NFT, criptomonedas y los 10 riesgos de seguridad asociados

Los riesgos en torno a las tecnologías descentralizadas como NFT,  criptomonedas y otras pueden aumentar los niveles de ansiedad de los CISOs.

Por Andrada Fiscutean | Original de IDGN

 

La lista de empresas que aceptan pagos en criptomonedas sigue ampliándose, por lo que los clientes pueden comprar casi todo lo que quieran: productos electrónico, títulos universitarios y capuchinos. 

Al mismo tiempo, el mercado de tokens no fungibles (NFT) se dispara, con nuevos artistas que se vuelven millonarios y nombres más establecidos como Snoop Dogg, Martha Stewart y Grimes capitalizando la tendencia.

Las criptomonedas y los NFT están en la agenda de muchas organizaciones mientras discuten las ramificaciones de Web3 y las oportunidades que presenta. 

Este nuevo gran cambio en la evolución de Internet promete descentralizar nuestro mundo digital, ofreciendo a los usuarios más control y un flujo de información más transparente.

En todas las industrias, las empresas están dando lo mejor de sí para adaptarse al nuevo paradigma.  

Pero los CISO tienen una larga lista de preocupaciones, comenzando con: 

• La ciberseguridad y el fraude de identidad
• Los riesgos de seguridad del mercado
• La gestión de claves y datos 
• Y la privacidad

La criptomoneda en cualquier forma, incluidas los NFT, tiene un conjunto de amenazas y preocupaciones de seguridad que pueden no ser familiares para la mayoría de las empresas.  

Doug Schwenk, director ejecutivo de Digital Asset Research destaca que requieren una serie de nuevos procedimientos operativos, crean exposición a un nuevo conjunto de sistemas (cadenas de bloques públicas). 

“Conllevan riesgos que muchas empresas no conocen”, dice 

La forma en que los CISO piensan sobre estos temas podría afectar a los usuarios y socios comerciales.  

“Los compromisos tienen un impacto financiero inmediato en la empresa o en sus usuarios y/o recolectores de NFT”, dice Eliya Stein, ingeniera de seguridad sénior en Confiant.

Estos son los diez riesgos de seguridad más importantes que las criptomonedas y las NFT presentan para los CISO.

1.- Integrar protocolos blockchain puede ser complejo

La cadena de bloques es una tecnología relativamente nueva.  Como resultado, incorporar protocolos de blockchain en un proyecto se vuelve un poco difícil.  

“El principal desafío asociado con blockchain es la falta de conocimiento de la tecnología, especialmente en sectores distintos al bancario, y una falta generalizada de comprensión de cómo funciona. Esto está obstaculizando la inversión y la exploración de ideas”, según un informe de Deloitte. 

Las empresas deben evaluar cuidadosamente la madurez y la idoneidad de cada cadena respaldada.  

Para Schwenk la adopción de un protocolo [de cadena de bloques] que se encuentra en una etapa temprana puede generar tiempo de inactividad y riesgos de seguridad, mientras que los protocolos en etapas posteriores actualmente tienen tarifas de transacción más altas.  

“Después de seleccionar un protocolo para respaldar el uso deseado (como pagos), es posible que no haya ningún soporte disponible del patrocinador. Es mucho más como adoptar código abierto, en el que los proveedores de servicios particulares pueden ser necesarios para obtener el valor completo”, explicó.

2.- Cambio en las normas de propiedad de los bienes

Cuando alguien compra un NFT, en realidad no está comprando una imagen, porque almacenar fotos en la cadena de bloques no es práctico debido a su tamaño. 

En cambio, lo que los usuarios adquieren es una especie de recibo que les indica esa imagen.

La cadena de bloques solo almacena la identificación de la imagen, la cual puede ser un hash o una URL. El protocolo HTTP se usa a menudo, pero una alternativa descentralizada es el Sistema de archivos interplanetarios (IPFS).  

Las organizaciones que opten por IPFS deben comprender que el nodo de IPFS estará a cargo de la empresa que vende el NFT y, si esa empresa decide cerrar la tienda, los usuarios pueden perder el acceso a la imagen a la que apunta el NFT.

“Aunque es técnicamente posible volver a cargar un archivo en IPFS, es poco probable que un usuario normal pueda hacerlo porque el proceso es complejo”, dice el investigador de seguridad independiente Anatol Prisacaru.  “Sin embargo, lo bueno es que, debido a la naturaleza descentralizada y sin permisos, cualquiera puede hacer eso, no solo los desarrolladores del proyecto”.

3.- Riesgos de seguridad del mercado

Si bien los NFT se basan en la tecnología blockchain, las imágenes o videos asociados con ellos se pueden almacenar en una plataforma centralizada o descentralizada.  

A menudo, por conveniencia, se elige el modelo centralizado, porque facilita que los usuarios interactúen con los activos digitales.  

