Esta es la cara que se te queda cuando te hackean $2 millones en criptomonedas en pleno streaming

Consejos doy que para mi no tengo...

Spoiler: se puso negro.

#1 GILIPOLLAS

Te vuelves negro?

#2 consejos vendo

Pues se demuestra lo verde que está el sistema y lo poco seguro que es.

#9 El que no sepa quien se los ha robado y casi seguro que salga impune va mas allá de la estupidez de tener las claves en ever.

#11 Es obvio que normalmente no se conoce la identidad de los ladrones (ni las de los ladrones de latas de sardinas, ni la de los de bancos ni la de los de cryptomonedas), por razones obvias. Sobre tu prediccion sobre de que casi seguro que el ladrón saldrá impune pregunmtarte si te basas en algún dato o simplemente es una predicción de futuro?

#10 bueno, experto, experto, lo que se dice experto....

#15

Vale, sacaría el título de experto donde Casado .... pero lo que no era, era en seguridad. He hecho, estaba a nivel párvulos.

No me da ninguna pena, este se dedica a contactar a empresas ofreciéndoles hacer una review de su ICO a cambio de pasta y si no accedes te amenaza con hacer un mala review...

Cara de cocagramos

#14 Mi predicción se basa en que puedes saber la cartera a donde se han transferido fácilmente, pero no quien esta detrás de ella. Por eso decía que el problema va mas allá de la estupidez de ever.

Enga

Los malos seguirán siendo malos siempre, existan cosas reales o virtuales.

El problema es que, cuanto más virtualizado esté todo, mas expuestos estaremos.

Mi banco me acribilla a llamadas para convencerme de que use su app, cuando ni tengo un smartphone.

Al sistema que se está imponiendo le importa tres pimientos tu seguridad. Lo único que le interesa es que no haya un documentos físico de ninguna transacción.

Ejemplo: ¿ El día que casquen los servidores de la Seguridad Social como carajo vamos a demostrar los años cotizados para reclamar una pensión ?

Pues con los bancos y el dinero, lo mismo. Sin papeles oficiales, estamos vendidos.

La tecnología está muy bien para una cosas, pero ya nos pasamos de guays.

#21 A ver si mas gente lee u comentario

#12 Bajo el felpudo tampoco estaba, consiguieron entrar en su gmail (a saber cómo) y de ahí a Evernote y todo lo que tuviese con gmail.

El problema de Bitcoin y demás es que si entran en tu casa hasta la cocina y te roban, no tienes a quien reclamar ni a quien acudir

#8 El sistema es más que razonablemente seguro. Lo que falla es el factor humano.

Si te ponen un sistema impenetrable vigilado por rayos laser y chuknorris ninjas armados hasta los dientes hasta arriba de coca y vas y dejas la llave debajo del felpudo, pues mira.

#9 Yo creo que la seguridad se ha basado más en el retraso de las operaciones y en su trazabilidad. Tener que esperar un dia para mover el dinero garantiza que las operaciones se pueden volver atras, y aporta mucha estabilidad al sistema.
Ahora que los bancos estan implementando las transferencias instantáneas, se va a disparar el fraude.

#23 no se si es que ni siquiera has abierto el articulo pero hay una imagen del chat en cuanto le dicen que han sido transferidas sus monedas, con su cara en directo

#1 Porque usar keepass o lastpass o cualquier gestor de claves no merece la pena la complicación solo por unos cuantos millones de dólares

#29 Existe algo llamado google autentificator, que genera claves nuevas cada 30 seg aproximadamente y que puedes llevar en tu movil.

Si tampoco es totalmente seguro(En informatica nada lo es) , pero si sueles trabajar con portatil y movil. Y evitas el acceso de otras personas a ellos puede servir.

#8 ya, tio, yo el otro dia me dejè el movil encima de la mesa del bar y me lo quitaron.... si es que el mundo de la seguridad informatica es muy complicado......

Todo el mundo insultando y riéndose de un tío al que le acaban de robar un montón de dinero.
Y luego iréis por ahí pensando que sóis una especie de seres de luz cuyo mayor estandarte es la honestidad y respeto.
Sóis patéticos.

#22 pues mira, ya tienes mas datos que si te roban la cartera en el metro

Sabrá mucho de criptomonedas, pero no tiene ni idea de seguridad. Mira que guardar sus contraseñas....

#35 A ver si ahora no se puede comentar la jugada

#27 "no tienes a quien reclamar"

Que manía tenéis muchos de querer siempre tener a mano a un tercero para hacerle responsable. Si realmente necesitas eso, seguridad en la custodia de grandes cantidades, Xapo guardará tus bitcoins en un antiguo refugio nuclear Suizo, altamente custodiado, donde no tendrás problemas.

