Llegamos a ustedes gracias a:



Reportajes y análisis

6 casos de uso de blockchain en seguridad

[02/03/2018] El blockchain es un libro electrónico descentralizado y distribuido, construido sobre el modelo de ofrecer seguridad y confianza absolutas. Usando la criptografía, las transacciones se registran cronológica y públicamente, cada una marcada con marca de tiempo y vinculada a la anterior. Críticamente, estos 'bloques' digitales solo se pueden actualizar a través del consenso de todos los participantes, haciendo que la interceptación, modificación y eliminación de datos sea casi imposible.

Como resultado, desde que alcanzó el legendario "pico del ciclo" de Gartner en el 2016, el blockchain se ha convertido en una prioridad para los líderes de la industria, especialmente en servicios financieros, energía y fabricación. Autenticar los pagos de Bitcoin quizás se haya convertido en el caso de uso más citado, pero esta tecnología también puede extenderse a aplicaciones como las redes de distribución de contenido y los sistemas de red inteligente.

¿Cómo se aplica el blockchain a la ciberseguridad?

El blockchain tiene el potencial de mejorarlo todo, desde la integridad de los datos y las identidades digitales hasta hacer que los dispositivos de la Internet de las Cosas (IoT, por sus siglas en inglés) sean más seguros con el fin de prevenir ataques DDoS. De hecho, el blockchain podría jugar en la 'tríada de la CIA' sobre confidencialidad, integridad y disponibilidad, ofreciendo una mejor capacidad de recuperación, encriptación, auditoría y transparencia.

"El blockchain conecta los vacíos que nos quedan con nuestra pobre implementación de seguridad y falta de confiabilidad", anota Bill Buchanan, un aclamado informático y profesor de la Escuela de Computación de la Universidad Napier de Edimburgo. "En el 2018, debemos encriptar por defecto. En este momento, no puede verificar si alguien ha leído un correo electrónico suyo o que no ha sido modificado. A menudo ni siquiera podemos verificar al remitente".

"Con los métodos de blockchain, podemos verificar y firmar nuestras transacciones correctamente", añade Buchanan. "Si bien hay algo de exageración alrededor de las criptomonedas, la implementación de los métodos de blockchain realmente construirá una infraestructura más confiable para nuestros servicios digitales. La mejor aplicación será la transformación de nuestro sector público, y crear una infraestructura más centrada en los ciudadanos. Esto permitirá a los ciudadanos tener sus propias identidades y luego verificar cada transacción. Podríamos implementar elementos de nuestros servicios públicos, como el pago de beneficios, el uso de contratos inteligentes basadas en afirmaciones firmadas".

A continuación. están los casos de uso reales de blockchain en seguridad.

1. Asegurar dispositivos de borde con autenticación

A medida que el enfoque de TI cambia hacia dispositivos de borde supuestamente "inteligentes" con datos y conectividad, también lo hace la seguridad. Después de todo, la extensión de la red puede ser buena para la eficiencia de TI, la productividad y el uso de energía (es decir, buena para la nube y los recursos del centro de datos), pero representa un desafío de seguridad para el CISO, el CIO y el negocio en general. Muchos buscan posteriormente formas de utilizar blockchain para proteger dispositivos de la IoT común e IoT industrial, dado que la tecnología refuerza la autenticación, mejora la atribución y el flujo de datos, y ayuda a la administración de registros.

Por ejemplo, el emprendimiento Xage Security comenzó a fines del 2017, alegando que su plataforma de tecnología blockchain "a prueba de manipulaciones" distribuye datos privados y autenticación a escala en una red de dispositivos. Además, la firma dice que admite cualquier comunicación, que pueda trabajar al límite con una conectividad irregular y asegura una miríada de diferentes sistemas industriales.

La firma señala que ya está trabajando con ABB Wireless en proyectos de energía y automatización que requieren seguridad distribuida, así como con Dell para ofrecer servicios de seguridad en Dell IoT Gateways y su plataforma EdgeX para la industria de la energía.

