpin. Fue el miembro más joven del legendario grupo L0pht, que en 1998 compareció en el Senado con sus melenas, trajes y caras de nerds para responder a una maravillosa pregunta de un senador: “Me han informado de que en 30 minutos ustedes siete pueden hacer que internet sea inútil para todo el país”. “Correcto”, respondieron. Grand se dedica ahora a dar clases y cursos por el mundo. Pero, en el fondo, dice en conversación por videollamada con EL PAÍS desde su laboratorio en Portland (Oregón, EE UU): “Sigo siendo el hacker de 16 años al que le gusta fastidiar a gente”.
Dan Reich contó su caso a Grand en febrero de 2021. Era época de pandemia y Grand dedicó tiempo a intentar desentrañar la solución. Grand es un hacker de hardware, una categoría especial dentro de su mundo. El ataque para recuperar la información de dentro de la cartera debía ser a nivel de chip, no solo con código. En cripto el dinero solo es accesible con tu llave privada, que es lo que se conserva en estas billeteras. Sin esa llave, protegida además por una contraseña de pocas cifras en el caso de Reich, no hay nada que hacer.
Ambos acordaron grabar en un video profesional todo el proceso. La grabación fue en mayo de 2021, pero el video solo se subió a YouTube el 24 de enero. En tres semanas, llevaba la increíble cifra de más de 4 millones de visualizaciones y ahora ya va por las 4,6 millones. El video, de 32 minutos, logra explicar de maravilla la complejidad del proceso técnico de ataque y las soluciones que Grand va aportando: “Hacking no es lo que ves en las películas”, dice Grand en el video. “Es una gran montaña rusa, resolver acertijos, obligar a las computadoras y al hardware a hacer cosas que no esperaban hacer, quieres que incumplan su función de una manera que tú puedas controlar”.
Ahora Reich y Grand, junto a otros, son socios en una nueva compañía que quiere ayudar sobre todo a propietarios de cripto que han perdido acceso a su cartera. Grand no se explica el éxito increíble del video, que tuvo una versión artículo en The Verge: “Sea lo que sea, demuestra que la gente tiene problemas con las criptomonedas, no es algo fácil de usar”, dice. “Nos están avasallando con emails, cientos y cientos y cientos de mensajes”, añade. Algunos han llegado desde España y América Latina.
No todos los casos son de billeteras cripto con dinero perdido. Hay gente que ha sido estafada y busca ayuda, otros tienen algún dispositivo cifrado y no saben cómo acceder. “Pero luego hay algunos que son buenos, casos legítimos de problemas con los que podemos ayudar. Es emocionante ver este tipo de respuesta”, dice. La liberación de billeteras es especialmente interesante porque sus beneficios son un porcentaje del dinero recuperado.
Grand está en contacto desde el año pasado con uno de los casos más sonados de perdida de dinero. Aunque hay muchos más de los que podemos imaginar: un informe ampliamente citado de Chainanalysis dice que un 20% de los bitcoins en circulación no tienen dueño. Son muchos miles de millones de euros. James Howells tiró a la basura un disco duro que contenía sus claves y conservó otro igual que no las tenía. Su caso ha salido en todas partes. La BBC tiene un artículo con uno de las frases más obvias de la historia del periodismo: “Howells dice que desearía no haber tirado el disco duro”. No es difícil meterse en la cabeza de alguien que vive en una ciudad de Gales y podría tener más de 200 millones de euros y no los tiene.
El problema, según Grand, es comunitario, no técnico. Para buscar el disco duro necesita permiso para remover el vertedero. “Lleva casi 10 años tratando de aceptar este hecho”, explica Grand acerca de sus charlas con Howells. “Tengo esperanza. Creo que con los procesos justos y las personas adecuadas puede pasar. Es una buena historia porque tiró un disco duro, pero a nadie le importa. La pregunta es cómo beneficiar a la comunidad”, explica.
La empresa que ha creado Grand no es la única que ha visto una oportunidad en recuperar billeteras perdidas con millones en cripto. Hay otro problema en ese sector: no todas las personas que creen tener millones los tienen realmente. “He hablado con personas que se dedican a esto y dicen que viven en un estado constante decepción. Hay veces que te dicen que tienen dinero y luego encuentras 2 dólares. Mucha gente exagera”, dice Grand.
