¡°As¨ª ¡®viaj¨¦ en el tiempo¡¯ para recuperar una contrase?a y 3 millones de euros en bitcoin¡±

El alem¨¢n Michael compr¨® unos bitcoin en 2013 y los guard¨® en una cartera digital con una contrase?a. Us¨® para crearla un generador de contrase?as llamado Roboform y la guard¨® en un archivo cifrado de texto. Poco despu¨¦s aquel archivo con la contrase?a se corrompi¨® y la perdi¨® para siempre: ¡°En aquel momento pens¨¦ ok, mierda, unos dos mil euros... bueno, te enfadas sin m¨¢s¡±, dice Michael, que usa un nombre ficticio para proteger su identidad. Pero con los a?os. el precio de bitcoin empez¨® a subir. En 2024 su cartera ten¨ªa un valor de unos 3 millones de euros. ¡°Tengo esta fortuna, puedo verla pero no puedo usarla porque no tengo la contrase?a¡±, dec¨ªa.

El ¨²nico modo que se le ocurri¨® para recuperarla fue recurrir a un hacker legendario, Joe Grand, conocido como Kingpin. Grand hab¨ªa recuperado otras contrase?as en procesos laboriosos y complejos y los hab¨ªa contado en v¨ªdeos de YouTube. Cuando Michael le escribi¨®, Grand le dijo que se olvidara de su riqueza: ¡°Todas las combinaciones posibles son m¨¢s de 100 billones de veces las gotas de agua en todo el mundo. Puede ser una gota que cae del cielo, que est¨¢ en un r¨ªo o en cualquier oc¨¦ano del mundo. La ¨²nica soluci¨®n es reducir esa cantidad insuperable a algo con lo que podamos tener ¨¦xito¡±, explica Grand. Y rechaz¨® la petici¨®n de Michael, cuya ¨²nica esperanza era legar la cartera a su hijo para que un d¨ªa tecnolog¨ªa m¨¢s avanzada fuera capaz de abrirla.

El trabajo principal de Grand es dar clases de c¨®mo hackear dispositivos en empresas y organizaciones: ¡°Tomo un dispositivo electr¨®nico, lo analizo, averiguo c¨®mo funciona, identifico los componentes principales que podemos aprovechar, monitorizo se?ales y busco vulnerabilidades¡±, explica por videoconferencia a EL PA?S. Aparte, se dedica a ayudar a gente como Michael que ha perdido sus contrase?as o ha estropeado sus dispositivos digitales con criptomonedas. Recibe muchos correos cada semana: ¡°Ahora ocupa una cantidad significativa de mi tiempo, no esperaba la cantidad de mensajes que recibo¡±, dice.

Dos de sus ¨¦xitos recientes, seg¨²n cuenta, son revivir la cartera de un tipo que la lanz¨® a un lago en Florida y tuvo que contratar a un equipo de submarinistas para recuperarla (¡°no s¨¦ a¨²n por qu¨¦ la tir¨®¡±) o encontrar la contrase?a de un joven que, en su lecho de muerte, le dijo a su hermano que cre¨ªa que la clave ten¨ªa algo que ver con el nombre de su abuela. En casos as¨ª, cuando el afectado tiene una idea de la contrase?a, es posible buscarla a fuerza bruta, probando millones de variables cercanas una tras otra. Pero no es lo mismo cuando son trillones.

Michael insisti¨® y Grand, en colaboraci¨®n con Bruno, un joven hacker especializado en software, descubrieron un detalle intrigante en c¨®mo hab¨ªan ido cambiando las distintas versiones de Roboform a lo largo de los a?os. Para la nueva versi¨®n de 2015, la empresa escribi¨® esta novedad: ¡°Aumenta la aleatoriedad de las contrase?as generadas¡±. ?Significaba eso que antes, por ejemplo en 2013, cuando Michael cre¨® su contrase?a, las contrase?as no eran realmente aleatorias?

Aqu¨ª es donde empezaron a imaginar que pod¨ªa haber una opci¨®n de recuperar el dinero: ¡°Crear n¨²meros aleatorios es muy dif¨ªcil. Si podemos manipular esa aleatoriedad, podremos generar un resultado predecible que nos sirva para encontrar la contrase?a de Michael¡±, explica Grand en el v¨ªdeo de este caso, que lleva m¨¢s de 820.000 visualizaciones. Antes deb¨ªan encontrar en el c¨®digo de Roboform c¨®mo generaba las contrase?as. Esa funci¨®n no es accesible y, para dar con ella, usaron incluso una herramienta de la Agencia de Seguridad Nacional de EE UU (la c¨¦lebre NSA), llamada Hydra: ¡°Es como las mu?ecas rusas. El objetivo es encontrar la que hay en el centro, la peque?a¡±, dice Grand.

Tras muchas horas de dedicaci¨®n para entender c¨®mo Roboform generaba las contrase?as, vieron que pod¨ªan crear la misma dos veces. Hab¨ªan descubierto que la aleatoriedad depend¨ªa del tiempo: ¡°Pod¨ªamos enga?ar al sistema y viajar de nuevo a 2013 para que generara las contrase?as en la ventana de tiempo en la que cre¨ªamos que Michael hab¨ªa generado su contrase?a¡±, dice Grand. Las contrase?as que creaba Roboform depend¨ªan del momento en que eran creadas: ¡°Ahora s¨ª empezaba la partida de verdad¡±, a?ade Grand. Antes, sin embargo, Michael deb¨ªa recordar el d¨ªa aproximado de 2013 en que hab¨ªa generado la contrase?a y los par¨¢metros precisos (n¨²mero de caracteres, min¨²sculas, may¨²sculas, teclas especiales).

