[02/05/2022] La lista de empresas que aceptan pagos en criptomoneda sigue ampliándose, por lo que los clientes pueden comprar casi todo lo que quieran: dispositivos electrónicos, títulos universitarios y capuchinos. Al mismo tiempo, el mercado de tokens no fungibles (NFT, por sus siglas en inglés) se dispara, nuevos artistas se vuelven millonarios y nombres más conocidos como Snoop Dogg, Martha Stewart y Grimes capitalizan esta tendencia.
Las criptomonedas y los NFT están en la agenda de muchas organizaciones mientras discuten las ramificaciones de la Web3 y las oportunidades que presenta. Este nuevo gran cambio en la evolución de Internet promete descentralizar nuestro mundo digital, ofreciendo a los usuarios más control y un flujo de información más transparente.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
En todas las industrias, las empresas están dando lo mejor de sí para adaptarse al nuevo paradigma. Pero los CISO tienen una larga lista de preocupaciones, comenzando con la ciberseguridad y los robos de identidad, los riesgos de seguridad del marketplace, la gestión de claves y datos, así como la privacidad.
La criptomoneda -en cualquiera de sus de sus formas, incluidos los NFT- tiene un conjunto de amenazas y preocupaciones de seguridad que pueden no ser familiares para la mayoría de las empresas. "Requiere una serie de nuevos procedimientos operativos, crea exposición a un nuevo conjunto de sistemas (blockchains públicas), y conlleva riesgos que muchas empresas no conocen”, señala Doug Schwenk, director ejecutivo de Digital Asset Research.
La forma en que los CISO piensan sobre estos temas podría afectar a los usuarios y socios de negocio. "Los compromisos tienen un impacto financiero inmediato en la empresa o en sus usuarios y/o recolectores de NFT”, afirma Eliya Stein, ingeniera de seguridad senior de Confiant.
A continuación, los 10 riesgos de seguridad más importantes que las criptomonedas y los NFT presentan para los CISO.
1. La integración de protocolos de blockchain puede ser compleja
Blockchain es una tecnología relativamente nueva. Como resultado, incorporar protocolos de blockchain en un proyecto se vuelve un poco difícil. "El principal desafío asociado con blockchain es la falta de conocimiento de la tecnología, especialmente en sectores distintos al bancario, y una falta generalizada de comprensión de cómo funciona”, según un informe de Deloitte. "Esto está obstaculizando la inversión y la exploración de ideas”.
Las empresas deben evaluar cuidadosamente la madurez y la idoneidad de cada cadena soportada. "La adopción de un protocolo [de blockchain] que se encuentra en una etapa temprana puede generar tiempo de inactividad y riesgos de seguridad, mientras que los protocolos en etapas posteriores actualmente tienen tarifas de transacción más altas”, afirma Schwenk. "Después de seleccionar un protocolo para soportar el uso deseado (como pagos), es posible que no haya ningún soporte disponible del patrocinador. Es mucho más como adoptar código abierto, donde los proveedores de servicios particulares pueden ser necesarios para obtener el valor completo”.
2. Cambio en las normas de propiedad de los activos
Cuando alguien compra un NFT, en realidad no está comprando una imagen, porque almacenar fotos en la blockchain no es práctico debido a su tamaño. En cambio, lo que los usuarios adquieren es una especie de recibo que les indica esa imagen.
La cadena de bloques solo almacena la identificación de la imagen, que puede ser un hash o una URL. El protocolo HTTP se usa a menudo, pero una alternativa descentralizada es el Sistema de archivos interplanetarios (IPFS, por sus siglas e inglés). Las organizaciones que opten por el IPFS deben comprender que el nodo de IPFS estará a cargo de la empresa que vende el NFT, y si esa empresa decide cerrar la tienda, los usuarios pueden perder el acceso a la imagen a la que apunta el NFT.
"Aunque es técnicamente posible volver a cargar un archivo en IPFS, es poco probable que un usuario normal pueda hacerlo porque el proceso es complejo”, afirma el investigador de seguridad independiente, Anatol Prisacaru. "Sin embargo, lo bueno es que, debido a la naturaleza descentralizada y sin permisos, cualquiera puede hacer eso, no solo los desarrolladores del proyecto”.
3. Riesgos de seguridad del marketplace
Si bien los NFT se basan en la tecnología blockchain, las imágenes o videos asociados con ellos se pueden almacenar en una plataforma centralizada o descentralizada. A menudo, por conveniencia, se elige el modelo centralizado, porque facilita que los usuarios interactúen con los activos digitales. La desventaja de esto es que los mercados de NFT pueden heredar las vulnerabilidades de la Web2. Además, mientras que las transacciones bancarias tradicionales son reversibles, las de la blockchain no lo son.
