John McAfee, el popular multimillonario e inversionista de criptomonedas, no las ha tenido todas consigo durante las últimas semanas. Además de sufrir un aparente intento de asesinato y detener la promoción de ICOs desde sus redes sociales por petición de la Comisión de Bolsa y Valores (SEC, por sus siglas en inglés) de EE.UU, la cartera de hardware promocionada por el empresario, llamada Bitfi y que prometía ser ‘inhackeable’, parece no ser tan segura como se afirma.
Un grupo de investigadores de seguridad informática han demostrado que es posible enviar con éxito transacciones firmadas a través del dispositivo, a pesar de que sus mecanismos de seguridad prometen evitar este tipo de acciones por parte de los hackers. Esto ocurre apenas unos días después de que un adolescente logró descifrar la cartera para ejecutar el popular videojuego DOOM.
Luego de este nuevo hallazgo, los investigadores esperan que McAfee cumpla con la recompensa que promete su programa de errores, ya que según ellos, han cumplido todo lo exigido para recibir los US$ 100,000 por demostrar que es posible modificar el dispositivo, conectarse al servidor de Bitfi y enviar datos confidenciales a través de él.
https://twitter.com/cybergibbons/status/1028987435873648640
Para modificar la cartera, los hackers obtuvieron acceso de ‘root’, es decir, acceso completo al dispositivo hace dos semanas. Desde ese momento, han estado investigando todo sobre Bitfi, lo que les hizo tener un panorama completo del tipo de datos que son enviados desde el dispositivo. Además, se logró demostrar que la cartera aún está conectada a los servidores de Bitfi, y por ello es susceptible a la exposición de datos.
El hacker que protagonizó el descubrimiento, llamado Andrew Tierney (@Cybergibbons en Twitter), confirmó que además de los pasos anteriores, junto a sus colegas cumplió con la tercera condición del programa de errores, y es enviar las claves privadas de la cartera y su frase de contraseña a un servidor remoto. Ahora exigen sus US$ 100,000.
Recordemos que Ryan Castelucci, otro investigador de seguridad, publicó un informe el pasado mes de julio donde reveló que la seguridad de Bitfi es terrible e instó a los usuarios a no utilizar esta cartera.
Sus hallazgos se basaron en el análisis del código fuente de la cartera publicado por el equipo de Bitfi, y aseguró que el programa de recompensas de la compañía estaba creado para desprestigiar a los investigadores en vez de ayudar a Bitfi a identificar las vulnerabilidades.