#33 lo que me faltaba, que google gestionara tambien mis claves

#37 Reírse de alguien contra quien acaban de cometer un crimen grave no es comentar la jugada. Es complicidad y bullying.

#13 goto #21

#39 Gestiona un sistema de doble autentificacion, aleatorio.

Siempre puedes utilizar evernote, por lo visto va bien. (Aunque parece ser que fue un robo con colaboracion del robado)

#33 ¿Es mas seguro darle el control de tus claves a una tercera empresa que gestionarlas tu mismo? En cualquier caos, tu cuenta de google autentificator tendrá una contraseña para acceder a ella que puede ser robada.

#36 En ese caso desde luego. Si me roban la cartera en el metro se 0.0 del ladrón (le ha visto alguién? cámaras?...ya es suerte). Pero convendrás conmigo que en este caso sabemos también bien poco del ladrón (ones) y que por tanto , si no aparecen indicios nuevos (rastro a través de ips del hackeo, etc...) que puede salir impune/es con una facilidad pasmosa.

#43 ¿Que tal si compruebas como funciona esa app antes de hablar?

#40 No estoy de acuerdo. Es una figura de referencia en su sector, un personaje público (que parece ser que la gente conoce). Y hay una diferencia grande entre apoyar un robo y comentar las razones de seguridad por las que ha pasado dicho delito.

#8 Si guardara la caja fuerte de mi negocio llena de billetes, al lado de un bloc con la contraseña, dirias que el sistema de billetes todavía no es seguro o el que no es seguro soy yo?

#46 ¿Ah sí? ¿O sea que todos estos comentarios son "comentar" las razones?
#1 #2 #3 #4 #5 #6 #9 #15 #20

#48 Yo hablaba de mi, pero en esos casos si, tienes razón. Por eso, positivo.

#44 en realidad sabemos bastante de los ladrones... teniendo en cuenta que el tio twitteó que los ladrones habian movido el dinero antes de que pasara, sabemos casi seguro que el ladron es èl robandose a si mismo para defraudar a hacienda

#13 en cualquier caso el que debe ahora 2 millones es el Sr.Balina.

#c-43" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/2934867/order/43">#43 Te respondo en # 52: Esta es la cara que se te queda cuando te hackean $2 millones en criptomonedas en pleno streaming/c52#c-52

#41 Se confirma que era un montaje. No había que ser Sherlock, o Wallander, para descubrirlo.

"un hacker había accedido a su cuenta y robado 2 millones de dólares en diferentes tipos de criptomonedas, incluyendo más de 20 millones en Nucleus Vision y 1 millón en Loom."

2 millones incluyen 20? Redacta mejor mi hija.

#53 #39 "An attacker who steals the shared secret can generate new, valid TOTP codes at will."
Osea, depende de como de bien guardado esté ese secreto. Ignoro si esta aplicación va unida a tu cuenta de google (la usé hace mucho tiempo, cuando solo daba soporte a las cuentas de google y si, iba ligada a tu cuenta de google) Así que una de dos, o las claves secretas están en tu móvil o están en los servidores de google. En cualquier caso me parece mas inseguro que el sistema de claves y cartearas de un solo uso de bitcoin.

#45 ¿Donde se guardan las claves secretas que se usan para generar las claves temporales?

#48 dejame tu mail y la proxima vez te pregunto antes si me puedo reir de algo o no.

Ay con los ofendiditos...

#50 No se yo... Muy arriesgada me parece la afirmación.

#52 ah, ok, gracias por la info

#57 Osea, depende de como de bien guardado esté ese secreto.

Tanto quien ofrece el servicio como el usuario deben proteger sus claves sí.

Ignoro si esta aplicación va unida a tu cuenta de google

No va unido a nada, es un proceso completamente local en el dispositivo. Es una simple fórmula en la que partiendo de una clave secreta (shared key) permite generar claves temporales consensuadas.

Así que una de dos, o las claves secretas están en tu móvil

Están en tu móvil.

En cualquier caso me parece mas inseguro que el sistema de claves y cartearas de un solo uso de bitcoin.

No sé a que te refieres, ¿puedes aportar alguna información al respecto? (sospecho que aplican también TOTP aunque no seas consciente de ello).

Editado: Entiendo que te refieres al sistema de llave pública/privada. No entro a valorar si una es más segura que otra, solo respondía a la implicación de Google en el sistema del Google Authenticator, que no la hay más allá de que son quienes crearon la aplicación.