Pero antes, en realidad, lo que hab¨ªan descubierto Grand y Bruno era una enorme vulnerabilidad en Roboform. La gente que us¨® contrase?as aleatorias antes de 2015 con Roboform son v¨ªctimas potenciales: ¡°Era la primera vez que hac¨ªa un proyecto as¨ª. He hecho ingenier¨ªa inversa otras veces, pero recrear b¨¢sicamente todas las contrase?as posibles que podr¨ªan haberse generado con un generador fue algo nuevo y ni siquiera sab¨ªa que era posible. Tambi¨¦n es extremadamente problem¨¢tico para cualquiera que haya usado ese software¡±, dice Grand.

La revista Wired contact¨® con Roboform, que no dio detalles sobre c¨®mo hab¨ªan arreglado el problema. Tampoco hab¨ªan advertido a todos sus clientes: ¡°Esto es para m¨ª un tema m¨¢s importante que encontrar la contrase?a de una persona para recuperar sus bitcoin¡±, dice Grand. ¡°Esas contrase?as [defectuosas] pueden proteger cuentas bancarias, historiales m¨¦dicos, porque es un software que se vende. A veces, los proveedores son muy agradecidos y arreglan los problemas, pero otras veces act¨²an como si nada hubiera pasado. Es posible que futuras versiones tambi¨¦n sean susceptibles, solo que de una manera ligeramente diferente, porque nunca compartieron c¨®mo solucionaron el problema¡±, a?ade.

Es posible pensar que nadie m¨¢s vaya a dedicar tantas horas a resolver un problema as¨ª, como Grand y Bruno. M¨¢s cuando ellos ten¨ªan el incentivo de quedarse con un porcentaje de los bitcoin que ayudan a recuperar. Pero para Grand eso es extremadamente improbable: ¡°Si Bruno y yo descubrimos este problema, seguro que alguien m¨¢s tambi¨¦n lo ha descubierto. Desde joven, cuando estaba en colectivos hacker, siempre he dicho que somos solo unos tipos jugando. Imagina si se trata de una agencia p¨²blica, un adversario o alg¨²n estado, lo m¨¢s probable es que lo est¨¦n aprovechando de alguna manera, incluso podr¨ªa ser el gobierno de EE UU¡±, dice.

El ¨¦xito no fue f¨¢cil

Pero de momento Grand y Bruno deb¨ªan ayudar a Michael. Les dio unas fechas de la primavera de 2013 y unos par¨¢metros: 20 d¨ªgitos y min¨²sculas, may¨²sculas y caracteres especiales. Probaron los millones de contrase?as que Roboform cre¨® en esa ventana y no funcionaron. Algo no era correcto. Empezaron los nervios: ¡°[Michael] se estaba mosqueando con nosotros¡±, dice Grand. ¡°Pero al final su memoria se equivocaba. Probamos con otro conjunto de par¨¢metros y funcion¨®¡±, a?ade.

Michael pasaba unos d¨ªas en Barcelona en oto?o de 2023 y all¨ª fueron Grand y Bruno con un cheque enorme donde pon¨ªa ¡°1,6 millones de d¨®lares¡± porque era el valor entonces de sus bitcoin. Cuando publicaron el v¨ªdeo en YouTube, en junio de 2024, se hab¨ªa multiplicado por dos.

Los v¨ªdeos en el canal de Grand no son solo para presumir de sus dotes t¨¦cnicas: ¡°Hackear muchas veces parece magia, pero en realidad hay un proceso detr¨¢s. Si haces lo que debes, puedes tomar el control de los sistemas, y eso es algo que me encanta. Me gusta poder compartir eso con la gente, que puedan revisar el c¨®digo y decir: ¡®?Oh, solo es eso! Solo es mover algunas cosas y ejecutar este c¨®digo, y pasa todo esto¡¯.¡±

Aunque gana dinero, Grand no hace estos proyectos para hacerse rico, dice: ¡°Me mantiene la mente de hacker ocupada y despierta y me interesa trabajar en proyectos interesantes porque cada caso es un poco diferente. Ahora mismo estoy con una billetera que nunca hab¨ªa visto, as¨ª que me toca explorarla, entenderla, hacer algunos experimentos y luego intentar hackearla. Tambi¨¦n hay otro proyecto en proceso que es muy interesante desde el punto de vista del desaf¨ªo y del rompecabezas, eso es importante¡±, dice.

A pesar de este objetivo sano para su cabeza t¨¦cnica, Grand tambi¨¦n lanza un mensaje a la industria: el software no es infalible y menos en manos de humanos. ¡°Yo tengo 935 contrase?as, algunas creadas antes de 2015¡å, dice. ¡°Si yo que me dedico a esto no las renuevo si no me obligan, ?qu¨¦ har¨¢ el resto de gente? Por eso es tan importante que las compa?¨ªas cuenten sus problemas cuando surgen¡±.

El ¨¦xito de Grand encontrando este tipo de contrase?as le ha llevado a recibir muchos mensajes de gente que ha sido estafada. En esos casos hay poco que hacer. ¡°Yo nunca pido dinero por adelantado, porque ese el modo de trabajar de los estafadores¡±, dice. Uno de sus problemas son las p¨¢ginas que le suplantan: ¡°Ahora mismo nuestro principal objetivo es tumbar una que lleva mi nombre y la extensi¨®n ¡®.es¡¯, de Espa?a¡±, dice.

Puedes seguir a EL PA?S Tecnolog¨ªa en Facebook y X o apuntarte aqu¨ª para recibir nuestra newsletter semanal.