“Así ‘viajé en el tiempo’ para recuperar una contraseña y 3 millones de euros en bitcoin”

El alemán Michael compró unos bitcoin en 2013 y los guardó en una cartera digital con una contraseña. Usó para crearla un generador de contraseñas llamado Roboform y la guardó en un archivo cifrado de texto. Poco después aquel archivo con la contraseña se corrompió y la perdió para siempre: “En aquel momento pensé ok, mierda, unos dos mil euros... bueno, te enfadas sin más”, dice Michael, que usa un nombre ficticio para proteger su identidad. Pero con los años. el precio de bitcoin empezó a subir. En 2024 su cartera tenía un valor de unos 3 millones de euros. “Tengo esta fortuna, puedo verla pero no puedo usarla porque no tengo la contraseña”, decía.

El único modo que se le ocurrió para recuperarla fue recurrir a un hacker legendario, Joe Grand, conocido como Kingpin. Grand había recuperado otras contraseñas en procesos laboriosos y complejos y los había contado en vídeos de YouTube. Cuando Michael le escribió, Grand le dijo que se olvidara de su riqueza: “Todas las combinaciones posibles son más de 100 billones de veces las gotas de agua en todo el mundo. Puede ser una gota que cae del cielo, que está en un río o en cualquier océano del mundo. La única solución es reducir esa cantidad insuperable a algo con lo que podamos tener éxito”, explica Grand. Y rechazó la petición de Michael, cuya única esperanza era legar la cartera a su hijo para que un día tecnología más avanzada fuera capaz de abrirla.

El trabajo principal de Grand es dar clases de cómo hackear dispositivos en empresas y organizaciones: “Tomo un dispositivo electrónico, lo analizo, averiguo cómo funciona, identifico los componentes principales que podemos aprovechar, monitorizo señales y busco vulnerabilidades”, explica por videoconferencia a EL PAÍS. Aparte, se dedica a ayudar a gente como Michael que ha perdido sus contraseñas o ha estropeado sus dispositivos digitales con criptomonedas. Recibe muchos correos cada semana: “Ahora ocupa una cantidad significativa de mi tiempo, no esperaba la cantidad de mensajes que recibo”, dice.

Dos de sus éxitos recientes, según cuenta, son revivir la cartera de un tipo que la lanzó a un lago en Florida y tuvo que contratar a un equipo de submarinistas para recuperarla (“no sé aún por qué la tiró”) o encontrar la contraseña de un joven que, en su lecho de muerte, le dijo a su hermano que creía que la clave tenía algo que ver con el nombre de su abuela. En casos así, cuando el afectado tiene una idea de la contraseña, es posible buscarla a fuerza bruta, probando millones de variables cercanas una tras otra. Pero no es lo mismo cuando son trillones.

Michael insistió y Grand, en colaboración con Bruno, un joven hacker especializado en software, descubrieron un detalle intrigante en cómo habían ido cambiando las distintas versiones de Roboform a lo largo de los años. Para la nueva versión de 2015, la empresa escribió esta novedad: “Aumenta la aleatoriedad de las contraseñas generadas”. ¿Significaba eso que antes, por ejemplo en 2013, cuando Michael creó su contraseña, las contraseñas no eran realmente aleatorias?

Aquí es donde empezaron a imaginar que podía haber una opción de recuperar el dinero: “Crear números aleatorios es muy difícil. Si podemos manipular esa aleatoriedad, podremos generar un resultado predecible que nos sirva para encontrar la contraseña de Michael”, explica Grand en el vídeo de este caso, que lleva más de 820.000 visualizaciones. Antes debían encontrar en el código de Roboform cómo generaba las contraseñas. Esa función no es accesible y, para dar con ella, usaron incluso una herramienta de la Agencia de Seguridad Nacional de EE UU (la célebre NSA), llamada Hydra: “Es como las muñecas rusas. El objetivo es encontrar la que hay en el centro, la pequeña”, dice Grand.

Tras muchas horas de dedicación para entender cómo Roboform generaba las contraseñas, vieron que podían crear la misma dos veces. Habían descubierto que la aleatoriedad dependía del tiempo: “Podíamos engañar al sistema y viajar de nuevo a 2013 para que generara las contraseñas en la ventana de tiempo en la que creíamos que Michael había generado su contraseña”, dice Grand. Las contraseñas que creaba Roboform dependían del momento en que eran creadas: “Ahora sí empezaba la partida de verdad”, añade Grand. Antes, sin embargo, Michael debía recordar el día aproximado de 2013 en que había generado la contraseña y los parámetros precisos (número de caracteres, minúsculas, mayúsculas, teclas especiales).

