¡Buenas, malditas y malditos! No sabemos si en abril vendrán aguas mil, pero lo que no fallará, sea abril o julio, es el consultorio semanal de Maldita Tecnología, en el que tratamos de responder a las dudas que nos hacéis llegar sobre el ámbito digital. Hoy os hablamos de cómo dar validez a una captura de pantalla si lo necesitamos para una denuncia, de ćomo se ha producido el mayor robo de criptomonedas hasta el momento y cómo mejorar nuestra privacidad según el sistema operativo que usemos.
Si tenéis más preguntas sobre los entresijos del mundo tecnológico, ya sabéis que estamos aquí para responder a esas cuestiones. Recordad que podéis hacerlo mediante este formulario, mandando un correo a [email protected], con un mensaje a nuestro Facebook, a nuestro Twitter o a nuestro chatbot de WhatsApp (+34 644 229 319).
El hackeo a la plataforma Axie Infinity: ¿Qué ha pasado? ¿Cómo funciona? ¿Cómo afecta a los usuarios? ¿Se pueden recuperar las criptomonedas?
Una de las características sobre las que más se ha hecho hincapié alrededor del mundo de las criptomonedas, los NFT y el blockchain es su descentralización. Es decir, que no se depende de un único actor central (como un banco o una autoridad financiera) sino que son diversos servidores los que gestionan todo. En los últimos días hemos conocido el robo de más de 600 millones de dólares en criptomonedas en una blockchain asociada al juego NFT Axie Infinity, el que supone la mayor sustracción ilícita de criptomonedas hasta el momento. Pero, si se supone que hablamos de una infraestructura descentralizada, en la que no existe algo así como una caja fuerte que atracar, ¿cómo se ha podido llevar a cabo?
Lo primero que tenemos que recordar es cómo funcionan los intercambios de criptomonedas. Tal y como os explicamos en este artículo sobre cómo funciona el bitcoin, en cada transacción tiene que ser validada y confirmada su autenticidad, un proceso que certifican los llamados ‘mineros’, una red compuesta por numerosos ordenadores que trabajan para verificar este proceso resolviendo cálculos matemáticos.
La cantidad de ordenadores que trabajan en cada blockchain varía mucho: todo depende del número de usuarios que la usen, por lo que no es lo mismo la capacidad de la cadena de bloques detrás del bitcoin que la que puede existir en otra moneda minoritaria. Porque sí, recordamos que existen muchas criptomonedas diferentes y muchas redes de blockchain que le dan soporte a cada una.
Vamos por pasos con el caso de Axie Infinity, un popular juego en el que se compran y venden NFT con criptomonedas. Hay que dejar claro que no se ha hackeado la plataforma en sí, sino a una blockchain que le proporciona la infraestructura necesaria para hacer transacciones con criptomonedas, llamada Ronin. Esta es una de las blockchain que permiten operar con estas divisas digitales y que autorizan las transacciones a través de nodos de validación. ¿Qué es un nodo y qué es lo que valida en este caso? Un nodo es algo así como un punto de paso para los datos: en ellos se juntan varios canales de información que vienen de distintos lugares.
“Los nodos son la base de blockchain, porque es en ellos donde se almacena la información”, detalla a Maldita.es Marelisa Blanco, abogada especializada en propiedad intelectual en NoLegalTech. “Piensa en ellos como mini servidores: un nodo puede ser cualquier cosa, desde ordenadores o servidores, y la cuestión es que entre todos estos nodos se hace una red y se van intercambiando entre ellos información de tal forma que estén todos actualizados y contengan una copia entera de las transacciones en blockchain”, prosigue.
Las blockchain están compuestas por muchos nodos que pueden hacer más cosas que simplemente guardar información: “Pueden ser, como en el caso de Axie Infinity, ‘validadores’ de firmas”. ¡Ah, los nodos de validación, ya encaja! A través de estos nodos, por tanto, se puede también autorizar la transferencia de criptomonedas de un monedero virtual (o wallet, en inglés) a otro. Estas cadenas de bloques tienen tantos nodos porque así se aseguran de que sea más difícil vulnerarlos de alguna manera.
“Se intenta tener los nodos de manera descentralizada para evitar posibles ataques”, continúa Blanco, teniendo en cuenta que son “vitales” para el correcto funcionamiento de las blockchain y también de la seguridad de las transacciones.
