Koen Maris, de la Fundación IOTA, compartirá sus conocimientos sobre el ataque con el generador de seeds (semillas) en 2018 y la cooperación con las fuerzas de seguridad internacionales que condujo a la detención y el juicio inminente del presunto autor: no te pierdas el AMA del 20 de julio en nuestro canal de YouTube.
En enero de 2018, la comunidad de IOTA se enfrentó a uno de los retos más difíciles de su historia: Más de 11 millones de dólares en MIOTAS fueron robados a los usuarios en un ejemplo flagrante de ingeniería social en fraude de seguridad. Un año después del ataque, en febrero de 2019, las autoridades internacionales anunciaron que un ciudadano holandés había sido arrestado en Oxford, Inglaterra, en relación con el caso – más de dos años después, el caso tendría su juicio hacia finales de este año, un hecho relativamente raro en el complicado mundo del cibercrimen.
Para celebrar el resultado positivo y reflexionar sobre las importantes lecciones de seguridad aprendidas tras el ataque, la Fundación IOTA organizará un AMA «Ask Me Anything» (Pregúntame lo que quieras) con Koen Maris y Robert Bryant el 20 de julio en nuestro canal de You Tube.
Como experto en ciberseguridad con funciones de CTO y de seguridad en Telecom Luxembourg, Atos y PwC, entre otras, Koen Maris ha sido miembro de la junta de asesores de la Fundación IOTA desde enero de 2018. Robert es detective inspector en la unidad de Ciberdelincuencia, Forense Digital y Dark Web en la Unidad Regional de Crimen Organizado del Sureste (SEROCU).
Para obtener un adelanto de la AMA que tendrá lugar en YouTube el 20 de julio, hablamos con Koen sobre la respuesta de la Fundación IOTA y la gestión de la crisis tras el ataque, así como la fructífera cooperación con las autoridades judiciales internacionales, incluida la Europol, que rastrearon al autor.
La detección de las monedas desaparecidas
El 19 de enero de 2018, empezaron a aparecer mensajes en el canal de Slack de IOTA de usuarios preocupados que informaban de la desaparición de monedas de sus wallets. Al multiplicarse los mensajes, la Fundación IOTA puso en marcha una investigación exhaustiva. Al profundizarlo, se identificó un factor común, ya que todos los usuarios afectados habían utilizado un generador de semillas (seeds) en un sitio web externo: iotaseed.io. Una «seed» o semilla es una combinación alfanumérica que permite a los usuarios acceder a sus wallets IOTA.
Rápidamente se vio que Iotaseed.io era en realidad un malisioso y falso generador de semillas para wallet, creado por un usuario llamado «norbertvdberg» quien persuadía a los usuarios de que generaran semillas en su sitio web.
Al proporcionar a los usuarios una cadena de 81 caracteres compuesta por letras mayúsculas y un 9, ofrecía una solución rápida y conveniente a la forma tradicional de crear semillas, la cual era un poco más tediosa. Por desgracia, estas semillas fueron recogidas por el creador de la página, entre agosto de 2017 y enero de 2018; una vez que las semillas se utilizaron para generar direcciones para almacenar tokens, el autor pudo acceder a los tokens depositados en esas direcciones.
Debido a la facilidad de uso y a la supuesta fiabilidad del sitio iotaseed.io, los usuarios no se dieron cuenta de que al generar semillas secretas a través de un sitio web, compartirían el acceso a sus carteras con un atacante, y finalmente perdieron sus tokens.
La respuesta
Una vez que la Fundación IOTA tuvo conocimiento de los hechos, incluidos los informes de la comunidad activa, implicó a las autoridades alemanas y pronto se desarrolló una colaboración internacional entre la Fundación IOTA, Europol, la Unidad Regional de Crimen Organizado del Sureste del Reino Unido (SEROCU) en cooperación con la Agencia Nacional del Crimen del Reino Unido (NCA), y la Policía Estatal de Hessen de Alemania.
Como experto en ciberseguridad de la Fundación IOTA, Koen representó a la Fundación en esta colaboración: «El trabajo inicial fue realizado por la policía de Hessen», recuerda. «Como teníamos víctimas de todo el mundo, necesitábamos una coordinación centralizada. Al cabo de un tiempo, la policía alemana se puso en contacto con la policía del Reino Unido y la Europol para acelerar la investigación. Lo hicieron porque identificaron la ubicación del autor, que parecía estar en el Reino Unido. El resto fue la rueda mágica de las fuerzas del orden».
