Hace dos años, “Michael”, un propietario de criptomonedas, contactó a Joe Grand para ayudarle a recuperar el acceso a más de tres millones de dólares en bitcoins almacenados en su computadora en formato cifrado. Grand, un famoso hacker de hardware, inicialmente rechazó la solicitud.
Michael, quien reside en Europa y pidió permanecer en el anonimato, almacenó su criptomoneda en una billetera digital protegida por contraseña. Utilizó el gestor de contraseñas RoboForm para generar una contraseña de 20 caracteres, que luego cifró utilizando la herramienta TrueCrypt. Sin embargo, el archivo se corrompió, y Michael perdió acceso a la contraseña, dejando inaccesibles sus 43.6 BTC, que en 2013 valían unos 5 300 dólares, relata Ars Technica.
Grand es un ingeniero eléctrico que comenzó a hackear hardware a los 10 años y copresentó el programa “Prototype This” en Discovery Channel en 2008. En 2022, ayudó a otro propietario de criptomonedas a recuperar unos dos millones de dólares tras olvidar el PIN de su billetera Trezor. Desde entonces, muchas personas han contactado a Grand para recuperar sus fondos, pero él rechaza la mayoría de las solicitudes.
El caso de Michael presentaba un desafío distinto, ya que su criptomoneda estaba en una billetera basada en software, lo que significaba que las habilidades de hardware de Grand no serían útiles. Aunque consideró la posibilidad de forzar la contraseña, determinó que no era viable. Pensó que el gestor de contraseñas RoboForm podría tener una falla en la generación de contraseñas, lo que facilitaría adivinarla, pero dudaba que existiera tal falla.
Michael contactó a varios expertos en criptografía, todos los cuales le dijeron que era imposible recuperar su dinero. Sin embargo, en junio pasado, volvió a acercarse a Grand, quien esta vez accedió a intentarlo, trabajando con su amigo Bruno en Alemania, también experto en hackeo de billeteras digitales.
Grand y Bruno pasaron meses analizando la versión del programa RoboForm que Michael había usado en 2013 y descubrieron que el generador de números pseudoaleatorios de esa versión tenía un fallo significativo. Este generador vinculaba las contraseñas aleatorias a la fecha y hora del ordenador del usuario, haciéndolas predecibles. Si se conocían estos parámetros, se podían calcular las contraseñas generadas en una fecha y hora específicas.
El problema era que Michael no recordaba cuándo había creado la contraseña. Según el registro de su billetera de software, movió bitcoins a su billetera por primera vez el 14 de abril de 2013, pero no recordaba si había generado la contraseña ese día o antes o después. Revisando otros parámetros de contraseñas generadas con RoboForm, Grand y Bruno configuraron el programa para generar contraseñas de 20 caracteres con letras mayúsculas y minúsculas, números y ocho caracteres especiales desde el 1 de marzo hasta el 20 de abril de 2013. No tuvieron éxito. Extendiéndolo hasta el 1 de junio, tampoco tuvieron suerte.
Finalmente, ajustaron los parámetros tras encontrar otras contraseñas de Michael de 2013 que no incluían caracteres especiales. En noviembre pasado, informaron a Michael que habían encontrado la contraseña correcta, generada el 15 de mayo de 2013 a las 4:10:40 p.m. GMT.
“Nosotros tuvimos suerte de que nuestros parámetros y el rango de tiempo fueran correctos. Si cualquiera de estos hubiera estado mal, habríamos seguido haciendo conjeturas a ciegas”, dijo Grand a WIRED.
RoboForm, creado por Siber Systems, es uno de los primeros gestores de contraseñas del mercado y actualmente cuenta con más de 6 millones de usuarios. En 2015, Siber corrigió el problema en la versión 7.9.14 de RoboForm, lanzada el 10 de junio de 2015. Aunque no especificaron cómo, mencionaron que hicieron cambios para “aumentar la aleatoriedad de las contraseñas generadas”.
Grand aún desconfía de la seguridad de las contraseñas generadas con versiones anteriores a 2015 y sugiere que los usuarios cambien las contraseñas creadas antes de esa fecha. El noviembre pasado, Grand y Bruno dedujeron un porcentaje de bitcoins de la cuenta de Michael por su trabajo y le dieron la contraseña para acceder al resto. Michael, quien esperó a que el valor del bitcoin subiera, ahora tiene 30 BTC valorados en tres millones de dólares.
Curiosamente, Michael considera que perder la contraseña fue algo bueno, ya que le permitió vender los bitcoins a un valor mucho mayor del que habrían tenido hace unos años.
