Bitcoin se nos presentó como un acontecimiento técnico y económico. La esperanzadora alternativa a un sistema monetario gobernado por el Estado y los bancos. La propuesta criptográfica y de red para la creación de una moneda confiable y a la vez P2P. Sin embargo, a pesar del éxito inicial, durante las últimas semanas el ecosistema Bitcoin se ha visto vulnerado por diversas circunstancias, siendo la de ayer, quizá la peor de todas ellas. Les cuento.
Mt. Gox Bitcoin Exchange, el centro de intercambio más importante de bitcoins y dólares cayó hace unas horas presa de un ataque. Como consecuencia, los bitcoins (BTC) pasaron de valer US$17 a sólo unos centavos de dólar. La siguiente gráfica lo evidencia: en el eje vertical el precio de un BTC en dólares, en el horizontal el tiempo; como se puede apreciar, todo sucedía de manera normal hasta que alrededor de las 20 hrs. el valor de BTC se derrumbó.
Mt Gox, ubicado físicamente en Tokio, cerró sus operaciones y colocó este primer mensaje en su página web:
El bitcoin regresará con un valor de US$17.5/BTC después de una operación de recuperación (rollback) de todas las transacciones sucedidas después de las gra venta que tuvimos en Bitcoin este 20 de junio alrededor de las 3:00 am (tiempo de Japón, UTC+9)
Una cuenta con gran cantidad de bitcoins fue comprometida y quien la robó (usando una dirección IP de Hong Kong) primero vendió todos las monedas allí, para comprar justo después y luego retirarlas. El límite de retiro de US$1.000 estaba activo para esta cuenta y el hacker sólo pudo obtener esa cantidad.
Fuera de esta cuenta, nada se perdió.
En realidad sí, como confirmaron un poco después en una actualización del mensaje. Fue robada la información de 60.000 cuentas:
La información filtrada incluye nombre de usuario, correo electrónico y contraseña cifrada, lo cual no permitirá a nadie obtenerla porque [el cifrado] es suficientemente complejo.
En otra actualización, Mt Gox dice que se trató de un ataque tradicional --se especuló SQL injection--, que las contraseñas copiadas están protegidas con el algoritmo MD5 Salt Hashed --así los ataques vía diccionario son imprácticos, ni siquiera con una Tabla Rainbow--, y que cambirán éste por SHA-512, a la vez que exigirán mayores medidas de seguridad a sus usuarios. Claro, si el usuario uso una mala contraseña, más le vale cambiarla a la brevedad, se sabe que algunas de las cuentas de gmail sustraídas de la base de datos ya fueron bloquedas.
Como podemos apreciar, Bitcoin no falló; es decir, no los algoritmos ni las ideas detrás. En realidad a Mt Gox le faltó pericia técnica para ofrecer un sistema con las garantías de seguridad pertinentes. A decir verdad, las últimas semanas Mt Gox fue avisado de diversas formas con ataques de menor envergadura. Al parecer tampoco el dueño de la cuenta afectada seguía una estricta política de seguridad con su contraseña.
Por otra parte, aunque la arquitectura de la red Bitcoin es P2P, las bondades ofrecidas por este tipo de redes --alta disponibilidad, escalabilidad, autonomía-- desaparecen cuando existe un punto único de falla, al menos uno tan grande como el que concentra Mt Gox. Tal vez va siendo hora de diseñar un sistema de intercambio de moneda menos vertical/centralizado, uno del que saquen provecho las poderosas características de una red económica como la de Bitcoin.
Como quiera que sea, lo cierto es que sin la confianza de los usuarios, Bitcoin morirá sin remedio. O por lo menos sucederá con Mt Gox, que ha ganado miles de clientes realmente molestos.