Este nuevo negocio de Grand no es solo un reto técnico, también vital. Con el confinamiento Grand se hizo preguntas más grandes que las que suele hacerse cuando se enfrenta a retos informáticos: “Me quemé. Perdí la energía para la ingeniería e incluso para hackear. Había estado viajando como loco y diseñando productos con jornadas de 18 horas realmente estresantes”, dice. Esos productos eran “pases” para acceder a las famosas conferencias de hackers Def Con, que son obras de arte de la ingeniería, con retos internos de electrónica, hardware, análisis de código o criptografía. La tarea daba prestigio dentro de la comunidad, pero el esfuerzo que requiere desgasta.
“Acabé preguntándome cómo es mi vida, por qué me va a recordar la gente. Todo el mundo ha hecho algo tal vez memorable y a nadie le va a importar nada de todos modos, te conviertes en una nota al pie de algo. Así que acepté mi mortalidad, creo. Llegué a la conclusión de hacer solo lo que me gusta”, explica. El hackeo de billeteras cripto llegó justo en el momento adecuado.
Con la calma del confinamiento, pudo dedicar tres meses a entender cómo atacar la cartera cripto de Dan Reich. Era de la marca Trezor, quizá la más popular. El software estaba sin actualizar, lo que Grand aprovechó para hacer el ataque. Pero no tiene muchos problemas con otros retos: “Todo es hackeable, todo”, dice. Aunque la versión vieja del software de Trezor facilitó el ataque, Grand tiene recursos para acceder a nuevas versiones, que no revela por ahora.
A Trezor, claro, no le hace ninguna gracia ser protagonista de un ataque en video que ven millones de personas. Corrieron a confirmar que ese ataque era inútil hoy, que estaba parcheado. Grand entiende su postura: “Cuando sale algo así no les gusta mucho. Y me siento mal y me encantaría ayudarles”, dice. Pero Grand tiene causas mayores: “Mi propósito es hacer que la gente piense y vea cosas que no han visto. Es como patear un poco la colmena para obtener presión y arreglar productos o aumentar la conciencia. Ser hacker es mostrar ese lado tal vez controvertido y que a la gente quizá no le gusta. La gente lo ve como magia, pero no lo es”, añade.
Grand creó una tarjeta para engañar a parquímetros de la ciudad o un mando para abrir puertas de garaje: con cada clic cambiaba el código que mandaba y al final la puerta se abría. “Prometo que nunca lo usé para nada malo”, dice.
“Soy un hacker que da igualdad de oportunidades: no soy leal a nada, cuestiono y desconfío de todo”, añade. Por ese motivo, Grand es un “minimalista tecnológico”: la tecnología es su vida, pero usa tan poca como sea estrictamente necesaria porque sabe de sus riesgos. En el teléfono móvil lo tiene solo llamadas y mapas, ni redes sociales ni email.
“Trato de compartimentar”, dice. “Y sé que estoy siendo rastreado por mi teléfono, cuando uso un teléfono inteligente. Así que hay un límite de eso, pero soy consciente de qué es la tecnología y lo que las empresas que te la están dando hacen con tus datos”, añade.
“No tengo ningún Amazon Echo o Alexa, porque sé que incluso si dicen que solo escucha cuando dices ‘hey, Alexa’ no es cierto, porque tiene que escuchar para que te oiga cuando le dices ‘hey Alexa’”, razona. Y añade: “Solo uso lo que necesito usar, y solo si tiene un propósito específico y no introduciré esas cosas en la casa a menos que tengan un propósito”.
Con su nuevo proyecto espera que la gente perciba el lado positivo del mundo hacker: “A la gente le gusta ver que hay hackers que hacen cosas buenas”, dice.
EL PAISOtras noticias de Seguridad informática
Con un código QR. Nueva estafa en WhatsApp: acceden a tu cuenta y no te la roban, sino que la usan en simultáneo
Criptomonedas. La herramienta que recomiendan los expertos para evitar ser víctima de hackeos
Máxima seguridad. Así funciona la nueva herramienta "anti-robo" de Android: bloqueos y más medidas preventivas
Más leídas de Tecnología
Proyectar confianza. Cuáles son las tres palabras que repiten las personas más seguras, según la inteligencia artificial
Como en Austin Powers. Rusia multa a Google por US$ 20.000 quintillones, más que todo el dinero que hay en el mundo
¿Qué me quiere decir? Así es el collar con IA que interpreta lo que dice tu mascota
Paso a paso. Por qué recomiendan desactivar el Meta IA de WhatsApp: cómo hacerlo