En el DefCam de este año, Alexandru Andrei ha demostrado cómo se puede realizar
el robo utilizando lo que se conoce como brainwallet.
Detalle de la demostración
- Esta consiste en utilizar una passphrase y crear un hash utilizándola, que pasará a convertirse posteriormente en una clave privada y para terminar en una dirección Bitcoin, es decir, en un monedero. Esto significa que la misma passphrase genera la misma clave privada y el mismo monedero.
- Las cadenas de caracteres comunes y que se generan utilizando el passphrase pueden llegar a ser un problema para los usuarios, ya que alguien que pueda obetener la misma cadena puede llegar a generar la misma cuenta que ya se encuentra en uso. Es decir, que varios usuarios consigan acceso a la misma cuenta sin que el propietario original de esta lo sepa.
- El investigador a realizado el proceso con 26 GB de contraseñas que ha obtenido de páginas web donde se han expuesto después de ser robadas. Esto no quiere decir que sean todas pertenecientes a servicios Bitcoins, sino que podemos encontrar en el listado contraseñas de Facebook, Twitter o de Gmail. Lo que se quiere demostrar es lo que sucedería si se aplica el proceso anteriormente descrito a estos 26 GB y cuántas cuentas activas estarían afectadas.
- El resultado obtenido ha sido
bastante concluyente y demuestra una vez más que los usuarios no se
conciencian sobre la utilización de contraseñas seguras y que no estén
siendo utilizadas en otros servicios. De este modo, el 60% de las contraseñas robadas
corresponden con alguna brainwallet que ya ha sido generada. Dentro del
anterior porcentaje, el 20% corresponde a monederos de Bitcoins que aún se
utilizan, por lo tanto, poseen una cantidad bastante importante de
criptomonedas.
- El investigador destaca que el
método no es ninguna novedad, pero sí que es bastante llamativo que
después de tanto tiempo aún siga funcionando.