Mientras tanto, como otro ejemplo del mundo real, el gobierno de la Isla de Man en el Reino Unido ha tomado una ruta diferente. Está probando la tecnología blockchain para ver si puede evitar que los dispositivos de IoT se comprometan (con firma de identidades únicas para elementos físicos con el fin de afirmar la autenticidad).

Estas mejoras también se están incorporando al nivel del chipset. Startup Filament anunció recientemente un nuevo chip diseñado para permitir que los dispositivos IoT industriales -o IIot, por sus siglas en inglés - funcionen con múltiples tecnologías de blockchain. La idea detrás de su chip Blocklet es permitir que los datos del sensor IoT se codifiquen directamente en el blockchain con el objetivo de "proporcionar una base segura para la interacción descentralizada y el intercambio".

2. Confidencialidad e integridad de datos mejoradas

Aunque el blockchain se creó originalmente sin controles de acceso específicos (debido a su distribución pública), algunas implementaciones de blockchain ahora abordan la confidencialidad de los datos y los desafíos de control de acceso. Este es claramente un desafío crítico en una época donde los datos pueden ser fácilmente manipulados o falsificados, pero el cifrado completo de los datos de blockchain asegura que estos datos no serán accesibles para las partes no autorizadas mientras están en tránsito (dejando poca o ninguna posibilidad de éxito de los ataques man-in-the-middle [MiTM]).

Esta integridad de datos se extiende a los dispositivos IoT e IIoT. Por ejemplo, IBM proporciona a su plataforma Watson IoT una opción para administrar los datos de IoT en un ledger privado de blockchain, que está integrado en los servicios en la nube de Big Blue. El servicio Blockchain Data Integrity de Ericsson proporciona datos totalmente auditables, compatibles y confiables a los desarrolladores de aplicaciones que trabajan dentro de la plataforma Predix PaaS de GE.

3. Asegure la mensajería privada

Emprendimientos como Obsidian están utilizando blockchain para proteger la información privada intercambiada en chats, aplicaciones de mensajería y a través de medios sociales. A diferencia del cifrado de extremo a extremo empleado por WhatsApp e iMessage, el messenger de Obsidian usa blockchain para proteger los metadatos de los usuarios. El usuario no tendrá que usar el correo electrónico, ni ningún otro método de autenticación, para usar el messenger. Los metadatos se distribuyen aleatoriamente en un ledger y, por lo tanto, no estarán disponibles para reunirse en un solo punto, el cual podría verse comprometido.

En otros lugares, los ingenieros de la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA, por sus siglas en ninglés) están supuestamente experimentando con blockchain para crear un servicio de mensajería que es seguro e impenetrable para los ataques extranjeros. Con blockchain arraigado en comunicaciones autenticadas y seguras, se espera que esta área madure en el futuro cercano.

4. Impulsar, o incluso reemplazar, la PKI

Public Key Infrastructure (PKI) es la criptografía de clave pública que protege correos electrónicos, aplicaciones de mensajería, sitios web y otras formas de comunicación. Sin embargo, la mayoría de las implementaciones dependen de una autoridad de certificación (CA, por sus siglas en inglés) centralizada de terceros para emitir, revocar y almacenar pares de claves, que los delincuentes pueden apuntar para comprometer las comunicaciones cifradas y las identidades falsas. En su lugar, la publicación de claves en una cadena de bloques eliminaría en teoría el riesgo de propagación falsa de claves, y permitiría que las aplicaciones verifiquen la identidad de las personas con las que se está comunicando.

CertCoin es una de las primeras implementaciones de PKI basada en blockchain. El proyecto elimina por completo a las autoridades centrales y utiliza el blockchain como un libro distribuido de dominios y sus claves públicas. Además, CertCoin proporciona una PKI pública y auditable que tampoco tiene un único punto de falla.

El emprendimiento REMME le da a cada dispositivo su propio certificado SSL basado en blockchain, que evita que los intrusos falsifiquen certificados, mientras que la empresa de investigación tecnológica Pomcor ha publicado un plan para una PKI basada en blockchain que usa blockchain para almacenar hashes de certificados emitidos y revocados (aunque, en este ejemplo, aún se requieren CA).

