El secuestro DNS de Bitcoin.org: Cómo la página principal de Bitcoin se convirtió en una estafa de "duplica tus monedas"
En septiembre de 2021, Bitcoin.org —el histórico sitio informativo de Bitcoin operado por el seudónimo Cobra— fue secuestrado a nivel DNS y convertido en un falso sorteo de "duplica tu Bitcoin", con el que los estafadores obtuvieron alrededor de $17,000 antes de que el sitio fuera dado de baja. Un análisis en profundidad de Domain Mayday sobre qué ocurrió, cómo sucedió y qué nos enseña sobre la dependencia del DNS incluso en sitios nativos de cripto.
- domains
- security
- dns
- domain-security
Durante más de una década, si querías una respuesta clara y neutral sobre "qué es Bitcoin y cómo usarlo de forma segura," internet te dirigía a una única dirección: Bitcoin.org.
Nunca fue un exchange. Nunca vendió nada. Era lo más parecido a un felpudo de bienvenida oficial que el dinero más adversarial y sin confianza del mundo podía tener — un sitio registrado el 18 de agosto de 2008, anterior al bloque génesis en sí mismo, el lugar donde vivía el white paper de Bitcoin y donde se enseñaba a los recién llegados la primera regla del cripto: sé tu propio banco, y no confíes tus claves a nadie.
Así que hay una ironía brutal en lo que ocurrió el jueves 23 de septiembre de 2021. La lección de seguridad más repetida en todo el mundo cripto — si alguien promete duplicar tus monedas, es una estafa — fue transmitida, al revés, desde la propia puerta principal de Bitcoin. Durante unas pocas horas, el sitio web que enseñaba a la gente a no caer en el "duplica tu Bitcoin" era la estafa del "duplica tu Bitcoin". Y esto ocurrió no porque alguien haya entrado en un servidor, sino porque alguien tomó el control del dominio.
Un hogar simbólico y de confianza para Bitcoin
Para entender por qué este secuestro dolió tanto, hay que entender qué significaba Bitcoin.org.
Bitcoin no tiene CEO, ni sede central, ni portavoz oficial. Lo que tuvo —durante años— fue un pequeño conjunto de sitios de referencia administrados por la comunidad, y Bitcoin.org era el más destacado de ellos. CryptoPotato lo calificó como el sitio web más antiguo relacionado con BTC, registrado hace más de 13 años. Alojaba recomendaciones de wallets, guías para principiantes y una copia del white paper de Satoshi Nakamoto.
También era, de forma apropiada para Bitcoin, operado por un fantasma. El sitio es mantenido por un operador seudónimo conocido únicamente como Cobra — anónimo por principio. Ese principio había sido puesto a prueba recientemente ante los tribunales: apenas meses antes, el autoproclamado "Satoshi" Craig Wright había ganado un caso de derechos de autor en el Reino Unido que obligó a Bitcoin.org a retirar el white paper, con un juez que emitió una orden que prohibía a Cobra infringir los derechos de autor de Wright en el Reino Unido. La defensa de Cobra de su propio anonimato fue casi poética: las normas del tribunal me permitían ser demandado de forma seudónima; sin embargo, no podía defenderme de forma seudónima.
El punto es que Bitcoin.org acumulaba confianza — del tipo institucional que se supone que un movimiento sin líderes no debería tener, acumulada silenciosamente durante trece años. Esa confianza es exactamente lo que lo convirtió en un objetivo. Una estafa funciona mejor cuanto más creíble es su anfitrión. Y hay muy pocos anfitriones en el mundo cripto más creíbles que el propio nombre de Bitcoin.
Hay una segunda ironía, más aguda, escondida aquí. Todo el ethos de Bitcoin.org era la autocustodia: guarda tus propias claves, no confíes en ningún custodio, verifica todo. Un visitante que hubiera interiorizado esa lección jamás entregaría monedas a la cartera de un desconocido a cambio de una promesa. Pero la estafa del sorteo no les pedía que confiaran en un desconocido — les pedía que confiaran en el propio Bitcoin.org, la única dirección que durante años se les había dicho que era el lugar seguro para comenzar. El ataque no venció la lección; secuestró al mensajero.
Septiembre de 2021: el secuestro y el falso sorteo
En la mañana del 23 de septiembre de 2021, los visitantes de Bitcoin.org no vieron guías de wallets. Vieron un modal emergente — una superposición limpia y de aspecto oficial estampada en la página de inicio del sitio de referencia más confiable de Bitcoin.
El mensaje era el truco más antiguo del mundo cripto, revestido de autoridad prestada. Afirmaba que la Bitcoin Foundation estaba devolviendo algo a la comunidad, decía que la oferta estaba limitada a los primeros 10,000 usuarios, y hacía una simple promesa: ¡Envía Bitcoin a esta dirección y te enviaremos el doble de la cantidad de vuelta!. Un código QR lo hacía sin fricciones. La mecánica, como CoinDesk describió irónicamente el género, es siempre la misma: estos esquemas hacen falsas promesas de duplicar los fondos de uno después de enviar una cantidad inicial a una dirección de cartera mediante un código QR. Y el resultado es siempre el mismo también: las víctimas, de hecho, no reciben nada a cambio y pierden el cripto que enviaron.
Cobra confirmó la brecha de forma pública y directa, publicando que el sitio ha sido comprometido. Actualmente investigando cómo los hackers colocaron el modal de estafa en el sitio.
Lo que perdieron los visitantes
Una estafa de "duplica tu dinero" solo funciona si algunas personas la creen. En un sitio web aleatorio, casi nadie lo haría. En Bitcoin.org, algunos sí lo hicieron.
La cartera de la estafa no permaneció vacía. BleepingComputer informó que el último saldo actualizado de la cartera era de 0.40571238 BTC o aproximadamente $17,000 USD. CoinDesk, captándolo en directo, señaló que la dirección de la estafa del sorteo había recibido más de $17,700 en pequeñas transacciones en el momento de la publicación.
Diecisiete mil dólares, desaparecidos en una ventana de una noche, en un fraude del que el propio sitio anfitrión te habría advertido. Y recuerda la parte más cruel del diseño de Bitcoin: esas transacciones son definitivas. No hay contracargo, no hay departamento de fraude, no hay "llamar al banco". La misma irreversibilidad que hace poderoso a Bitcoin es la que hizo que la pérdida de cada víctima fuera permanente en el instante en que escaneó el código.
La cifra en dólares casi no importa. El daño real fue a lo que Bitcoin.org pasó trece años construyendo — la suposición de que esta dirección, de todas las direcciones, era segura de confiar.
Cómo ocurrió: un compromiso DNS, no una brecha en el servidor
Aquí está el detalle que convierte esto en una historia de Domain Mayday y no en otro cuento de phishing más: los atacantes nunca tuvieron que irrumpir en los servidores de Bitcoin.org.
Cobra fue tajante en este punto. El servidor de origen, dijo, estaba intacto — mi servidor real no recibió ningún tráfico durante el hackeo. En cambio, el ataque ocurrió una capa más arriba, en la parte de internet que decide hacia dónde apunta un nombre de dominio. Los observadores que siguieron el incidente notaron que la información WHOIS fue actualizada en el momento del hackeo, los nameservers + DNS fueron cambiados. Una vez que controlas los nameservers, controlas la respuesta a la pregunta "¿a qué servidor es bitcoin.org?" — y puedes apuntar silenciosamente un nombre de confianza hacia un servidor que tú mismo controlas.
El propio diagnóstico de Cobra señaló la culpa hacia la capa DNS y hacia un cambio reciente de infraestructura. Como él mismo dijo: Bitcoin.org nunca había sido hackeado. Y luego nos mudamos a Cloudflare, y dos meses después nos hackean. Su teoría de trabajo era específica y contundente: los atacantes parecen haber explotado alguna falla en el DNS. Decrypt resumió la lectura predominante de la misma manera: los atacantes explotaron una falla en la configuración DNS después de que el sitio web se mudara a Cloudflare dos meses antes.
Si la causa raíz fue una mala configuración, un compromiso a nivel del registrador o algo en el proveedor DNS nunca quedó del todo claro en público — CoinDesk señaló que la causa raíz del secuestro del sitio web sigue sin confirmarse, aunque algunos han sospechado que se trató de un secuestro DNS. Pero la forma del ataque es inconfundible. La aplicación estaba bien. El código estaba bien. Las claves estaban bien. El nombre fue secuestrado, y en la web, controlar el nombre es la mayor parte de la batalla.
Respuesta y consecuencias
La solución, significativamente, también ocurrió en la capa del dominio.
El sitio no podía simplemente "parcharse" para salir del problema, porque la versión maliciosa activa de Bitcoin.org no se servía desde la infraestructura real de Bitcoin.org. La forma más rápida de detener el sangrado era sacar el propio dominio de servicio. El registrador, Namecheap, hizo exactamente eso — según BleepingComputer, hemos desactivado temporalmente el dominio. Durante un tiempo, los visitantes no vieron ni una estafa ni una página de inicio; CoinDesk informó que se encontraban con el mensaje "Este sitio no está disponible". La página de referencia más confiable de Bitcoin se quedó a oscuras.
Después de unas pocas horas de investigación, el dominio fue reapuntado correctamente y el sitio fue restaurado a su estado previo al hackeo. La ventana fue corta — un día o menos — y en términos de dólares el robo fue modesto para los estándares del crimen cripto. Pero el incidente golpeó con dureza precisamente por cuál sitio era. Un movimiento que se enorgullece de "no confíes, verifica" acababa de ver cómo su propia página canónica de "confía en nosotros" era verificablemente weaponizada contra sus usuarios.
Lo que esto nos enseña sobre la dependencia del DNS incluso en sitios nativos de cripto
La lección más incómoda del secuestro de Bitcoin.org es que ser nativo de cripto no te salva casi de nada de esto.
Bitcoin es descentralizado. Su libro de contabilidad es famosamente difícil de manipular. Sus claves, cuando se guardan correctamente, son solo tuyas. Nada de eso importó aquí — porque la puerta principal a todo ello era un nombre de dominio perfectamente ordinario, funcionando sobre el mismo DNS, registrador e infraestructura de nameservers que cualquier tienda de comercio electrónico o panadería local. La blockchain estaba intacta. El sitio web era intocable en la forma que importaba, pero el nombre que apuntaba a él no lo era.
Algunas conclusiones duraderas se desprenden de esto:
-
Tu dominio es parte de tu superficie de ataque — a menudo la parte más grande. Puedes escribir código impecable, guardar tus claves en almacenamiento en frío y reforzar cada servidor, y un atacante que controle tus nameservers o tu cuenta del registrador todavía puede suplantarte completamente. El nombre es la puerta principal, y un nombre secuestrado le permite a un extraño responder en tu lugar.
-
Los cambios de DNS/registrador son silenciosos y de alto impacto. Cuando los nameservers + DNS fueron cambiados, nada "se rompió" de una manera que la mayoría de los sistemas de monitoreo detectarían de inmediato — el sitio seguía cargando, solo que desde el lugar equivocado. El bloqueo del registrador, el bloqueo del registro, DNSSEC y el control de acceso estricto en las cuentas del registrador/proveedor DNS no son higiene opcional; son los cerrojos en la puerta que todos olvidan.
-
La reputación es lo que realmente se roba. Los atacantes no querían realmente el servidor de $17,000 de Bitcoin.org; querían su credibilidad, tomada prestada durante unas pocas horas para hacer creíble una estafa antigua. Cuanto más confiable es tu dominio, más valioso es secuestrarlo — y más cuidado debes tener sobre quién puede cambiar hacia dónde apunta.
-
La infraestructura "sin confianza" sigue descansando sobre nombres de confianza. Incluso Bitcoin, el ejemplo canónico de eliminación de intermediarios, llega a sus usuarios a través de DNS — un sistema jerárquico, intermediado y mutable. Descentralizar el dinero no descentraliza la puerta principal.
-
La velocidad de detección supera a la elegancia de la defensa. Bitcoin.org sobrevivió esto con una pérdida modesta en gran parte porque la comunidad detectó la estafa rápidamente y el registrador pudo retirar el dominio en pocas horas. Cuanto más tiempo mantiene un nombre secuestrado resolviendo hacia un atacante, mayor es la pérdida — y el daño reputacional — que se acumula. Saber en el instante en que el control o el enrutamiento de tu nombre cambia vale más que cualquier candado estático individual.
El ángulo de Namefi
El secuestro de Bitcoin.org es, en su raíz, un problema de control y verificabilidad. La aplicación era sólida. La blockchain era sólida. Lo que falló fue la capa que responde a una pregunta engañosamente simple: ¿quién controla legítimamente este nombre y hacia dónde está permitido que apunte? Cuando la respuesta a esa pregunta puede reescribirse silenciosamente — nameservers intercambiados, información WHOIS actualizada en el momento del hackeo — la confianza se evapora sin importar cuán sólido sea el resto del stack.
Namefi parte de la idea de que la propiedad y el control de dominios deberían comportarse como un activo de primera clase, verificable y nativo de internet, en lugar de una entrada en una base de datos mutable que un atacante puede editar silenciosamente. La propiedad tokenizada y auditable hace que la pregunta "¿quién controla este dominio, y acaba de cambiar ese control?" sea respondible on-chain — convirtiendo un intercambio silencioso de nameservers en un evento visible y responsable, mientras se mantiene compatible con el DNS del que depende el resto de la web. No hace desaparecer el DNS en sí, pero hace que el control sobre un nombre sea más difícil de secuestrar de forma invisible y más fácil de verificar continuamente.
Bitcoin.org pasó trece años enseñando al mundo que el momento peligroso es aquel en que dejas de verificar y empiezas a confiar. Durante unas pocas horas en septiembre de 2021, su propio dominio demostró la lección del modo difícil. La conclusión para todos los demás es más sencilla de lo que parece: tu dominio es tu identidad en internet — cuida el nombre con el mismo cuidado con el que cuidas las claves detrás de él.
Fuentes y lecturas adicionales
- BleepingComputer — Bitcoin.org hackers steal $17,000 in 'double your cash' scam
- CoinDesk — Bitcoin.org Website Inaccessible After Being Hacked by Apparent Giveaway Scam
- Bitcoin.com News — Hackers Compromise Web Portal Bitcoin.org — DNS Hijack Replaces Site With BTC Doubler Scam
- Decrypt — Bitcoin.org Compromised, Fraudulent Crypto Giveaway Advertised
- Cointelegraph — Bitcoin.org goes offline after suffering scam attack
- CryptoPotato — BitcoinOrg Hacked: Giveaway Scam Promising Users to Double Their BTC
- NewsBTC — Bitcoin.org Hacked By Scammers For A Few Minutes. Someone Sent Them 0.4 BTC
- CoinDesk — UK Court Orders Bitcoin.org to Remove White Paper Following Craig Wright Lawsuit
- Wikipedia — Bitcoin (historial del dominio bitcoin.org)
Sobre quienes escriben
Guías relacionadas
- El Minuto de $12: Cuando Alguien Compró Google.com en SilencioEn septiembre de 2015, un exempleado de Google compró google.com a través de Google Domains por $12 y tuvo el control administrativo del dominio más valioso del mundo durante aproximadamente un minuto. La historia de Sanmay Ved, la recompensa de $6,006.13 y lo que un minuto de propiedad revela sobre quién controla realmente un dominio.
- Domain Mayday EP03: El hackeo de cuentas de Bitcoin en Twitter en 2020El 15 de julio de 2020, unos atacantes se introdujeron por teléfono en Twitter, secuestraron las cuentas verificadas de Obama, Biden, Musk, Gates, Apple y Uber, y ejecutaron una estafa de duplicación de Bitcoin que les reportó unos 118.000 dólares. Un análisis en profundidad de cómo se robó el control de una identidad en línea y qué nos enseña sobre ser dueño de un nombre.
- Domain Mayday EP05: El secuestro masivo de dominios DeFi en Squarespace en 2024En julio de 2024, una migración de registrador de Google Domains a Squarespace convirtió una autenticación predeterminada débil en una superficie de ataque masiva. Los atacantes secuestraron los dominios de proyectos cripto y DeFi — Compound Finance, Celer Network, Pendle, Unstoppable Domains — y los redirigieron a sitios de phishing que vaciaban carteras. Así es como una migración "sin fricciones" dejó cientos de puertas sin cerrar, y lo que eso nos enseña sobre la seguridad del registrador y el MFA.
- El ataque al front-end de BadgerDAO: $120M drenados a través de un solo script inyectadoEn diciembre de 2021, atacantes comprometieron la cuenta de Cloudflare de BadgerDAO e inyectaron un script malicioso en el front-end de su sitio web. Los contratos inteligentes auditados nunca fueron tocados — sin embargo, ~$120M salieron por la puerta a través de aprobaciones de billeteras que los usuarios firmaron sin saberlo. Un análisis profundo sobre por qué el sitio web forma parte de tu superficie de seguridad.