#59 Espero que no te roben nunca y la gente te empiece a llamar gilipollas y se ría de ti, porque sería una buena dosis de karma. Y que ni se te ocurriere quejarte, no fueras a ser un ofendidito.

#60 no, no, goto #21

#7 pues agárrame tó lo que tengo.

Perdón, estoy en esa edad.

#38 Tranquilo, no necesito ningún refugio en Suiza, me vale con mi banco que dispone de un seguro por robo

PD: Y si entran a robar en casa, tengo seguro de hogar y además puedo llamar a la policía.

#58 En la aplicación del usuario y en el servidor que ofrece el servicio, en ningún caso en Google (salvo cuando el servicio a proteger es Gmail, cuentas google, etc.)

#64 Pues vaya pieza entonces...

#31 ¿De verdad tú crees que esa es la cara que se te queda cuando te roban 2 millones de dólares?

#8 No te has leído el artículo

#22 Si no he entendido mal, se los robaron de una casa de cambio, por lo que tal vez puedan seguir el rastro del acceso a esa casa de cambio. Otra manera de hacerlo sería a través del propio Gmail. Cuando accedieron a su correo electrónico también puede que dejasen un rastro.
También es posible que cuando muevan los tokens, se pueda conocer su procedencia, como, si no recuerdo mal, pasó con los del Ransomware del año pasado, a los que pillaron cuando trataron de convertir a Monero los Bitcoins que habían recibido como pago.

#62 A ver, que nos vamos por las ramas. Yo contesté a un mensaje que decía que el sistema no es seguro porque depende del usuario final, que almacena las claves. Google autentificator también depende del usuario final, que ha de transmitir de forma segura la clave secreta a la app y velar por que nadie acceda a su móvil.

Si como dices las claves están en tú móvil y no se sincronizan con tus otros dispositivos me parece un plus de seguridad, aunque es un poco ingenuo pensar que google no se ha reservado la capacidad de mirar tus claves. En cuanto a bitcoin, lo que yo hago (hice) es generar mi claves y apuntarla en un papel. Lo de las carteras de un solo uso no son mas que otro par de claves para una única transacción, a fin de minimizar riesgos. Si alguien te roba las claves, con un keylogger, mirandote por encima del hombro, etc. solo te van a robar una transacción. Esto no es obligatorio, es una practica común.
Obviamente si no guardas bien tu clave secreta y te la roban estás jodido, como con todo.

#69 No lo se pero seguro que tu tampoco. Al menos hay una foto con la cara del tipo en el momento que se lo dicen, cosa que decías que no había.

#73 He comentado tras leerme la noticia, que habla de la cara que se te queda cuando te roban 2 millones de dólares en directo, no cuando te dicen que te los han robado (de todas formas han pasado tres mensajes desde que se lo dijeron, así que dudo que esa sea realmente la cara que se le quedó).

#71 Si, si a la casa de cambio llego. Pero la casa de cambio llegar hasta Perico de los Palotes no es algo cierto. Al moverse los tokens dejan rastro eso si de carteras pero hasta que no pasen a una cuenta (y como lo hagan en una zona opaca...)

#74 Muy bien. Tienes toda la razón. No es la cara que se te queda cuando te roban 2 millones que lo sabes tu. Ganaste la discusión.

#76 Gracias.

¿Y no hay una autorización en 2 pasos o algo? Muy raro me parece tratándose de transacciones (me refiero a mover las monedas robadas desde el monedero virtual a otra cuenta, o cambiarla por €/$).

#72 aunque es un poco ingenuo pensar que google no se ha reservado la capacidad de mirar tus claves

Tan sencillo como utilizar cualquiera de las muchas aplicaciones que implementan el protocolo TOTP como FreeOTP, Authenticator Plus, Authy, etc.

Simplemente Google fue el primero en utilizarlo de forma significativa y por eso se suele referir a su cliente de referencia. Lo que no quita que el protocolo es abierto y puedes implementarlo tú mismo si quieres.

En cuanto a bitcoin, lo que yo hago (hice) es generar mi claves y apuntarla en un papel. Lo de las carteras de un solo uso no son mas que otro par de claves para una única transacción, a fin de minimizar riesgos. Si alguien te roba las claves, con un keylogger, mirandote por encima del hombro, etc. solo te van a robar una transacción. Esto no es obligatorio, es una practica común.

El uso que se le da al TOTP es para acceder a servicios de terceros, como por ejemplo Gmail, añadiendo una segunda capa de autentificación. No es un sustituto para un sistema de cifrado con llave pública y privada ni pretende serlo.

