Cuando al abogado especializado en delitos tecnológicos Pablo Fernández Burgueño denunció en mayo de 2014 el robo de 0,007 euros en una comisaría de Madrid —ante el pasmo de los agentes de Policía—, abrió una importante vía de conocimiento para las fuerzas de seguridad del Estado en su lucha contra el fraude relacionado con criptomonedas.

Hace casi cinco años, cuando la moda de las criptomonedas asomaba tímidamente al gran público en España como algo exótico (en pleno boom de bitcoin), este letrado interpuso la primera denuncia de este tipo por sustracción de cinco dogecoins, una cantidad ínfima. No obstante, el atestado policial refleja que, más allá de esa cantidad, los ciberladrones pudieron haberse hecho con un botín de cerca de 162.000 dólares (280 millones de dogecoins al cambio de entonces).

Aquel 'robo' de dogecoins, de hecho, fue una de las consecuencias de Heartbleed, una de las mayores vulnerabilidades de código de la historia de internet que causó un enorme impacto en todo el planeta. "En 2014 tenía una clave privada de dogecoin en un servidor en EEUU, dogevault.com", explica Burgueño, "y cuando sufrió un ataque informático —a raíz del agujero Heartbleed— fueron sustraídas todas las claves privadas, que sirven para transferir las criptomonedas, de todos los modeneros que había ahí".

Por tanto, acudió a la Policía para denunciar estos hechos. Y debido a la naturaleza de lo sustraído (criptomonedas), tenía todas las pruebas debido a la trazabilidad de las cadenas de bloques o 'blockchains'."Lo que hice fue presentar todas las pruebas basándome en la información que obtuve de la cadena de bloques", dice este abogado, que recuerda que la denuncia en sí tuvo cierta gracia.

"Me presenté en una comisaría de Madrid y comencé a hablar al agente que me atendió sobre criptomonedas", comenta el abogado, que añade entre risas: "Él me puso cara rara y me dijo: 'Un momento, caballero'. Se levantó de la silla, fue a buscar a otros compañeros policías, se volvió a sentar y me dijo: 'Vuelva a repetir'. Y yo les volvía explicar todo sobre cadenas de bloques, claves privadas, etc".

En este caso, el buen trabajo del policía, que reflejó en el atestado perfectamente lo que había pasado, ayudó a que el caso llegase al juzgado. Y ello supuso que, "por primera vez en España, se aceptase que una información contenida en 'blockchain' podía ser válida en un juzgado de lo penal como prueba en un juicio".

"La cadena de bloques o 'blockchain' de Dogecoin es un registro público de todas las transacciones realizadas con doges", explica el abogado, que añade: "No necesito obtener una evidencia adicional a la de su propia existencia, y gracias a este documento electrónico, partiendo de mi clave pública o dirección de dogecoin pude averiguar desde la mera transacción, hasta el momento de la sustracción (13 de mayo de 2014 a las 11:09:04), la cantidad sustraída (15 dogecoins) y su destino.

Pantalla en donde se aprecia el momento exacto de la transacción no autorizada de la criptomoneda.

"La magistrada juez dijo que no se podía ir contra el sustractor porque era desconocido (la cadena de bloques genera anonimato), pero constató que había delito", apunta Burgueño, por lo que el caso podría abrirse de nuevo —ahora está archivado provisionalmente— si se encontrase al autor, dado que hay pruebas suficientes de la comisión del delito.

Este curioso caso, además, sirvió para que tanto la Policía Nacional como la Guardia Civil tomasen todas las pruebas aportadas por este abogado para seguir investigando. "De hecho, este caso llegó a ser estudiado en Europol, como una de las grietas a través de las cuales los ciberdelincuentes podrían hacerse con las claves privadas de los usuarios y quedarse con las criptomonedas, algo que ya empezaba a pasar desde 2013", recuerda Burgueño, que acudió como investigador a alguna de las reuniones privadas sobre el tema organizadas por la propia Europol.

Clonar SIM para sustraer criptomonedas

Esta misma semana, Joel Ortiz, estudiante universitario de 20 años de edad y acusado de clonar tarjetas SIM y sustraer más de cinco millones de dólares en criptomonedas, se ha convertido en la primera persona condenada por este tipo de crimen en EEUU, al aceptar una condena de 10 años de prisión.

Según informa Motherboard, el modus operandi fue simplemente la clonación de unas 40 tarjetas SIM de teléfono móvil, de modo que pudo eludir las medidas de autenticación para las cuentas utilizando el teléfono como método de recuperación. De esta forma, pudo acceder a varios monederos y sustraer las criptomonedas.

"En este caso, más que 'hackear' un monedero de criptomonedas, lo que ha pasado es una clonación de tarjetas SIM, y de este modo es capaz de suplantar al dueño de la misma", explica el también abogado especializado en ciberdelitos Javier Maestre.

A falta de más datos, este experto sugiere que, o bien se pudo acceder a un monedero vinculado al teléfono porque se hubiesen almacenado las claves en la misma tarjeta SIM, o bien que con la copia de la información del teléfono se hubiese recuperado el acceso a un monedero web con un sistema de verificación vinculado al número del móvil, por el que se envían las claves en un mensaje a ese número, en poder del ciberdelincuente al clonar la tarjeta.

En los últimos años se han dado ya varios casos de sustracción de criptomonedas mediante la clonación de la tarjeta SIM de usuarios, aunque en el caso de Joel Ortiz es el primero en EEUU que termina en condena de prisión por este tipo de delito.

En España, la normativa es clara: "La ejecución por terceros no autorizados de transferencias de criptoactivos a cuentas ajenas a la propia es un acto que puede ser constitutivo de delito, según, entre otros, los artículos 197 y 248 del Código Penal español", apunta Burgueño, y finaliza: "Puede conducir a penas privativas de libertad a su autor".