La desventaja de esto es que los mercados de NFT pueden heredar las vulnerabilidades de Web2.  Además, mientras las transacciones bancarias tradicionales son reversibles, las de la cadena de bloques no lo son.

“Un servidor comprometido puede presentar al usuario información engañosa que lo engañe para que ejecute transacciones que agotarán su billetera”, dice Prisacaru. 

Pero dedicar suficiente tiempo y esfuerzo para realizar la implementación correctamente puede proteger contra ataques, especialmente cuando se trata de usar una plataforma descentralizada.

“Cuando se implementa correctamente de manera descentralizada, un mercado comprometido no debería poder robar o alterar los activos de un usuario. Sin embargo, algunos mercados toman atajos: sacrifican la seguridad y la descentralización por más control”, dice Prisacaru.

4.- Fraudes de identidad en NFT y estafas de criptomonedas

Las estafas de criptomonedas son comunes y, a menudo, pueden tener una gran cantidad de víctimas.  

“Los estafadores, regularmente, se mantienen al tanto de los lanzamientos de NFT muy esperados. Por lo general, tienen cientos de sitios oficiales de acuñación de estafas listos para promocionar junto con el lanzamiento”, señala Stein. 

Los clientes que son víctimas de estas estafas suelen ser algunos de los más leales, y esta mala experiencia podría afectar potencialmente la forma en que perciben la marca. Por lo tanto, protegerlos es crucial.

A menudo, los usuarios reciben correos electrónicos maliciosos que les informan que se notó un comportamiento sospechoso en una de sus cuentas.  

Se les pide que proporcionen sus credenciales para la verificación de la cuenta para resolver eso.  Si el usuario cae en esto, sus credenciales se ven comprometidas.  

“Cualquier marca que intente ingresar al espacio NFT se beneficiaría de la asignación de recursos para el monitoreo y la mitigación de este tipo de ataques de phishing”, insiste Stein.

5.- Los puentes blockchain son una amenaza creciente

Diferentes cadenas de bloques tienen diferentes monedas y están sujetas a diferentes reglas.  

Por ejemplo, si alguien tiene bitcoin pero quiere gastar Ethereum, necesita una conexión entre las dos cadenas de bloques que permita la transferencia de activos.

El puente de cadena de bloques, a veces llamado puente de cadena cruzada, hace precisamente eso. 

“Debido a su naturaleza, por lo general no se implementan estrictamente mediante contratos inteligentes y dependen de componentes fuera de la cadena que inician la transacción en la otra cadena cuando un usuario deposita activos en la cadena original”, dice Prisacaru.

Algunos de los hacks de criptomonedas más grandes involucran puentes entre cadenas incluidos: 

• Ronin
• Poly Network
• Wormhole

Por ejemplo, en el ataque contra la cadena de bloques de juegos Ronin a fines de marzo de 2022, los atacantes obtuvieron Us$ 625 millones en Ethereum y USDC. 

Además, durante el ataque de Poly Network en agosto de 2021, un hacker transfirió más de US$ 600 millones de dólares en tokens a múltiples billeteras de criptomonedas. 

Afortunadamente, en este caso, el dinero fue devuelto dos semanas después.

6.- El código debe ser probado y auditado a fondo

Tener un buen código debe ser una prioridad desde el comienzo de cualquier proyecto.  Prisacaru argumenta que los desarrolladores deben ser hábiles y estar dispuestos a prestar atención a los detalles.  

De lo contrario, aumenta el riesgo de ser víctima de un incidente de seguridad.  

Por ejemplo, en el ataque Poly Network, el atacante aprovechó una vulnerabilidad entre llamadas de contrato.

Para evitar un incidente, los equipos deben realizar pruebas exhaustivas.  

La organización también debe contratar a un tercero para realizar una auditoría de seguridad, aunque esto puede ser costoso y llevar mucho tiempo.  

Las auditorías ofrecen una revisión sistemática del código para ayudar a identificar las vulnerabilidades más conocidas.

Por supuesto, verificar el código es necesario pero no suficiente y el hecho de que la empresa haya realizado una auditoría no garantiza que estén fuera de problemas.  

“En una cadena de bloques, los contratos inteligentes suelen ser altamente componibles y, a menudo, sus contratos interactuarán con otros protocolos. Sin embargo, las empresas solo tienen control sobre su propio código, e interactuar con protocolos externos aumentará los riesgos”, dice Prisacaru.  

Tanto las personas como las empresas pueden explorar otra vía para la gestión de riesgos: los seguros, que ayudan a las empresas a reducir el costo de los contratos inteligentes o los hackeos de custodios.

7.- Gestión de claves

Schwenk recuerda un hecho que suele ser olvidado: en el fondo, la criptografía es solo la gestión de claves privadas. 