Son estos nodos, en este caso los de la blockchain de Ronin, los que se vieron afectados en el ataque. “El problema que tienen es que están formados por código fuente que les permite realizar funciones y, como todo código, pueden tener vulnerabilidades o puertas traseras'', señala Blanco. De igual manera que las tienen las aplicaciones que usamos en nuestro móvil o nuestro ordenador.
Es el caso de Axie Infinity y Ronin, que ha protagonizado titulares y noticias por la envergadura del ataque: en 2021, la brecha ocurrió porque se dio acceso a algunos de estos nodos a un desarrollador llamado Sky Mavies para que pudiese también validar alguna de las transacciones. A pesar de que estuvieron apenas un mes con este proceso, al terminar ese permiso no se revocó. Digamos que de alguna manera ese acceso a los nodos permaneció abierto. Los atacantes, entonces, vulneraron el sistema de Sky Mavies y consiguieron las claves para realizar y autorizar nuevas operaciones.
Un momento. Se supone que las blockchain y las transacciones con criptomonedas son operaciones descentralizadas, es decir, que no vale con atacar un solo objetivo sino que habría que ir a por varios a la vez y por eso sería más seguro, ¿no? ¿Cómo se ha conseguido sustraer tantísimo dinero en criptoactivos, en ese caso?
Nos lo explica Blanco: precisamente porque la blockchain es una red descentralizada, se intentan tener estos nodos de validación o ‘validadores’ repartidos como si fueran varias llaves que pueden abrir o cerrar una puerta. Autorizar o denegar una transacción. “En concreto, tenían nueve validadores que verificaban los depósitos o las retiradas, y para que estas se aceptaran, cinco nodos tenían que verificar la transacción. Estos son los que obtuvieron los atacantes”, explica la también especialista en gestión de criptoactivos.
Esto significa que el atacante que robó estos más de 600 millones de dólares fue capaz de hacerse con el control de la mayoría de validadores de las transacciones para ‘autorizarse’ a sí mismo la transacción y extraer las criptomonedas de la blockchain del juego NFT para llevárselas. Con esto llegamos al final del ataque, que consiste en redireccionar a su wallet todos los fondos contenidos en la cadena de bloques. Ronin asegura en su página web que los activos siguen ahí, es decir, que el atacante que se los transfirió a su monedero no los ha movido.
Por último, la otra pregunta del millón: ¿es posible recuperar el dinero? Debido al enfoque anónimo con el que se concibió esta tecnología, las carteras de criptomonedas no recogen datos personales como nombre o apellidos que puedan ser rastreables, sino que son un conjunto de letras y números aleatorios. Esto, por supuesto, dificulta la trazabilidad de la persona sustrajo estos activos.
La empresa detrás de esta cadena de bloques y del juego NFT, Sky Mavis, afirmó al medio estadounidense The Verge que están “trabajando con agentes de policía, criptógrafos forenses e inversores para asegurarse de que no se pierden los ahorros de los usuarios”, pero a día de publicación de este artículo, no se ha conseguido recuperar nada de lo robado.
Marelisa Blanco añade que en este caso, primero tendrían que encontrar al dueño de la wallet y abrir un proceso judicial contra él, además de restaurar a las víctimas. Según Bloomberg, el propietario de Sky Mavies ha asegurado que devolverán los más de 600 millones de dólares a los usuarios afectados.
¿Hay alguna forma de dar validez a una captura de pantalla de un correo electrónico o de una página web por si lo necesitamos más adelante? Por ejemplo, en una denuncia.
Para denunciar situaciones que nos ocurren en Internet también hay que aportar pruebas y, a veces, una simple captura de pantalla o guardar un enlace no es suficiente. A la hora de guardar la evidencia de que hemos enviado un correo electrónico o que el contenido de la web que hemos visitado es uno u otro, lo que solemos hacer es capturar la pantalla. En el caso de querer usarla como una prueba legal, puede que no sea válida ya que una imagen, al fin y al cabo, puede ser modificada. ¿Cómo podemos asegurarnos que las copias que hacemos guarden esa validez?
La clave está en la figura del ‘testigo online’. Como explica la Oficina de Seguridad del Internauta, dependiente del INCIBE, sirve para verificar la autenticidad del envío de un correo (su contenido, los destinatarios y los archivos adjuntos, así como la fecha y hora), el contenido de una página web en un determinado momento o una publicación en una red social.
