Dos organizaciones serían las responsables del robo continuado de criptomonedas en las plataformas

Según la consultora Chainalysis, los 1.700 millones de dólares esfumados acabaron en pocas manos
Carlos Schwartz
En general, mientras se critica o alaba a las criptomonedas, nadie parece llevar la cuenta del efecto que la criminalidad ha tenido sobre las plataformas dedicadas a estos fetiches digitales. Se afirma vagamente que las plataformas no son todo lo seguras que deberían, y cada tanto aparece una noticia sobre criptomonedas que se han esfumado de un mercado. Han desaparecido unidades hasta de ofertas iniciales de “monedas digitales”. A las plataformas no les interesa mucho hacer ruido al respecto porque su negocio es la minería de criptomonedas para su colocación luego, a través de las redes apropiadas, entre el público. Pero sólo dos operaciones de robo representan más de la mitad de todo lo desaparecido de las plataformas. 
A la japonesa Coincheck le robaron de su sistema 535 millones de dólares en enero de 2018, mientras que a Mt.Gox de Tokio le sustrajeron en 2014 el equivalente a 460 millones de dólares en bitcoin. Esta última operación está valorada a precios de entonces, porque la cantidad de bitcoin que involucró llegó a representar 3.000 millones de dólares en los momentos de mejor cotización de la criptomoneda. Mt.Gox quebró y es historia pasada, pero eso no quita que el incidente siga como un duro recordatorio de que la seguridad de las plataformas en el mercado de las criptomonedas están expuestas no sólo a las fuertes oscilaciones del precio de los ingenios digitales, sino además a la actividad de los hackers. 

La idea del público en general es que se trata de sujetos aislados, operando desde un inexpugnable refugio digital, aunque ocasionalmente algún representante de ese club selecto caiga en manos de la justicia. Una investigación de la consultora Chainalysis ha roto con el mito, o al menos lo pretende. De acuerdo con el informe de los investigadores de Chainalysis, la secuela de desfalcos conocidos conduce en última instancia a dos grupos que la empresa ha denominado Alfa y Beta. La investigación se ha basado en rastreo de los movimientos de las criptomonedas tras su obtención ilegal, un esfuerzo arduo que no permite además identificar de manera definitiva a los grupos que han operado, pero si determinar que son grupos que operan de forma coordinada y no son atacantes aislados.

No todos los robos son de la magnitud registrada por Mt.Gox o Coincheck. En junio del año pasado en Corea del Sur saltaron las alarmas tras un robo en una plataforma de poca relevancia, pero tras ese incidente una de las más populares plataformas de Asia, Bithumb de Corea del Sur, percibió sucesivos intentos de entrar a su sistema en un intento de probar contraseñas de manera reiterada al estilo de un ciberataque. En prevención de que pudieran estar en presencia de un ataque en desarrollo la plataforma dejó off line una parte de sus reservas de criptomonedas para hacerlas invisibles a los atacantes. Pese a ello antes de finales de junio la empresa había perdido a manos de los hackers 30 millones de dólares de los cuales recuperó una parte. La pérdida final registrada fue de 17 millones de dólares. 

El ritmo creciente de los ataques pone de relieve la vulnerabilidad de las criptomonedas de un lado, y de las plataformas que los generan y operan con ellos, de la otra. Muchos ataques se han centrado en plataformas de Asia, uno de los puntos calientes en la negociación con criptomonedas.

Cuatro de los siete ataques registrados hasta julio del año pasado fueron en la región y tuvieron un importe combinado de 800 millones de dólares. Chainalysis dice que ha logrado conectar la mayor parte de las transacciones investigadas a los grupos Alfa y Beta. Define al primero como “una organización gigante que al menos en parte está impulsada por objetivos no monetarios”, según el informe de la consultora. El otro grupo es más pequeño y menos organizado “un núcleo fuertemente controlado, que se centra exclusivamente en el dinero” de acuerdo con la consultora. Según se dice  en el informe de la investigación, ambos grupos utilizaron una red muy grande de monederos digitales para ocultar su rastro, y más tarde procedieron a cambiar las criptomonedas por dinero físico a través de plataformas on line y transacciones personales. Los saldos robados fueron transferidos una media de 5.000 veces antes de convertirlos en efectivo. En cuanto a hábitos, Alfa acostumbra mover de forma ininterrumpida sus saldos tan pronto como dispone de ellos.Una de las operaciones rastreadas involucró 15.000 transacciones.

El grupo Beta, por su parte, puede sentarse sobre los fondos robados hasta 18 meses o más, a la espera que la publicidad sobre el incidente se evapore. “Cuando se sienten seguros para transformar las criptomonedas en dinero, recurren a una sola plataforma y en pocos días convierten el 50% de su saldo vivo”, señala el informe. De acuerdo con uno de los investigadores, a veces las organizaciones utilizan un mercado regulado, dotado de controles para el lavado de dinero, pero que tras la sucesión de operaciones previas han hecho imposible que se detecte el origen de los fondos.  

El trabajo de rastreo de los fondos robados ha permitido, en principio, determinar que no hay lobos solitarios entre los grandes ladrones de criptomonedas, sino grupos organizados que tiene cada uno su forma específica de operar y sienta las bases para las medidas de prevención y de recuperación que puedan actuar sobre la operativa de los grupos difundidos. La investigación no identifica a ninguno de los dos grupos más allá del nombre supuesto que les ha adjudicado. 

El año pasado un grupo de investigadores determinó que algunos ataques se habían hecho mediante 'malware' como el utilizado para atacar Sonny Pictures Entertainment mediante una operación desarrollada desde Corea del Norte. El virus utilizado era el WannaCry lo que ratificó que los atacantes operaban desde Pyongyang. La empresa de ciberseguridad estadounidense, Recorded Future, dijo el año pasado que detrás de la acción de los 'hackers' en algunos de los ataques estaba el grupo Lazarus, considerado por esta empresa afín al Gobierno de Pyongyang.