Bitcheke: de cripto el puro nombre

Bitcheke. ¿Le suena? En realidad, tampoco es muy conocida, salvo por un poco de difusión realizada por Franco Parisi (la cual después fue desmentida), unos artículos promocionándola que pareciesen comprados por los mismos inversores y varios artículos denunciando los riesgos de estafa piramidal en ella. Para fortuna de ustedes, hoy no replicaremos ninguna crítica ya leída a este proyecto (las cuales si no ha leido todavía, puede leer en los links anteriores). Nos enfocaremos desde una mirada técnica en varios detalles que hemos venido notando a lo largo de estas semanas, los cuales nos han llevado a una conclusión bastante categórica de la confianza que hay que tener en el sistema.

Criptoseguridad

Uno podría imaginar que el prefijo crypto usado por la tecnología de las criptomonedas debería asegurar cierto nivel de seguridad en todos los sistemas utilizados. La palabra criptomoneda (o cryptocurrency en inglés) se utiliza para nombrar todas las divisas digitales que usan principios criptográficos para asegurar su posesión y correcta utilización. En específico, bitcheke es un token (lo que es algo así como una ficha de pulpería) que opera en la plataforma Waves (algo así como una red de bitcoin alternativa que facilita la creación de tokens sobre ella).

¿Cuál es la diferencia técnica entre bitcheke y cualquier otro token de Waves? En principio, ninguna. Es más, cualquier persona puede pagar el equivalente a 1 WAVES (El token central de la plataforma, equivalente aprox. a 10 dólares al día de hoy) para crear su propio token, definiendo cantidad total de monedas y pudiendo repartirlos a voluntad.

Lo anterior tampoco tiene que ser necesariamente malo, bitcheke posee un valor asignado según los beneficios que genera poseerlo y el precio de mercado que este token posee. Además, heredaría la plataforma y seguridad de la misma plataforma Waves, dándole toda la seguridad necesaria para su correcta operación...

Oh, espera, lo último en negrita es completamente mentira.

Control de los Tokens

Partamos por lo básico, dado que los tokens los controla una sola persona (llamémosle Team Bitcheke), ésta puede definir cómo entregarlos a las personas según sus propios intereses. ¿Hay alguna forma actualmente de asegurar que si inviertes en comprar bitcheke éstos te llegarán? Ninguna, dado que no existe sistema automatizado que verifique los depósitos y libere los tokens a tu cuenta. Lo anterior es algo que Waves por sí solo no puede corregir, y podríamos decir que actualmente está regulado solo porque en caso de ocurrir esa situación, la reputación de Bitcheke se vería dañada, lo que alejaría nuevos inversionistas. (Aunque, ¿queda algo por dañar después de la liberación del prontuario de su fundador y las denuncias de antiguos empleados de éste que nunca fueron pagados?)

Aplicaciones Secundarias

Claramente, llevar la logística de una aplicación tan completa no requiere solamente del enorme esfuerzo de crear tokens y luego venderlos como si tuvieran un precio real. Se necesitan también otras plataformas informáticas, entre las cuales se encuentran unas de inversión y una para el cobro de recompensas. Estas aplicaciones fueron desarrolladas por el Project Manager del proyecto, don José Cortese, el cual según su biografía de la página oficial lleva más de 10 años trabajando como desarrollador de software.

Revisando durante el día jueves 25 de enero un poco sus plataformas, no nos demoramos mucho tiempo en darnos cuenta que éstas poseían más de un problema básico.

El reporte de Vulnerabilidades

Lo que encontramos nos sorprendió bastante, dado que correspondían a errores básicos que no cometería ni un estudiante de programación en sus cursos universitarios:

• El formulario de inicio de sesión de la página Invest Bitcheke (Y en realidad, todos los formularios de las plataformas de bitcheke) permiten realizar inyecciones SQL. Esto en la práctica significa que si pones de nombre de usuario, literalmente, ' or '1' = '1 y cualquier contraseña, puedes entrar como el primer usuario de la plataforma (José Cortese), ver a TODOS los inversionistas de ésta, descargar sus datos personales y asignar tokens de inversión a la persona que desees. (Incluso, podrías cambiar la dirección de billetera Waves de José y su contraseña, haciéndole pasar un mal rato. No lo hagas, por favor).

• Todas las páginas de bitcheke (tanto la principal como las aplicaciones ya mencionadas) poseían en texto plano el usuario, las contraseñas y la dirección PHPMyAdmin de las bases de datos usadas por bitcheke y otras páginas desarrolladas por José. La dirección para ver este archivo se puede apreciar en la imagen siguiente. ¿Cómo se descubrió? No hay que ser tan ingenioso, dado que los errores de PHP estaban activados, por lo que dado cualquier error en la página ésta misma se delataba diciendo dónde estaban sus archivos. (Descarguen las imágenes para verlas mejor)

Ya en la base de datos era posible ver todos los datos guardados en ella, entre ellos algunos de sistemas médicos desarrollados por Cortese, e incluso datos de tarjetas de crédito de otros sistemas no identificados. Es más, en estas bases de datos las contraseñas de los usuarios de algunos sistemas estaban tanto hasheadas como en texto plano (seguramente para enviarlas en caso de que se soliciten por olvidarlas).