"Un servidor comprometido puede presentarle al usuario información engañosa para que ejecute transacciones que agotarán su billetera”, afirma Prisacaru. Pero dedicar suficiente tiempo y esfuerzo para realizar la implementación correctamente puede proteger contra ataques, especialmente cuando se trata de usar una plataforma descentralizada.
"Cuando se implementa correctamente, de manera descentralizada, un mercado comprometido no debería poder robar o alterar los activos de un usuario; sin embargo, algunos mercados toman atajos y sacrifican la seguridad y la descentralización por más control”, afirma Prisacaru.
4. Robo de identidad y estafas con criptomonedas
Las estafas con criptomonedas son comunes y, a menudo, pueden tener una gran cantidad de víctimas. "Los estafadores regularmente se mantienen al tanto de los lanzamientos de NFTs muy esperados y, por lo general, tienen docenas de sitios fraudulentos listos para promocionar junto con el lanzamiento oficial”, afirma Stein. Los clientes que son víctimas de estas estafas suelen ser algunos de los más leales, y esta mala experiencia podría afectar potencialmente la forma en que perciben la marca. Por lo tanto, protegerlos es crucial.
A menudo, los usuarios reciben correos electrónicos maliciosos que les informan que se notó un comportamiento sospechoso en una de sus cuentas. Con el fin de resolver ese supuesto comportamiento, se les pide que proporcionen sus credenciales para la verificación de la cuenta. Si el usuario cae en esto, sus credenciales se ven comprometidas. "Cualquier marca que intente ingresar al espacio NFT se beneficiaría de la asignación de recursos para el monitoreo y la mitigación de este tipo de ataques de phishing”, afirma Stein.
5. Los puentes de blockchain son una amenaza creciente
Diferentes blockchains tienen diferentes monedas y están sujetas a diferentes reglas. Por ejemplo, si alguien tiene bitcoin, pero quiere gastar Ethereum, necesita una conexión entre las dos blockchains que permita la transferencia de activos.
Un puente de blockchain, a veces llamado puente de cadena cruzada, hace precisamente eso. "Debido a su naturaleza, por lo general no se implementan estrictamente mediante contratos inteligentes y dependen de componentes fuera de la cadena, que inician la transacción en la otra cadena cuando un usuario deposita activos en la cadena original”, afirma Prisacaru.
Algunos de los hacks de criptomonedas más grandes involucran puentes entre cadenas cruzadas, incluidos Ronin, Poly Network, Wormhole. Por ejemplo, en el ataque contra la blockchain de juegos Ronin, a fines de marzo del 2022, los atacantes obtuvieron 625 millones de dólares en Ethereum y USDC. Además, durante el ataque de Poly Network, en agosto del 2021, un hacker transfirió más de 600 millones de dólares en tokens a varias billeteras de criptomonedas. Por suerte, en este caso, el dinero fue devuelto dos semanas después.
6. El código debe probarse y auditarse a fondo
Desde el comienzo de cualquier proyecto, tener un buen código debe ser una prioridad. Prisacaru argumenta que los desarrolladores deben ser hábiles y estar dispuestos a prestar atención a los detalles. De lo contrario, aumenta el riesgo de ser víctima de un incidente de seguridad. Por ejemplo, en el ataque a Poly Network, el atacante aprovechó una vulnerabilidad entre llamadas de contrato.
Para evitar un incidente, los equipos deben realizar pruebas exhaustivas. La organización también debe contratar a un tercero para realizar una auditoría de seguridad, aunque esto puede ser costoso y llevar mucho tiempo. Las auditorías ofrecen una revisión sistemática del código para ayudar a identificar las vulnerabilidades más conocidas.
Por supuesto, verificar el código es necesario, pero no suficiente; y el hecho de que una empresa haya realizado una auditoría no garantiza que no tenga problemas. "En una blockchain, los contratos inteligentes suelen ser muy componibles y, a menudo, sus contratos interactuarán con otros protocolos”, afirma Prisacaru. "Sin embargo, las empresas solo tienen control sobre su propio código, e interactuar con protocolos externos aumentará los riesgos”.
Tanto las personas como las empresas pueden explorar otra vía para la gestión de los riesgos: los seguros, que ayudan a las empresas a reducir el costo de los contratos inteligentes o los hacks de custodios.
7. Gestión de las claves
"En el fondo, la criptografía es solo la gestión de las claves privadas”, afirma Schwenk. "Eso suena simple para muchas empresas, y los CISO pueden estar al tanto de los problemas y las mejores prácticas”.
