Las autoridades policiales de Calgary, ciudad ubicada en la provincia de Alberta, Canadá, continúan tras la pista de un grupo de ciberdelincuentes que lograron estafar un monto de US$ 198.000 en criptomonedas de varios cajeros automáticos (ATM) de Bitcoin en esa ciudad. Al parecer, el grupo pudo hacerse de este monto al ejecutar un total de 112 operaciones fraudulentas durante el mes de septiembre del 2018, todas dirigidas a extraer ilegalmente bitcoins de cajeros automáticos en el país.
Según reportes, la banda estaría compuesta por cuatro hombres jóvenes caucásicos, de nacionalidad canadiense. El grupo enfiló sus acciones criminales hacia el objetivo de estafar mediante operaciones de doble gasto en ATMs de Bitcoin distribuidos en siete ciudades. Datos revelados por la investigación el pasado 12 de los corrientes muestran que Calgary fue el lugar mayormente afectado.
Calgary: paisajes hermosos y ATMs de Bitcoin
Según los registros del sitio web coinatmradar.com, el número de aparatos dispensadores de Bitcoin y otras criptomonedas ubicados en Calgary y los alrededores llega a un total de 45. La mayoría de estos cajeros automáticos son bidireccionales, esto es, permiten operaciones tanto de compra como de venta de monedas digitales. Aparte de Bitcoin, entre las criptomonedas disponibles en estos ATM se encuentran Bitcoin Cash (BCH), Ether (ETH), Dash (DASH), Litecoin (LTC), Zcash (ZEC), Monero (XMR) y Dogecoin (DOGE).
Coinatmradar.com también indica que la operación de dichos dispositivos está a cargo de varias compañías, señalando como tales a Netcoins, Bitcoin Solutions, Localcoin, Bitcoiniacs y BitNational. La firma Netcoins está afincada en Vancouver y es la responsable de una red de ATMs virtuales de criptomonedas. Localcoin posee 10 ATMs de criptomonedas en Alberta, 5 de los cuales están ubicados en Calgary, estando los otros cinco instalados en Edmonton. Esta compañía cuenta con más de 140 dispositivos instalados en toda Canadá.
Por su parte, Bitcoin Solutions maneja hasta ahora cinco cajeros automáticos de monedas digitales en Calgary, y posee diez (10) aparatos desplegados en Edmonton, uno (1) en la localidad de Red Deer, uno (1) en Grande Prairie y uno (1) en Medicine Hat. De los operadores de ATM, no se ha hecho público todavía quiénes habrían salido afectados por el robo.
Bitcoins gratis, sin confirmación
Los bribones cibernéticos se tomaron diez días de septiembre de 2018 para llevar a cabo su plan, durante los cuales efectuaron unas 112 transacciones con un valor promedio estimado de US$ 1.800 cada una. Los investigadores confirmaron que los cajeros en cuestión permitían retirar criptomonedas con cero (0) confirmaciones. Esta vulnerabilidad fue entonces aprovechada por el grupo de delincuentes para proceder a efectuar las operaciones fraudulentas. Las transacciones hasta pudieron ser canceladas remotamente por los ladrones, de esta forma el dispositivo entregaba las monedas virtuales sin jamás registrar el gasto.
La operación de cajeros automáticos de Bitcoin que ejecutan transacciones con cero confirmaciones es un asunto que ha sido expuesto repetidas veces debido que representan un objetivo potencial para los ciberdelincuentes deseosos de explotar cualquier vulnerabilidad. Tal y como ha sucedido en este caso los ataques de doble gasto pueden producirse de manera consecutiva en corto tiempo, dando chance a los estafadores de poner sus manos en cantidades importantes de los activos digitales dispensados por los aparatos en cuestión.
Rapidez para el usuario, oportunidad para los malechores
Con el fin de que la transacción de venta sea más expedita y de esta ofrecer una experiencia de usuario más positiva, algunos operadores de ATM de Bitcoin hacen caso omiso de las advertencias y permiten que las transacciones sigan su curso sin que se produzca primero un mínimo de confirmaciones. Dependiendo del monto negociado y la tarifa pagada a la red para su procesamiento, las confirmaciones pueden tardarse algo de tiempo, de modo que son obviadas en primera instancia para comodidad de los clientes, a sabiendas del riesgo que ello implica.
El caso de RBF o Replace-By-Fee
Hace más o menos cinco años, el programador de Bitcoin Core, Peter Todd, propuso junto a David Harding una herramienta a la que bautizaron como “Replace-by-fee” (sustitución por comisión), conocida también como simplemente RBF, con el fin de mejorar la escalabilidad de la red Bitcoin, favoreciendo la descongestión de la misma atendiendo precisamente al tema de los eventuales cuellos de botella que se producen por los retrasos en las confirmaciones.
Mediante el uso de la herramienta Replace-by-fee se pueden sustituir transacciones que se encuentran atascadas en la red por falta de confirmación y en su lugar procesar otra que ofrezca una tarifa más atractiva para los mineros. De esta forma se alivia el cuello de botella formado por las transacciones que esperan a ser confirmadas en la red, mejorando el desempeño de la misma. Pero no todo es color de rosas con RBF.
He aquí el detalle, querido Watson
Según Igor Korsakov, un ingeniero de software ruso que participa en el equipo de la billetera BlueWallet, Replace-by-fee presenta una vulnerabilidad que puede ser aprovechada para efectuar ataques de doble gasto en casos donde el operador no permita la ocurrencia de, al menos, dos confirmaciones antes de aceptar el pago como válido. Korsakov demuestró que esto es perfectamente posible, ya que él mismo llevó a cabo la prueba, publicando luego sus resultados en Medium.
En el ejemplo, quien realiza la estafa envía una transacción a una dirección X, en la que se modifican previamente ciertos parámetros de forma que la misma sea relegada por los mineros. El atacante envía luego otra transacción con una tarifa mayor, reemplazando a la primera operación, pero con un destinatario distinto, efectuando un doble gasto y pagando nada más uno de ellos. Korsakov aclara que el truco solamente es posible si los participantes en la transacción permiten que se efectúe sin esperar un número mínimo de confirmaciones por parte de los mineros.
A pesar de la existencia de esta ventana de oportunidad, hasta ahora no existen indicios de que la vulnerabilidad detectada por Korsakov en RBF se haya empleado para efectuar transacciones fraudulentas con criptomonedas.
No culpen a Bitcoin
Peter Todd, uno de los programadores proponentes de Replace-by-fee para su uso en la red Bitcoin, empleó su cuenta de Twitter para quejarse del modo como había sido reportado el incidente de los cajeros automáticos de Calgary. Todd hizo énfasis en que la culpa no es del protocolo de Bitcoin, sino que la imprudencia de los operadores al no esperar por las confirmaciones necesarias para considerar como segura una operación era el verdadero origen del problema.
El desarrollador @peterktodd se refirió al hecho de esta forma en Twitter:
“Es poco afortunado que el artículo no haga mención de la negligencia del operador, u operadores, de los cajeros automáticos. Ellos fueron quienes aceptaron transacciones completamente inseguras, sin ninguna confirmación. Los lectores del artículo pensarán, quizás, que esta es una nueva falla de Bitcoin”.
Reddit se manifiesta en torno al tema
Los usuarios de Reddit, entusiastas de la programación y de las monedas virtuales, también expresaron sus puntos de vista sobre este particular. Algunos de ellos opinaron que la implementación de la herramienta RBF puede convertirse en un problema potencial para la red Bitcoin, pues constituye un punto de entrada para los ciberdelincuentes que aprovechan la más mínima ocasión para incursionar. Usuarios y establecimientos quedarían nuevamente expuestos a una eventualidad que ya había sido desterrada, los ataques de doble gasto.
Otro grupo de usuarios resaltó la importancia de que los comercios no acepten, bajo ninguna circunstancia, operaciones no confirmadas. Hacer tal cosa contraviene las buenas prácticas de blockchain y va en la dirección opuesta a lo que el propósito de las cadenas de bloques se refiere en cuanto a las criptomonedas. También recordaron que Lightning Network está disponible y cien por ciento operativa para quienes necesiten que sus pagos en Bitcoin se realicen de manera segura y rápida.
Menudo robo de ATM
Calgary es una de las ciudades más grandes de la provincia de Alberta, en Canadá. En 2016, esta provincia contaba con una población metropolitana cercana al millón y medio de habitantes. Un año antes, en noviembre, ocurrió en Atlanta, Estados Unidos, uno de los primeros casos de robo a ATM de Bitcoin de los que se tenga noticia. Aquélla vez los maleantes se llevaron, nada más y nada menos que, el propio cajero automático, arrancándolo del mostrador donde se encontraba. El hecho quedó registrado por las cámaras de seguridad de la tienda afectada y puede ser visto en YouTube.