Si pensabas que anotar tus contraseñas en un Post-it pegado al monitor era una mala práctica de seguridad, esperá a leer esto porque lo que acaba de pasar en Corea del Sur entra directamente al salón de la fama de los facepalms tecnológicos más caros de la historia.
Resulta que las autoridades fiscales de Corea del Sur, en un intento de mostrar su eficiencia persiguiendo a evasores de impuestos de alto perfil, terminaron perdiendo más de 4.8 millones de dólares en criptomonedas. ¿La razón? Publicaron una foto de prensa donde se veía, clara y legible, la frase de recuperación de la billetera incautada. Sí, así como lo leés.
La foto más cara de la historia
La historia es digna de una comedia de enredos, pero con consecuencias financieras reales. El Servicio Nacional de Impuestos de Corea del Sur había realizado una redada exitosa, incautando activos por valor de millones, incluyendo una billetera de hardware (una cold wallet) que controlaba unos 4 millones de tokens Pre-Retogeum (PRTG).
Para alardear del éxito del operativo y asustar a otros “delincuentes habituales”, decidieron enviar un comunicado de prensa. El problema fue que incluyeron una fotografía de la billetera física (probablemente un Ledger o similar) y, justo al lado, un papel manuscrito con la frase mnemotécnica de recuperación (la famosa seed phrase).
Para los que no están metidos en el mundo crypto, te lo explico simple: tener la billetera física (el aparatito USB) no sirve de mucho si no tenés el PIN. Pero tener la frase de recuperación es tener la llave maestra. Con esas palabras, cualquiera puede clonar el acceso en otro dispositivo desde cualquier lugar del mundo y mover los fondos. Es literalmente como publicar una foto de tu tarjeta de crédito de ambos lados en Twitter.
Drenado en tiempo récord
Como se imaginarán, Internet no perdona y es mucho más rápida que la burocracia estatal. Apenas la foto se hizo pública, alguien se dio cuenta del error garrafal.
Según los reportes, un oportunista actuó casi al instante. El análisis de la blockchain muestra que el “ladrón” primero depositó un poco de Ethereum (ETH) en la dirección para pagar las tarifas de gas (el costo de transacción de la red) y procedió a vaciar la cuenta en cuatro transacciones rápidas. Se llevaron los 4 millones de tokens PRTG a otra billetera privada.
Las autoridades retiraron la imagen del comunicado eventualmente, pero el daño ya estaba hecho. En el mundo digital, una vez que algo está online, es eterno; y en el mundo crypto, una vez que se ejecuta una transacción, es irreversible.
La falta de educación tecnológica en el gobierno
Lo más preocupante de esto es que demuestra una falta total de comprensión sobre cómo funciona la tecnología que están intentando regular e incautar. Los investigadores creyeron que, al tener el dispositivo físico bajo custodia, los fondos estaban seguros. No entendieron que el dispositivo es solo una llave y que el papelito que fotografiaron era la copia de seguridad de esa llave.
Y ojo, que no es la primera vez que les pasa. Hace poco, la Agencia Nacional de Policía de Corea se dio cuenta de que les faltaban unos 22 Bitcoins (valuados en 1.5 millones de dólares) que habían sido incautados años atrás. ¿Por qué? Porque nunca transfirieron los fondos a una billetera controlada por el estado; simplemente guardaron el dispositivo físico incautado, y alguien más movió los fondos remotamente.
Esto nos deja una lección importante sobre la OpSec (seguridad operacional): nunca, bajo ninguna circunstancia, le saques fotos a tus frases de recuperación. Y si sos un organismo gubernamental incautando millones, por favor, contratá a alguien que entienda lo básico de blockchain antes de mandar la gacetilla de prensa.
Fuentes:
