¿Cómo se pudo haber prevenido la tragedia de QuadrigaCX?

This blog post was published before LocalEthereum became LocalCryptos.

Una de las controversias más recientes en la criptocomunidad es la historia en desarrollo de la casa de cambio canadiense, QuadrigaCX. Es una historia triste en todos los sentidos, que tiene a sus inversionistas jalándose el cabello porque, muy probablemente, se hayan perdido más de 250 millones de dólares canadienses, para siempre.

Esta no es la típica historia de “robo de monedas” que todo el mundo ha escuchado alguna vez. De acuerdo con los hechos conocidos hasta ahora, los errores que llevaron a este desastre en particular pudieron haberse prevenido si se hubieran tomado las medidas precautelares necesarias.

Resumen de los hechos

QuadrigaCX fue una criptocasa de cambio radicada en Vancouver y una de las plataformas de criptocomercio más importantes de Canadá, manejando un volumen de transacciones significativo, a pesar de ser una compañía relativamente pequeña.

No obstante lo prometedora que se pintaba para la mayoría de sus usuarios, la casa de cambio se ha visto envuelta en varios problemas financieros y legales. Por ejemplo, el año pasado les fue congelada la cantidad de C$25 millones en su cuenta bancaria del CIBC, porque la institución financiera no pudo verificar la propiedad legítima de la compañía sobre los fondos. Y aunque eventualmente fueron descongelados, el incidente generó una cola de solicitudes de retiro de dinero, lo que empañó el nombre de la empresa incluso antes de sufrir la tragedia que vendría a continuación.

La tragedia

Ninguno de los problemas que viviera la exchange en anteriores ocasiones podría compararse con lo que ocurrió en Diciembre del 2018. Gerald Cotten, el director ejecutivo y fundador de QuadrigaCX, estaba de viajen en la India cuando cayó enfermo de repente debido a la enfermedad de Crohn. Fue admitido en el hospital, donde inesperadamente, y por desgracia, sufrió de complicaciones que lo llevaron a la muerte.

Aunque la noticia por sí sola es horrible – la compañía perdió a su ejecutivo más importante, y una familia quedó enlutada – no fue sino hasta que se descubrió un detalle en el siguiente mes que la situación estalló. El descubrimiento disparó las alarmas y trajo pánico y dificultades para los clientes de QuadrigaCX.

Lo que se detectó: los fondos de QuadrigaCX eran almacenados en una cartera fría protegida por una contraseña sencilla, que solo era conocida por Gerald Cotten. Nadie más tenía conocimiento sobre la misma. Y con su muerte, la cartera de la exchange poseedora de los cientos de millones de dólares en saldo de clientes, también fue enterrada.

Más de C$250M (equivalentes a US$190M) fueron bloqueados permanentemente.

Análisis del caso

Al igual que con la desconocida contraseña de acceso a los fondos, es probable que nunca sepamos el motivo por el que Gerald Cotten se decantó por un esquema de seguridad tan relajado. Y con la escasa información disponible, lo único que puede hacer la comunidad es especular sobre sus razones.

Esto ha dado rienda suelta a una cantidad de rumores, que van desde la veracidad de la muerte de Cotten, hasta la posibilidad de que el dinero bloqueado nunca existió en primer lugar. No obstante pudiera haber lugar a un poco de verdad sobre los mismos, por el bien de este artículo, nos enfocaremos en la historia oficial contada por QuadrigaCX.

Empecemos con la siguiente pregunta: ¿Por qué elegirías una única contraseña por encima de mecanismos de seguridad mejores y más robustos, como las carteras multi-firma?

Siendo el director ejecutivo de una casa de cambio, recae sobre ti la responsabilidad sobre todo lo que ocurra en la compañía, incluyendo los ingresos y egresos de fondos. Como el guardián del dinero de tus clientes, se espera que proporciones una solución de custodia segura y sólida.

Y como el dueño de una casa de cambio, es crucial que tomes en cuenta todos los escenarios en los que el dinero custodiado pueda correr riesgos, y planificar en base a ello – especialmente cuando estás manejando una empresa de este tipo con miles de inversionistas confiándote sus millones de dólares (algunos dejándote sus ahorros de vida).

¿Qué se pudo haber hecho diferente?

Es posible que jamás sepamos la razón por la que Cotton optó por bloquear los fondos con una sola clave. Sin embargo, no es nuestra intención criticar al hoy difunto. En vez de eso, este artículo busca ilustrar las alternativas (más responsables) que una persona, en la posición de Cotton, puede tomar para asegurar que sus fondos sobrevivan a una crisis – esperando entonces que se pueda prevenir un “QuadrigaCX 2.0”.

Situaciones horribles como ésta pueden ser evitadas si se toman las medidas de seguridad correspondientes.

Vamos a ver tres de ellas:

  1. Usar una cartera multi-firma
  2. Compartir una clave de respaldo
  3. Usar tecnología no-custodia

1. Usar una cartera multi-firma

Las carteras multi-firma son muy comunes en organizaciones que almacenan una cantidad significativa de criptomonedas. Son criptocarteras especiales que requieren de dos o más claves para autorizar el movimiento de fondos.

Las “Multi-firmas” se han convertido en un estándar entre los servicios de criptomonedas de tipo custodia, debido a la seguridad simple pero fuerte que proveen. Las mismas funcionan mediante la designación de autoridad a dos o más personas, creando la necesidad de cooperación entre los poseedores de las claves para firmar una transacción.

Si decides usar una cartera multi-firma para el almacenamiento en frio de una casa de cambio, puedes elegir la cantidad de personas autorizadas que quieras para que firmen una transacción. Cuando se necesite mover los fondos, tan solo se requerirá de un umbral de esos poseedores de claves para ponerse de acuerdo y coordinar una transacción.

La cartera multi-firma más común de todas es la que utiliza un esquema de “2 de 3”. Esto quiere decir que, de un total de tres poseedores de las claves, solo dos son necesarios para firmar una transacción. Si se pierde una de las claves, no debería de haber ningún problema siempre y cuando las otras dos sigan siendo accesibles. Una organización puede elegir cualquier esquema de designación; p. ej. 1 de 2, o 5 de 10, o 2 de 2 (aunque esta última no sería de ayuda para este escenario).

Si el dueño de una casa de cambio se decanta por una configuración “2 de 3”, el mismo pudiera poseer una de las claves, mientras que las otras dos serían confiadas a los empleados de su compañía.

Hay muchos beneficios en el uso de una cartera multi-firma para una organización. Para empezar, con cada clave en manos de cada persona autorizada, se reduce el riesgo de sufrir un robo, pues el ladrón necesitaría tener acceso a varias claves – una tarea nada fácil si asumimos que las mismas están resguardadas en distintos lugares, y el robo de una de ellas alertaría a los otros poseedores, quienes tomarían medidas extras de prevención.

Otra ventaja viene con el esquema de umbral. Si uno de los poseedores falleciera, no habría repercusiones para el desbloqueo de los fondos, toda vez que aún existen dos claves más disponibles.

2. Compartir una clave de respaldo

Esta parece obvia. Digamos que tengo una compañía que resguarda los fondos de mis clientes. Los mismos están almacenados en una bóveda impenetrable y solo yo conozco la combinación de la bóveda. Si muero, los fondos se quedarán bloqueados allí por siempre. ¿Cómo puedo prevenir esta situación? Pues, un buen comienzo sería confiarle a alguien más la combinación de la bóveda, ante una posible crisis. Pero, es difícil conseguir a alguien a quien confiarle la llave que da acceso a cientos de millones de dólares.

Una idea sencilla es crear un respaldo de tu cartera y tenerla dentro de la masa patrimonial a incluir en tu testamento. Sin embargo, no es muy seguro ni recomendable porque tu abogado – y quien sea que tenga acceso temprano a tu testamento – tiene la habilidad de copiar la clave y robar los fondos. Otra idea sería darle una copia a un miembro familiar de tu confianza, pero el riesgo sigue siendo el mismo. A menos que haya alguien en quien confíes plenamente para que maneje los fondos, y quizás más importante aún, sepa protegerse de ataques externos, compartir una clave de respaldo completa con alguien es una mala idea.

Pero, una mejor idea sería usar una técnica menos conocida: compartición de secretos. El sistema de compartición de secretos de Shamir (SSSS, por sus siglas en inglés), es una herramienta poderosa que te permite dividir un secreto en, digamos, 10 partes claves, que repartirás entre amigos y personas de tu confianza.

Cada parte clave es inútil por sí sola, pero juntas pueden ser combinadas para recuperar el secreto original (p. ej. la clave de respaldo de la cartera). La magia del SSSS es que no se necesitan todas las partes para recuperar la original. Similar al esquema “m de n” de las carteras multi-firma, el secreto de SSSS podría necesitar de, por ejemplo, 7 de 10 partes claves para recuperar el respaldo. Se puede personalizar el umbral de m de n al momento de crear las partes claves.

El sistema de compartición de secretos de Shamir es una forma segura de garantizar el acceso a la bóveda en el caso de que tú, como el guardián, ya no estés disponible.

Hasta ahora, los dos métodos que hemos visto tienen una cosa en común: necesitan confiar en otras personas. Sea que compartas una copia de su clave, dividiéndola en varias piezas, o creando más claves y confiándolas a otros, al final, es necesario creer en estas personas. Pero, ¿Y si no quieres confiar en nadie?

3. Usar una tecnología no-custodia

Si la confianza es la raíz del problema, ¿podemos deshacernos de ella? ¿Podemos usar una solución “sin confianza” para ahorrarnos todas las molestias, al tiempo que se le garantiza a tus usuarios el acceso a sus fondos?

He aquí la tecnología no-custodia. Las criptocasas de cambio no custodias (mejor conocidas como “exchanges descentralizadas” o “DEXs”) son plataformas que nunca toman a resguardo los fondos de sus usuarios. En lugar de aceptar depósitos de dinero, los clientes de una casa de cambio descentralizada siempre están en control absoluto sobre sus criptomonedas, en todo momento. Esto significa que sin importar el estado de la plataforma (sea que quede fuera de servicio por mantenimiento, o sufra un ciberataque), el dinero de los usuarios se mantendrá seguro y accesible en todo momento, porque son los usuarios quienes tienen posesión de las claves de acceso a sus propias carteras.

Si manejas una criptoplataforma descentralizada, verás que no tendrás necesidad de preocuparte por la seguridad de la cartera, por la sencilla (y obvia) razón de que no hay fondos que tengas que proteger.

De haber sido QuadrigaCX, una criptocasa de cambio descentralizada, la prensa no estuviera hablando de cómo cientos de millones de dólares en cripto, resguardadas en los almacenes en frio de una empresa de confianza, se perdieron para siempre debido a una contraseña perdida.


Es posible que aún haya esperanza para los clientes de QuadrigaCX. Kraken, una empresa de intercambio de criptomonedas que se sumó a las investigaciones sobre los rumores que rodean a Gerald Cotton, ofreció recientemente una recompensa de 100.000 $ a cualquiera que tenga información para recuperar los 250 millones de dólares canadienses perdidos.

Desafortunadamente, como sabemos por la alarmante cantidad de hackeos, robos y escándalos anteriores relacionados con las criptocasas de cambio, y que siguen sin resolverse, la probabilidad de que las víctimas vuelvan a ver sus inversiones es escasa.