Apenas encontramos las vulnerabilidades, hicimos el reporte ético a los desarrolladores de Bitcheke, dándoles 1 semana para corregir las vulnerabilidades y pidiéndoles que nos contestaran confirmando que habían leído el correo.

¡Todo está arreglado!

A eso de las 3AM del día siguiente, unas horas después de la denuncia, las páginas de Bitcheke se caen debido a errores de conexión con la base de datos, lo que hace suponer que recibieron el mensaje y están intentando arreglar la plataforma. Esta situación se mantiene hasta las 7AM, donde una persona en el grupo de Telegram de Bitcheke reclama porque no puede ingresar. Acá es donde el fundador de la empresa, Luis Camus, comenta lo siguiente:

En ese momento no sabíamos si realmente nos consideraba su ISP o solo no quería admitir que nosotros habíamos descubierto los problemas. También descubrimos que las inyecciones SQL y los passwords en texto plano son algo muy usual en el mundo de las criptos.

Horas más tarde, un inversionista del círculo interno de bitcheke declaró a través de un audio que le habían informado que las vulnerabilidades estaban arregladas y volvieron a subir las páginas. Los audios puedes encontrarlos acá, acá y acá.

No tenemos nada que agregar a las reflexiones de Sebastián...

Parece que no todo está arreglado

...salvo que parece que no todo está arreglado.

Inmediatamente, volvimos a revisar las vulnerabilidades anteriores, y encontramos que la inyección SQL seguía funcionando (y funciona hasta el día de hoy). Por otro lado, a pesar que en Bitcheke sí cambiaron la base de datos, el usuario y la contraseña anteriores seguían sirviendo para otros proyectos de Cortese (algunos médicos, otros para colegios, otros para empresas pequeñas, todas las bases de datos seguían siendo visibles y editables con esa cuenta). Además, los archivos de texto plano con las contraseñas seguían siendo visibles donde mismo al momento en que se declaró que todo estaba arreglado. Por otro lado, a pesar que las páginas estaban arriba, muchas no funcionaban completamente, dado que seguían intentando conectarse con las credenciales de base de datos anteriores.

En fin, tuvieron que pasar más de dos días y varias mentiras a los inversionistas y colaboradores de bitcheke para que el equipo hiciera los cambios respectivos y asegurara parcialmente las páginas (dado que hasta el día de hoy se puede usar inyección SQL en una de ellas). Esto podría haber sido fatal si los que encontrasen las vulnerabilidades hubiesen decidido intervenirla y borrar todos los datos o publicar las listas de los involucrados, sus datos médicos e incluso de tarjetas de crédito. Menos mal solo fuimos nosotros :-)

¿Entonces, debo invertir en Bitcheke?

La conclusión de este artículo es que, incluso dejando de lado las acusaciones de estafa piramidal y el dudoso prontuario de sus participantes, basta con tener en cuenta la poca seguridad del proyecto, la inexistente seriedad y sinceridad del equipo detrás de el y la clara falta de experiencia y profesionalismo en el desarrollo de sus plataformas para decirle categóricamente que no a bitcheke. Pensar lo contrario y bajarle el perfil a estas denuncias es estar cegado por una avaricia incomprensible, irracional y para nada aterrizada con cómo el mundo funciona.

Pero bueno, cada uno elige en qué bota la plata, sus datos personales y sus contraseñas.

ACTUALIZACIÓN [01/02, 22:00 hrs]

Hace unas horas, Luis Camus (el "Tío Bitcheke") publicó en el grupo interno el siguiente mensaje, declarando que dejaban Chile debido a que en su país se empecinaron en destruir su proyecto, por lo cual los esfuerzos se iban a concretar en expandir la moneda en latinoamérica, lo que lógicamente requiere coordinar un viaje a Asia. El texto exacto es el siguiente:

Al mismo tiempo, se decidió borrar el grupo público, y con él todos los memes, las promesas de inversión, los trolleos y los audios que habían sido mandados durante las últimas semanas. Tuvimos que resubir los audios de Sebastián insertados anteriormente, por ejemplo.

Y así es como, al parecer, Bitcheke desaparece comunicacionalmente de nuestra tierra (al menos, por ahora). En cierto sentido, nos alegra haber colaborado en generar el revuelo necesario para que la gente tomase conciencia de los peligros involucrados en esta criptoestafa. Por otro lado, nada nos asegura que en unos cuantos meses más, impulsados por la ignorancia y avaricia de las personas, otro grupo de criptomesías aparezca a ofrecer una nueva alternativa fácil y rápida para volverse millonarios. Seguramente estamos pecando de optimistas, pero queremos creer que denuncias como ésta harán que en el futuro, al menos un ciudadano poco informado o suceptible de ser engañado lo piense dos veces antes de regalarle su plata a un sinvergüenza, con la esperanza de mejorar su propia calidad de vida.

Por último, para finalizar este capítulo en la historia de las criptomonedas de Chile, les dejamos la postal de aquello en lo que Chile pudo haberse transformado en un universo paralelo.