La detención
Pasó poco más de un año entre el atentado y la detención del sospechoso: el 23 de enero se detuvo a un hombre de 36 años residente en Oxford. Según un informe de Europol, se incautaron varios ordenadores y artículos eléctricos, además de drogas y dinero en efectivo. Según Koen, el principal reto al que se enfrentan los investigadores a la hora de identificar y localizar al culpable en un caso como éste es «conseguir pruebas y evidencias sólidas. En un mundo digital, es bastante fácil borrar las pruebas. Y como se trata de una operación transfronteriza, hay que comprobarlo todo, volver a comprobarlo, para evitar cualquier error de cumplimiento»
El duro trabajo dio sus frutos, y el caso llegará a los tribunales a finales de este año. Esto representa un avance importante, ya que los ciberdelitos suelen quedar impunes. Basándose en los muchos años de experiencia de Koen en ciberseguridad, considera que esto es el resultado de un conjunto de factores: «En primer lugar, hay que identificar quién es el atacante y dónde se encuentra esa persona. Esos son ya factores determinantes porque las leyes pueden ser diferentes en cada país implicado. Si eso funciona, hay que buscar el apoyo local de las fuerzas del orden. Luego recoger pruebas, sin romper la cadena de custodia. Construir un caso, etc… Y eso es cuando hay un rastro que puede proporcionar la identificación, lo que casi siempre no es el caso. Sobre todo cuando se trata de ataques de ransomware, por ejemplo».
Mirando al futuro
Mientras esperamos el resultado del juicio, el AMA con Koen de la Fundación IOTA y Rob de SEROCU el 20 de julio será una oportunidad única para escuchar más sobre la detección, persecución y la respuesta ante el fraude, así como para bucear en la amplia experiencia de Rob y Koen relacionada con la ciberseguridad.
Mientras tanto, le preguntamos a Koen si cree que los criptoproyectos cumplen con las leyes y regulaciones nacionales al tiempo que protegen la privacidad de sus usuarios descentralizados. «Sí», responde, «a menudo confundimos privacidad y secreto. La privacidad consiste en ser vigilado o no, mientras que el secreto consiste en ocultar cosas. Si usas criptomonedas y utilizas un intercambio para pasar a monedas fiduciarias como el dólar o el euro, es posible que tengas que proporcionar tu información personal a través de los servicios de verificación de «conoce a tu cliente». Lo que al final levanta tu anonimato, aunque los intercambios deben proteger esos datos, para que tu privacidad no se vea perjudicada y tu identidad se mantenga en secreto. A menos que hagas algo malo».
Por último, y con el beneficio de la retrospectiva, le preguntamos si cambiaría algo en la forma de trabajar de las divisiones de cibercrimen en respuesta a un ataque similar si ocurriera hoy.
«No creo que haya mucho que cambiar», responde. «Debo decir que todas las agencias con las que he estado en contacto fueron muy cooperativas, con ganas de aprender y entender, y siempre ofrecieron ayuda. No me he visto envuelto en ningún incidente, ni siquiera fuera de la Fundación IOTA, en el que haya experimentado lo contrario. Probablemente bebería menos café hoy en día durante un incidente, tal vez lo haría de otra manera. Y espero tener una reunión en algún lugar de Europa cuando esto termine y beber una copa con la comunidad».
Llamada a la acción
Debido a los detalles técnicos del ataque, en este artículo sólo hemos podido rozar la superficie del caso: Para obtener más información sobre la estafa del generador de semillas, la cooperación internacional sobre el cibercrimen, la seguridad de las wallets y la evolución de la Fundación IOTA en términos de seguridad y confianza, no te pierdas el AMA de Koen y Rob el martes 20 de julio en You Tube. ¡Haz todas tus preguntas en nuestro Reddit aquí!
Mientras tanto, puedes seguir a Koen en Twitter en @Koen_Security y a SEROCU en @SouthEastROCU.
Post original: Seeds, Security, and Cybercrime
