2017 – Seguridad

Si bien la seguridad del sistema es altísima, se han descubierta ya algunas posibles amenazas dentro del mismo, como el llamado “ataque del 51%” (si la mayoría de los nodos se ponen de acuerdo para actuar en forma deshonesta, pero dejaría de ser rentable por el abandono de participantes) o el “ataque de equilibrio” (que permitiría  ralentizar la distribución de las transacciones, aumentando el gasto). Pero estas vulnerabilidades son de los sistemas conectados a la cadena de bloques, no propios de la cadena de bloques misma.  Si bien la seguridad del sistema es altísima, se han descubierta ya algunas posibles amenazas dentro del mismo, como el llamado “ataque del 51%” (si la mayoría de los nodos se ponen de acuerdo para actuar en forma deshonesta, pero dejaría de ser rentable por el abandono de participantes) o el “ataque de equilibrio” (que permitiría  ralentizar la distribución de las transacciones, aumentando el gasto). Pero estas vulnerabilidades son de los sistemas conectados a la cadena de bloques, no propios de la cadena de bloques misma.

También son siempre posibles errores de código, como en todo software, pero también existen mecanismos de verificación.La criptografía, las matemáticas, la teoría de juegos e Internet son los cimientos de esta nueva tecnología y han resuelto los problemas asociados a su descentralización. La innovación más importante que ofrece esta tecnología es que nos dota de un mecanismo que nos permite alcanzar un consenso entre partes que no se conocen, usando una red pública, incluso si puede estar comprometida.

Así la seguridad del blockchain no está realmente en cuestión, pero los piratas se han lanzado tanto a crear ICOs falsas como a crear malware de minería que infecta equipos. Han habido varios reportes de robos de bitcoins (cuyo valor unitario superó los 19.000 dólares a principio de diciembre 2017 (AP, 8/12/17) pero esto no se debe a una fragilidad de las cadenas de bloques sino de las empresas que ofrecen “monederos” en la “nube”. La causa de más peso es que las empresas no controlan los equipos actualizando los firmware; y tampoco instalan algún tipo de solución de seguridad para no tener problemas (Infosertec,12/12/2017).

Así, las fallas de seguridad se producen en los intermediarios y en los usuarios finales. Son cada vez más los ordenadores secuestrados para minar criptomonedas. Los expertos en seguridad han observado este año un aumento de ciberataques destinados a robar poder computacional para minar ciberdivisas. Kaspersky Lab ha encontrado software de minado en 1,65 millón de sus clientes este año. Según un reporte de la compañía Adguard, únicamente durante las últimas tres semanas el 2,2% de los sitios ubicados en la lista del top 100.000 de Alexa ya comenzaron a minar a través de las computadoras de sus visitantes y 500 millones de usuarios estarían minando actualmente criptomonedas sin tener la menor idea de que eso está sucediendo. En estas tres semanas se han generado de este modo ganancias por us$43.000 (FayerWayer, 13/10/2017).

Un malware ha sido encontrado en la extensión de Chrome SafeBrowse (!), cuya función es evitar los tiempos de espera de sitios web como AdFly y Linkbucks, pero oculta en su código JavaScript una conexión al dominio de minería de criptomonedas, coin-hive.com, minando tokens usando el procesador del usuario (FayerWayer, 19/9/2017). Al parecer Coin-hive no tenía idea de ello y ya bloqueó los enlaces que ha podido descubrir y que le fueron reportados. Ellos calculan que una página web que recibe un millón de visitantes al día puede generar unos US$116 en la moneda criptográfica llamada Monedero. “Hemos bloqueado varias de esas cuentas y seguiremos haciéndolo si se dan casos similares”, aseguran (BBC,11/10/2017). También hay varias “apps” de minería fraudulentas (Coincrispy, 6/12/2017).

Incluso sitios conocidos, como The Pirate Bay, recurrieron al hackeo de la CPU de sus visitantes para minar criptomonedas y lucrarse con ello. Este código se encuentra integrado en el HTML del portal, con JavaScript. The Pirate Bay puede haber obtenido miles de dólares de este modo (y lo seguiría haciendo) (Actualidad Gadget, 18/9/2017).  En China, se han descubierto páginas de pornografía que hacen lo mismo (Coincrispy, 13/10/2017).

Una extensión de navegador supuestamente destinada a evitar los tiempos de espera de sitios web también lo hacía mediante conexiones al dominio de minería Coinhive.com (FayerWayer, 19/9/0217). Showtime, una cadena de CBS, también contaba con un código semejante al de The Pirate Bay en dos de sus sitios web, con conexiones a Coinhive, lo cual habría sido el resultado de un hackeo (Xataka, 26/9/2017). Y ya existe la defensa en Chrome, y pronto en Firefox, gracias a la extensión NoCoin que lo impide, bloqueando los dominios que lo intentan (Genbeta, 19/9/2017).

Según el equipo de seguridad X-Force de IBM, los ataques a empresas con este mimso propósito se han sextuplicado entre enero y agosto de este año. Después de The Pirate Bay y las webs del canal de televisión Showtime, se creó un malware para secuestrar la placa procesadora Raspberry Pi.

“Según un reporte del grupo de seguridad RedLock, al menos dos empresas vieron sus plataformas de Amazon Web Services ser comprometidas por un grupo de hackers que solo querían usar su poder para minar bitcoin. Ambas empresas afectadas (Aviva y Gemalto) son multinacionales de miles de millones de dólares, y con lo difícil y demandante en recursos que es minar bitcoin actualmente, parece que secuestrar el poder de los servidores de estas empresas es más valioso que sus propios datos. Tan solo entre enero y agosto, los ataques de minería de criptomonedas dirigidos a redes empresariales se multiplicaron por seis.” (Genbeta, 9/10/2017)

También hay videojuegos online, como Grand Theft Auto V, que se están viendo afectados por hackers para fabricar criptomonedas, según denunció la BBC (11/10/2017).

Se descubrió que la red Wifi de un local de Starbucks de Buenos Aires se usaba para minar criptomonedas. Una advertencia más acerca de los riesgos de los puntos de WiFi gratuita. También se recomienda evitar los monederos basados en la web (abundan los falsos).(Infosertec,12/12/2017)

Pero, al parecer, el mayor peligro no reside en los ataques externos sino en la tentación de empleados de los centros de datos para utilizar los recursos de los mismos para generar criptomonedas (MIT Tech Review, 5/10/2017).

La policía se beneficia

El blockchain, sin embargo, es paradojalmente de gran ayuda para la policía. Permite seguir los movimientos de la moneda digital y rastrear su uso por criminales como los traficantes de droga y de personas, secuestradores y otros. Están prefiriendo los bitcoins a las monedas tradicionales, confiando en que con estos pueden cobrar sin revelar su identidad.

Pero no pueden evitar que siempre revelan algo útil para los investigadores, partiendo por el monto transferido, su origen y su destino (aunque codificado), lo cual se transforma en un tipo de prueba utilizable por la policía como dice Jonathan Levin, cofundador de Chainalysis, una empresa que ha desarrollo una aplicación de análisis de datos contenidos en cadenas de bloques. Permite descubrir como está siendo usado el sistema y combina los datos con otras informaciones accesibles públicamente para terminar identificando los usuarios a partir de la idéntidad numérica (“address“) que utilizan en el blockchain. Llega un momento en que los traficantes cambian sus bitcoins por dólares y es cuando se descubren. (MIT Tech Review, 11/9/2017)

Chainalysis también ha demostrado como han sido lanzadas numerosas ofertas iniciales de nuevas criptodivisas (Initial Coin Offerings, ICO), que son en realidad un fraude, lo que ha llevado varios países a prohibirlas, como China y Corea del Sur (El Mercurio, 2/10/2017). Con poca información acerca de cómo operan estas divisas y menos aún acerca del respaldo que puedan tener, múltiples inversores han caída en la trampa de adquirirlas a cambio de valores reales (dólares o euros). Según Chainalysis, en los dos últimos años, las ICOs atrajeron hasta 1.600 millones de dólares, el 10% de los cuales era fraudulento. Los oferentes se escudaban en las redes sociales y recurrían a campañas de phishing para obtener los fondos, presentándose como administradores legítimos de ciberdivisas (Wired, 8/9/2017).

Seguridad personal

Para particulares, hay varios programas de seguridad informática y de bloqueo de avisos publicitarios que avisan cuando navegan por páginas que usan estos programas de minería, como las extensiones Scriptblock y NoScript (BBC, 11/12/2017)

Anuncios