“Eso suena simple para muchas empresas: los CISO pueden estar al tanto de los problemas y las mejores prácticas”, destaca.

Hay varias soluciones accesibles para la gestión de claves.  Una de ellas son las carteras de hardware como Trezor, Ledger o Lattice1. 

Se trata de dispositivos USB que generan y almacenan el material criptográfico en sus elementos seguros, impidiendo que los atacantes accedan a tus claves privadas aunque tengan acceso a tu ordenador, por ejemplo, mediante un virus/puerta trasera.

Otra línea de defensa son las firmas múltiples, que se pueden usar junto con billeteras de hardware.  

“En su base, un multi-sig es una billetera de contrato inteligente que requiere que las transacciones sean confirmadas por varios de sus propietarios”, dice Prisacaru. 

Explica que, por ejemplo, un contrato podría tener cinco propietarios y requerir un mínimo de tres personas para firmar la transacción antes de poder enviarla. 

“De esta manera, un atacante tendría que comprometer a más de una persona para comprometer la billetera”, destacó.

8.- Educación de empleados y usuarios

Las organizaciones que deseen integrar las tecnologías Web3 deben capacitar a sus empleados porque se necesitan nuevas herramientas para realizar transacciones en las diferentes cadenas de bloques.  

“El comercio de activos digitales puede parecer familiar para el comercio electrónico tradicional, pero las herramientas y los complementos de navegador necesarios para dominar este nuevo mundo son bastante diferentes a los que están acostumbrados los equipos financieros”, dice Aaron Higbee, cofundador y CTO de Seguro.

Si bien todas las empresas deben preocuparse por los ataques de phishing basados ​​en correo electrónico, los empleados que manejan activos digitales pueden ser atacados con más frecuencia. 

El propósito de la capacitación es asegurarse de que todos los miembros del equipo sigan las mejores prácticas más recientes y comprendan bien la seguridad.  

Oded Vanunu, jefe de investigación de vulnerabilidades de productos en Check Point, dice que notó “una gran brecha” en el conocimiento en lo que respecta a las criptomonedas, lo que puede hacer que las cosas sean “un poco caóticas” para ciertas empresas.  

“Las organizaciones que deseen integrar las tecnologías Web3 deben comprender que estos proyectos deben tener revisiones de seguridad profundas y comprensión de la seguridad. Lo que significa que deben comprender los números y las implicaciones que pueden ocurrir”, dice.

Algunas organizaciones que no quieren realizar una gestión de claves privadas deciden utilizar un sistema centralizado, lo que las hace vulnerables a los problemas de seguridad de Web2. 

“Recomiendo que, si están integrando tecnologías Web3 en su Web2, este debe ser un proyecto que tenga una revisión de seguridad profunda y las mejores prácticas de seguridad que deben implementarse”, dice Vanunu.

9.- La permanencia de las NFTs y las apps descentralizadas Web3

Muchos eliminarán productos que ya no satisfacen sus necesidades pero esto, generalmente, no está disponible para los activos respaldados por blockchain, si se hacen correctamente.

“Los NFT no deben tratarse como un esfuerzo de marketing de una sola vez”, dice Stein.  “Si el NFT en sí mismo no está en cadena, ahora la empresa tiene la carga de mantenerlo a perpetuidad”. 

Destacó que, si el proyecto se convierte en un gran éxito, entonces la empresa ha asumido la importante tarea de apoyar a los recolectores de estos NFT con respecto a a percances, estafas, etc.

Un proyecto viral es el lanzado por el gobierno ucraniano, que vendió NFT según la línea de tiempo de la guerra.  

“El lugar para guardar la memoria de la guerra. Y el lugar para celebrar la identidad y la libertad de Ucrania”, según un tuit de Mykhailo Fedorov, viceprimer ministro de Ucrania y ministro de transformación digital.  

Los entusiastas de NFT reaccionaron positivamente y dijeron que querían comprar un pedazo de historia y apoyar a Ucrania.  

Su expectativa, sin embargo, es que el proyecto se mantenga.

10.- Blockchain no siempre es la herramienta adecuada

Las nuevas tecnologías siempre son emocionantes, pero antes de dar el salto, las organizaciones deben preguntarse si realmente resuelven el problema y si es el momento adecuado para adoptarlas.  

Los proyectos basados ​​en blockchain tienen el potencial de mejorar las empresas, pero también pueden agotar los recursos, al menos en la etapa inicial.

“Sopesar el riesgo/recompensa será una parte importante de la decisión, y es fundamental dotar adecuadamente de recursos al esfuerzo de seguridad, tanto en la adopción como en curso”, dice Schwenk.  

Señala que el juicio de riesgo/recompensa para estas nuevas exposiciones puede no ser (todavía) una competencia central. 

“Es fácil quedar atrapado en la exageración que a menudo se asocia con las criptomonedas”, afirmó.