Quizá PKI puede ser reemplazado directamente, si va a usar el emprendimiento de seguridad de datos de Estonia, Guardtime. La empresa ha estado utilizando blockchain para crear una Keyless Signature Infrastructure (KSI), un reemplazo para PKI. Guardtime se ha convertido en "la compañía de cadena de bloques más grande del mundo por ingresos, recuento e instalaciones de clientes reales", y ha asegurado todo el millón de registros de salud de Estonia con la tecnología en el 2016.

"Actualmente dependemos de PKI para crear nuestra infraestructura de confianza, pero esto a menudo es defectuoso, especialmente porque los cibercriminales están creando sus propios certificados digitales", anota Buchanan. "Con los métodos de blockchain, podemos firmar transacciones usando identidades generadas por ciudadanos".

5. Un DNS más seguro

La botnet Mirai demostró cuán fácil es para los delincuentes comprometer la infraestructura crítica de Internet. Al eliminar el proveedor de servicios del sistema de nombres de dominio (DNS, por sus siglas en inglés) para la mayoría de los principales sitios web, los atacantes pudieron cortar el acceso a Twitter, Netflix, PayPal y otros servicios. Un enfoque de blockchain para almacenar entradas de DNS podría, en teoría, mejorar la seguridad al eliminar el único objetivo atacable.

Nebulis es un nuevo proyecto que explora el concepto de un DNS distribuido que supuestamente nunca falla ante un aluvión de solicitudes de acceso. Nebulis usa el blockchain de Ethereum y el Sistema de Archivos Interplanetario (IPFS, por sus siglas en inglés), una alternativa distribuida a HTTP, para registrar y resolver nombres de dominio. "En el corazón de Internet, vemos servicios críticos como el DNS que brindan oportunidades para una interrupción a gran escala y también para piratear organizaciones", anota Buchanan. "Por lo tanto, una infraestructura DNS más confiable, que use métodos blockchain, ayudaría considerablemente a la infraestructura central de confianza de Internet".

6. Reducción de ataques DDoS

La startup de blockchain Gladius afirma que su sistema de ledger descentralizado ayuda a protegerse de los ataques de denegación de servicio distribuido (DDoS), una afirmación importante cuando los ataques superan los 100Gbps. La firma dice que sus soluciones descentralizadas pueden proteger contra tales ataques al "permitirle conectarse a los grupos de protección cerca de usted para proporcionar una mejor protección y acelerar su contenido".

Curiosamente, Gladius afirma que la red descentralizada les permite a los usuarios alquilar su ancho de banda adicional para obtener dinero extra; con este ancho de banda excedente "distribuido a nodos, que a su vez canalizan ancho de banda a sitios web bajo ataques DDoS para asegurarse de que permanecen altos". En muchas ocasiones (sin ataques DDoS), Gladius dice que su red "acelera el acceso a Internet actuando como una red de entrega de contenido".

La seguridad del blockchain no es una panacea

Sin embargo, el blockchain no es una panacea, desde la complejidad técnica y la miríada de sistemas hasta la comprensión de que no puede garantizar el 100% de seguridad. Buchanan está preocupado por cuestiones como los límites en la tasa de transacciones que se pueden aplicar y "las tensiones sobre si la información debe almacenarse dentro o fuera de la cadena de bloques".

"2018 debe ser el año de la aplicación de la criptografía a todos nuestros datos, y blockchain proporcionará una base para que esto se extienda a todas las organizaciones", indica Buchanan. "Los desafíos clave serán alejarse de nuestras infraestructuras de TI heredadas existentes, y reconstruirlas usando una construcción central alrededor de blockchain. Un elemento central será la creación de pares de claves, con clave pública y privada, que identificarán a las personas. Desafortunadamente, nuestra infraestructura de aplicación de la ley todavía se centra en los métodos tradicionales de TI, y un paso hacia un método de cadena de bloques implicaría mayores tensiones entre la privacidad y los derechos de la sociedad para protegerse".