Este testigo online no es más que un actor intermediario que certifica este tipo de contenidos para otorgarle la validez que, por ejemplo, no tiene una captura de pantalla que podamos hacer nosotros en un momento determinado. Nos puede servir para certificar contenidos que queramos denunciar por abusos, mensajes u otro tipo de formatos. Por ejemplo, transacciones y procesos que queramos certificar para realizar una denuncia ante la Policía o la Agencia Española de Protección de Datos.
¿Cómo funciona este proceso y cómo lo podemos usar? Existen diversas empresas que se dedican a esta cuestión, cada una con sus características y sus tarifas según el uso que le podamos dar. Desde la OSI ponen el ejemplo de eGarante digital, que en su versión gratuita nos permite certificar correos electrónicos y el contenido de páginas web.
Si queremos que quede constancia del envío de un email, lo que tenemos que hacer es poner en copia (CC) la dirección [email protected], que al cabo de unos minutos nos responderá con un documento PDF en el que aparezcan todos los detalles de la comunicación y el contenido del correo en otro archivo. Este correo también le llegará al destinatario de nuestro email.
En el PDF adjunto aparecerá firmado por eGarante que esa comunicación se ha producido, así como los términos en los que lo ha hecho. Eso sí, tal y como indican al final del correo electrónico, salvo que seamos usuarios de planes de pago, los datos no habrán sido “grabados en un fichero para tratamiento, puesto que toda la información ha sido borrada”. Por eso, recomiendan guardar el justificante en PDF para certificar esta comunicación.
Si lo que queremos es certificar un contenido que aparece en una página web o en una red social y que luego puede ser modificado o incluso eliminado, y queremos asegurarnos de que esto tenga validez, el procedimiento es similar al anterior. Para ello, redactamos un nuevo correo electrónico dirigido a [email protected], y en el cuerpo del mensaje escribimos el enlace de la página que queremos guardar con validez. El sistema nos devolverá el certificado con el contenido de la página y la fecha y hora de la captura.
De esta forma, si queremos denunciar alguna situación que pueda llegar a considerarse un delito, podemos presentar pruebas en el proceso de denuncia que contengan cierta validez y despejen las posibles dudas sobre una manipulación manual del contenido con el uso de testigos online, como eGarante. Otros que también recomienda la OSI son Safe Stamper o Evicertia.
¿Cómo podemos mejorar nuestra privacidad en sistemas operativos de escritorio?
En Maldita.es siempre hacemos hincapié en la importancia de nuestra privacidad y de utilizar aplicaciones que sean respetuosas con ella. Por ejemplo, tenemos un repositorio en el que recopilamos herramientas y programas de software libre y código abierto como alternativa a las de las grandes empresas, que normalmente obtienen beneficio gracias a recopilar nuestros datos. Y también os hemos dado trucos para ajustar las preferencias de aplicaciones para evitar que consulten más información de la necesaria para prestar el servicio o que lleguen a ser un coladero de malware.
Otro aspecto importante a la hora de cuidar nuestros datos personales en nuestra vida digital es el configurar con tacto el sistema operativo que usamos. Hablamos de Windows, macOS o GNU/Linux, los sistemas operativos que dan vida y que son el motor de nuestros ordenadores. ¿Qué medidas podemos tomar para mejorar nuestra privacidad al usarlos?
Esta pregunta nos llega a raíz de la noticia de que Microsoft ya no permite usar Windows 11 sin vincular una cuenta propia de la empresa, es decir, sin crearnos una cuenta específica en Microsoft. Esto implica que ya no hay posibilidad de usar este sistema operativo sin tener que crear un nuevo perfil que nos vincule a ella y nos identifique ante la empresa, a diferencia de cómo funcionaba antes. Si quieres utilizar Windows 11, sí o sí tendrás que crear una cuenta con ellos.
Esto es algo que en cierta medida también hace Apple: para usar macOS (su sistema operativo), no obliga a asociar un una cuenta que nos identifica (llamada ID) de la compañía al usuario del ordenador, pero sí que lo hace si queremos instalar aplicaciones desde la App Store.
“Microsoft ofrece unas opciones en la configuración de privacidad o durante la instalación del sistema operativo para limitar la telemetría [un conjunto de técnicas para realizar mediciones de datos] que se envía y el uso de la misma, pero todas las explicaciones que dan sobre estos ajustes son increíblemente ambiguas”, comenta Carlos Fernández, desarrollador de software y maldito que nos ha prestado sus superpoderes.