Ha existido alguna iniciativa de sustituir el TOTP al que nos referimos por una propuesta basada en llaves públicas y privadas para evitar el riesgo que indicas de transmitir la clave y que se deba mantener segura en los dos extremos de la comunicación, con el sistema de llave pública y privada únicamente basta mantener seguro uno de los dos extremos que a su vez puede estar desconectado de la red permanentemente. Dicho esto estas iniciativas por ahora no han conseguido ser adoptadas. Y seguramente hay razones de peso para que no haya triunfado.

Con TOTP el usuario debe introducir una clave de 6 dígitos. Con llaves públicas/privadas se requiere que hablen los ordenadores entre sí.

Con TOTP puedes disponer de un dispositivo sin conexión a Internet, generar la clave no requiere de comunicación con el servidor (salvo cuando se configura la primera vez). Con llaves públicas/privadas el servidor debe recibir del emisor una respuesta firmada.

Un sistema no es mejor que el otro en todo, simplemente para cada caso tiene sentido aplicar una tecnología u otra. Si la información sensible ya está en el servicio de destino y está accesible a ellos hay poco que hacer desde el lado de usuario para protegerla más allá de confiar en quienes gestionan ese servicio.

#27 Por ejemplo Coinbase tiene las carteras normales y otra (Vault) por la que no te cobran comisiones en la que puedes depositar de forma "segura" grandes cantidades o lo que decidas.

https://www.coinbase.com/vault?locale=es

#17 Es sólo un producto más con el que especular, como lo fueron los tulipanes en Holanda, o los sellos de Afinsa. Tienen el valor que la gente quiera darle. Al menos el que especula con petróleo o café, sabe que es difícil que el valor caiga a cero, porque al ser un bien tangible, tiene un valor intrínseco. Con las criptomonedas no pasa lo mismo.

#63 si me ocurriera como al de la noticia (que al parecer ha sido un montaje) pues no me quedaría otra que agachar la cabeza y con el tiempo reirme del tema. Es el equivalente cibernético a ir contando un fajo de billetes por una barriada de chabolas.

#1 Vaya genio de la seguridad, de verdad se puede ser tan lerdo?

#80 El punto al que quería llegar yo es que todos los sistemas de autenticación dependen en ultima instancia del celo del usuario final. A ese comentario fue al que contesté originalmente. A mi respuesta contestastéis con lo de google autenticator y digo y mantengo que me fío mas de apuntar mis claves en un papel que dejar que una aplicación de terceros me las gestione.
Justo acabo de acabar mi ultimo proyecto con Arduino, puede que me haga un generador de claves TOTP offline, me has dado una gran idea con esta conversación.

Tienes dos millones en criptomonedas y tienes las contraseñas en un password.txt en una carpeta que pone "no tocar".

https://thenextweb.com/hardfork/2018/04/16/crypto-youtuber-hacked-out-of-2-million-during-a-livestream

"Meanwhile, Balina says the hackers have gradually began moving his coins to popular exchange desks like Binance and KuCoin. We’ll update the story if there are any interesting developments.. We’ll update the story if there are any interesting developments."

¿De qué pais es este tipo?
¿No ha presentado una denuncia por robo y crackeo y las autoridades policiales, el fbi o el que sea rastreado inmediatamente las cuentas de los ladrones a traves de la red, y de los exchangers?

Los exchangers son como una especie de bancos y lo mismo que en un banco las autoridades se pueden poner en contacto para congelar o parar una acción delictiva (por ejemplo una transacción a traves de un banco en que unos terroristas van a comprar una ojiva nuclear a un traficante y casualmente las autoridades conocen las cuentas origen o destino de la transaccion) así que un juez les crea una orden y bloquean las transacciones con origen en alguna cuenta o rama de cuentas (grupo de cuentas que van siguiendo y desde la que parten las criptodivisas robadas) e incluso congelan el dinero hasta que se investigue mejor.

La clave son los exchangers o intercambiadores.