Pero antes, en realidad, lo que habían descubierto Grand y Bruno era una enorme vulnerabilidad en Roboform. La gente que usó contraseñas aleatorias antes de 2015 con Roboform son víctimas potenciales: “Era la primera vez que hacía un proyecto así. He hecho ingeniería inversa otras veces, pero recrear básicamente todas las contraseñas posibles que podrían haberse generado con un generador fue algo nuevo y ni siquiera sabía que era posible. También es extremadamente problemático para cualquiera que haya usado ese software”, dice Grand.

La revista Wired contactó con Roboform, que no dio detalles sobre cómo habían arreglado el problema. Tampoco habían advertido a todos sus clientes: “Esto es para mí un tema más importante que encontrar la contraseña de una persona para recuperar sus bitcoin”, dice Grand. “Esas contraseñas [defectuosas] pueden proteger cuentas bancarias, historiales médicos, porque es un software que se vende. A veces, los proveedores son muy agradecidos y arreglan los problemas, pero otras veces actúan como si nada hubiera pasado. Es posible que futuras versiones también sean susceptibles, solo que de una manera ligeramente diferente, porque nunca compartieron cómo solucionaron el problema”, añade.

Es posible pensar que nadie más vaya a dedicar tantas horas a resolver un problema así, como Grand y Bruno. Más cuando ellos tenían el incentivo de quedarse con un porcentaje de los bitcoin que ayudan a recuperar. Pero para Grand eso es extremadamente improbable: “Si Bruno y yo descubrimos este problema, seguro que alguien más también lo ha descubierto. Desde joven, cuando estaba en colectivos hacker, siempre he dicho que somos solo unos tipos jugando. Imagina si se trata de una agencia pública, un adversario o algún estado, lo más probable es que lo estén aprovechando de alguna manera, incluso podría ser el gobierno de EE UU”, dice.

El éxito no fue fácil

Pero de momento Grand y Bruno debían ayudar a Michael. Les dio unas fechas de la primavera de 2013 y unos parámetros: 20 dígitos y minúsculas, mayúsculas y caracteres especiales. Probaron los millones de contraseñas que Roboform creó en esa ventana y no funcionaron. Algo no era correcto. Empezaron los nervios: “[Michael] se estaba mosqueando con nosotros”, dice Grand. “Pero al final su memoria se equivocaba. Probamos con otro conjunto de parámetros y funcionó”, añade.

Michael pasaba unos días en Barcelona en otoño de 2023 y allí fueron Grand y Bruno con un cheque enorme donde ponía “1,6 millones de dólares” porque era el valor entonces de sus bitcoin. Cuando publicaron el vídeo en YouTube, en junio de 2024, se había multiplicado por dos.

Los vídeos en el canal de Grand no son solo para presumir de sus dotes técnicas: “Hackear muchas veces parece magia, pero en realidad hay un proceso detrás. Si haces lo que debes, puedes tomar el control de los sistemas, y eso es algo que me encanta. Me gusta poder compartir eso con la gente, que puedan revisar el código y decir: ‘¡Oh, solo es eso! Solo es mover algunas cosas y ejecutar este código, y pasa todo esto’.”

Aunque gana dinero, Grand no hace estos proyectos para hacerse rico, dice: “Me mantiene la mente de hacker ocupada y despierta y me interesa trabajar en proyectos interesantes porque cada caso es un poco diferente. Ahora mismo estoy con una billetera que nunca había visto, así que me toca explorarla, entenderla, hacer algunos experimentos y luego intentar hackearla. También hay otro proyecto en proceso que es muy interesante desde el punto de vista del desafío y del rompecabezas, eso es importante”, dice.

A pesar de este objetivo sano para su cabeza técnica, Grand también lanza un mensaje a la industria: el software no es infalible y menos en manos de humanos. “Yo tengo 935 contraseñas, algunas creadas antes de 2015″, dice. “Si yo que me dedico a esto no las renuevo si no me obligan, ¿qué hará el resto de gente? Por eso es tan importante que las compañías cuenten sus problemas cuando surgen”.

El éxito de Grand encontrando este tipo de contraseñas le ha llevado a recibir muchos mensajes de gente que ha sido estafada. En esos casos hay poco que hacer. “Yo nunca pido dinero por adelantado, porque ese el modo de trabajar de los estafadores”, dice. Uno de sus problemas son las páginas que le suplantan: “Ahora mismo nuestro principal objetivo es tumbar una que lleva mi nombre y la extensión ‘.es’, de España”, dice.

Puedes seguir a EL PAÍS Tecnología en Facebook y X o apuntarte aquí para recibir nuestra newsletter semanal.