“Los procesos automáticos que corren de fondo se comunican continuamente con los servidores de Microsoft, y la información que transmiten solo la saben ellos”, apunta José A. Gutiérrez, otro maldito experto en seguridad informática, programación y sistemas operativos que también nos presta sus superpoderes. Añade que “se puede desactivar que se envíe la información de diagnóstico personalizada, datos de escritura a mano y dictado por voz, servicios de ubicación o programas de mejora de experiencia del cliente, pero nunca desactivar todo por completo”.
Para ajustar este envío de datos, lo podemos hacer desde el menú de Configuración de Windows 10, en el apartado de Privacidad. Ahí, nos aparecerán todas las opciones que tenemos, como desactivar la personalización de anuncios, la información que recoge Windows sobre nuestro uso o la ubicación.
Ambos especialistas advierten de que existen numerosos programas que prometen eliminar este rastreo, “pero lo más probable es que sean virus o troyanos más que aplicaciones legítimas, que pueden conseguir justo lo contrario a lo propuesto”.
En el caso de macOS, el sistema operativo presente en los ordenadores de Apple, los ajustes para reducir la telemetría o el rastreo son menores. “La empresa deja crear usuarios sin vincularlos a cuentas de Apple”, explica Gutiérrez.
No obstante, este experto indica que “en las últimas versiones del sistema operativo, un investigador alemán, Jeffrey Paul, ha descubierto lo que parece ser un seguimiento exhaustivo por parte de Apple, a lo que la compañía ha explicado que se trata de ‘un sistema de seguridad’ para evitar que se ejecuten malwares en el ordenador”.
Para elegir qué datos se comparten con Apple, en el menú de Ajustes del sistema encontramos una pestaña llamada Seguridad y privacidad, y en el apartado de Privacidad podemos seleccionar si queremos enviar nuestros datos de uso a Apple, a los desarrolladores de aplicaciones, o sobre el uso que hacemos de las funciones de iCloud.
Si usamos algún sistema operativo basado en GNU/Linux, como Debian, Ubuntu o Fedora, lo habitual es que o bien no contengan ningún tipo de telemetría incorporada o, si lo hacen, sea fácilmente desactivable por completo. “Por ejemplo, la distribución GNU/Linux más famosa, Ubuntu, contiene telemetría de base, aunque una fracción de lo que tiene Windows, además de ser muy explícita y puede ser eliminada por el usuario”, comenta Fernández. “Se activa durante la instalación y sólo almacena datos de hardware, zona horaria, etc., y se supone que ayuda a los desarrolladores a centrarse en las configuraciones más típicas o más problemáticas”, añade Gutiérrez.
Los dos expertos coinciden en la idea de que si queremos optar por un sistema operativo que “sepamos que no nos rastrea ni abusa de nuestra privacidad, GNU/Linux es la opción más recomendable de las tres”. “La razón es sencilla: en Linux es posible ver cómo está hecho el sistema al tratarse de software libre, mientras que en macOS y Windows tenemos que hacer ingeniería inversa para tratar de deducir cómo funciona”, explica J. A. Gutiérrez. Al ser sistemas operativos que no publican su código, también tenemos que guiarnos por lo que afirman en sus documentos legales sobre la privacidad en ellos.
Si somos usuarios avanzados, tanto Gutiérrez como Fernández recomiendan usar herramientas como Pi-hole para monitorizar nuestra red y bloquear la telemetría o los anuncios (la que utilizamos para conocer la información que enviaban los sticks de televisión a los servidores de las empresas).
Eso sí, siempre hay que tener en cuenta que proteger nuestra privacidad en la red depende de muchos puntos, y el de los sistemas operativos es uno. Pero luego quedan las aplicaciones que usemos en ellos que no pueden ser tan respetuosas con nuestra privacidad. En nuestro repositorio de alternativas digitales para nuestro día a día os hemos recomendado algunas para evitar depender de las grandes empresas que recopilan nuestros datos.
Y antes de iros...
No somos técnicos o ingenieros pero contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Tampoco podemos deciros qué servicio usar o dejar de usar, solo os informamos para que luego decidáis cuál queréis usar y cómo. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.
Si tenéis cualquier duda sobre esta información o cualquier otra relacionada con la manera de la que te relacionas con todo lo digital, háznosla llegar:
En este artículo han colaborado con sus superpoderes los malditos José A. Gutiérrez, experto en seguridad informática, programación y sistemas operativos, y Carlos Fernández, desarrollador de software.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.