Despues se habrán creado bases de datos de cuentas y rastros de cuentas implicadas que quedarán digamos como congeladas. Un poco como las bases de datos de numeros imei de telefonos robados (los operadores de telecomunicaciones cuando estos telefonos denunciados como robados se conectan les bloquean el acceso a la red y generan una alerta, no sé si con la localización, muchos operadores de muchos paises lo hacen, otros no)


Si se ha conseguido pillar a algunos de los crackers de los crackeos de cajeros a traves de los equipos de los bancos (los que activaban para expulsar dinero en unos momentos determinados que unas mulas pasaban, y despues estas mulas pasaban el dinero a criptodivisas para pasarselo a los supuestos crackers originales u otros intermediarios)
https://www.vozpopuli.com/economia-y-finanzas/empresas/mulas-criptomonedas-operaban-Madrid-cajeros-cibermafias-diberdelincuencia_0_1120988896.html http://www.entrepcs.com/jackpotting-capturan-delincuente-en-espana-y-roban-800-000-en-argentina/
http://www.google.es/search?q=robo+cajeros+hackeo+bancos+mulas&oq=robo+cajeros+hackeo+bancos+mulas
Lo de los cajeros creo que es lo que llaman jackpotting.

#33 Google authenticator sí que me da miedo. Como se te rompa el móvil, cosa no tan rara, vas a ver qué gracia, para recuperar las claves.

#21 Le han pillado con el carrito de los helados

#37 la mayoría de youtubers "expertos" en criptomonedas son simplemente especuladores.

#8 Si tengo mis datos bancarios en evernote y alguien los roba, el resultado es el mismo.

#5 mark al rescate
.

#21 ¿Y si los crackers le crackearon el twitter para hacer eso (dar un aviso de crackeo antes de que ocurriese) y así desacreditar al que habian robado?
Al haberle desacreditado con esa supuesta argucia, la denuncia a la policia o autoridades seria mas compleja y quizás quedase desacreditada (no se la aceptarian) y los crackers tendrian mas tiempo para ofuscar las transacciones y cuentas a traves de las cuales tunelizaban y sacaban el dinero de la red o hacian desaparecer el rastro mejor.

#17 #48 Es el equivalente digital de llevar un fajo de billetes en el bolsillo e ir enseñándolo a todo el mundo. Si nos lo encontráramos por la calle con su fajo de biletes estaríamos todos de acuerdo en llamarle gilipollas

#88 a mi me ha pasado ya unas cuantas veces y aunuqe es un poco rollo, no es tan traumático:
- al activar el servicio normalmente se te facilitan unos códigos de un solo uso que puedes imprimir o guardar donde quieras.
- además en el caso concreto de Google, si tienes un pc con cuenta iniciada puedes desactivar la doble autenticación o bien descargar nuevos códigos de un solo uso

Quizas en este caso no sea así. Pero los crackers que quieran robar a alguien, si seleccionan a los que esten cometiendo algun otro fraude como blanqueo de dinero, o evasión fiscal o fraude fiscal, la probabilidad de que lo denuncien a las autoridades es mucho menor.

Claro que si acabas robando a una mafia poderosa igual te metes en un lio peor.

Bueno si no, se cumple el refran "quien roba a un ladron tiene 100 años de perdon".

Segun esto estimo que los crackeos y robos denunciados serán un mínimo porcentaje de los ocurridos.

Crackers justicieros que roban a delincuentes, mafiosos, traficantes, defraudadores, ... de los cuales descubren que cometen otros delitos. Es la versión de los justicieros que se toman la justicia por su mano en el mundo físico de fuera del ciberespacio.

#88 Ya lo he hecho, a no ser alguna compañia un poco tocapelotas(y sobre todo por la mierda de sistemas de reconocimiento facial), 24 horas para comprobar la identidad. Y cuentas recuperadas.

Y como te comenta #95 tienes esos codigos... y opciones a la hora de configurar para recuperarla. Aun asi... si no tienes lo anterior, no es complejo.

#88 Puedes hacer una copia de seguridad del codigo QR inicial con una captura de pantalla o capturando el contenido con un lector de códigos qr. Y almacenar esa copia de seguridad en una segunda ubicación.

A todo ello hay clientes TOTP (Google Authenticator lo es) que permiten hacer copias de seguridad, como Authenticator Plus.

#29 Ya, pero es que yo no estoy diciendo que blockchain sea inseguro, estoy diciendo que las criptomonedas lo son.

Si almaceno todos mis datos bancarios en evernote y alguien los roba, estoy igual de jodido practicamente.
Mi blanco me exige doble autenticación vía móvil para hacer transferencia. Por tanto no puedo almacenar todos mis datos bancarios en evernote. No puedo poner mi móvil ahí.

Si te diera mi usuario y pin del banco podrías ver mis cuentas, poco más.

Es la ventaja de un sistema centralizado, que puedes aplicar medidas de seguridad de forma uniforme a todo el sistema.

#9 #12 #28 #34 ...
Pues eso: no está preparado para el gran público.

Como dirían en el boletín de las notas del cole: necesita mejorar.