Hay varias soluciones accesibles para la gestión de claves. Una de ellas son las billeteras de hardware como Trezor, Ledger o Lattice1. Se trata de dispositivos USB que generan y almacenan el material criptográfico en sus elementos seguros, impidiendo que los atacantes accedan a sus claves privadas, aunque tengan acceso a su computadora, por ejemplo, mediante un virus/backdoor.
Otra línea de defensa son las firmas múltiples, que se pueden usar junto con billeteras de hardware. "En su base, un multi-sig es una billetera de contrato inteligente que requiere que las transacciones sean confirmadas por varios de sus propietarios”, afirma Prisacaru. "Por ejemplo, podría tener cinco propietarios y requerir un mínimo de tres personas para firmar la transacción antes de poder enviarla. De esta manera, un atacante tendría que comprometer a más de una persona para comprometer la billetera”.
8. Educación de empleados y usuarios
Las organizaciones que deseen integrar las tecnologías Web3 deben capacitar a sus empleados porque se necesitan nuevas herramientas para realizar transacciones en las diferentes blockchains. "El comercio de activos digitales puede parecer familiar para el comercio electrónico tradicional, pero las herramientas y los complementos de navegador necesarios para dominar este nuevo mundo son bastante diferentes a los que están acostumbrados los equipos financieros”, afirma Aaron Higbee, cofundador y CTO de Cofense.
Si bien todas las empresas deben preocuparse por los ataques de phishing basados en correo electrónico, los empleados que manejan activos digitales pueden ser atacados con más frecuencia. El propósito de la capacitación es asegurarse de que todos los miembros del equipo sigan las mejores prácticas más recientes y comprendan bien la seguridad. Oded Vanunu, jefe de investigación de vulnerabilidades de productos en Check Point, afirma que, en lo que respecta a las criptomonedas, notó "una gran brecha” en el conocimiento, algo que puede hacer que las cosas sean "un poco caóticas” para ciertas empresas. "Las organizaciones que deseen integrar las tecnologías Web3 deben comprender que estos proyectos deben tener revisiones de seguridad profundas y comprensión de la seguridad, lo que significa que deben comprender los números y las implicaciones que pueden ocurrir”, afirma Vanunu.
Algunas organizaciones, que no quieren realizar una gestión de claves privadas, deciden utilizar un sistema centralizado, lo que las hace vulnerables a los problemas de seguridad de la Web2. "Recomiendo que, si están integrando tecnologías Web3 en su Web2, este debe ser un proyecto que tendrá una revisión de seguridad profunda y las mejores prácticas de seguridad que deben implementarse”, agrega Vanunu.
9. La permanencia de los NFT y las aplicaciones descentralizadas de la Web3
Muchas empresas eliminarán productos que ya no satisfacen sus necesidades, pero generalmente esto no se puede hacer con los activos basados en blockchain si están bien hechos. "Los NFT no deben tratarse como un esfuerzo único de marketing”, afirma Stein. "Si el NFT en sí mismo no está en cadena, ahora la empresa tiene la carga de mantenerlo a perpetuidad. Si el proyecto se convierte en un gran éxito, entonces la empresa ha asumido la importante tarea de apoyar a los recolectores de estos NFT en caso de percances, estafas, etcétera”.
Un proyecto viral es el lanzado por el gobierno ucraniano, que vendió NFTs basados en la línea de tiempo de la guerra. "El lugar para guardar la memoria de la guerra. Y el lugar para celebrar la identidad y la libertad de Ucrania”, según un tuit de Mykhailo Fedorov, viceprimer ministro de Ucrania y ministro de Transformación Digital. Los entusiastas de los NFT reaccionaron positivamente y afirmaron que querían comprar un pedazo de historia y apoyar a Ucrania. Su expectativa, sin embargo, es que el proyecto se mantenga.
10. La Blockchain no siempre es la herramienta adecuada
Las nuevas tecnologías siempre son emocionantes, pero antes de dar el salto, las organizaciones deben preguntarse si realmente resuelven el problema y si es el momento adecuado para adoptarlas. Los proyectos basados en blockchain tienen el potencial de mejorar las empresas, pero también pueden agotar los recursos, al menos en la etapa inicial.
"Sopesar el riesgo/recompensa será una parte importante de la decisión, y es fundamental dotar adecuadamente de recursos a la iniciativa de seguridad, tanto en la adopción como en curso”, afirma Schwenk. "El juicio de riesgo/recompensa para estas nuevas exposiciones puede no ser (todavía) una competencia central, y es fácil quedar atrapado en la exageración que a menudo se asocia con las criptomonedas”.
Basado en el artículo de Andrada Fiscutean (CSO) y editado por CIO Perú
Puede ver también: