ciberseguridad_blockchain_seguro_TECNALIA

Análisis de la ciberseguridad, ¿blockchain es realmente seguro?

30 noviembre, 2017 Óscar Lage Serrano

Compártelo:

Hoy se celebra el Día Internacional de la Ciberseguridad: momento idóneo para compartir algunos de los estudios científicos, realizados en el laboratorio blockchain de TECNALIA (Blockhain Lab), relacionados con la ciberseguridad de la tecnología más disruptiva, blockchain.

Además de ayudar a emprendedores, startups, empresas y asociaciones a realizar pruebas de concepto y pilotos, llevamos a cabo investigación científica vinculada con la ciberseguridad, la arquitectura y la escalabilidad. Analizamos los principales incidentes que se han producido tanto en redes públicas como privadas.

Nuestro objetivo es obtener una conclusión sobre si todos estos incidentes, vinculados a ICOs (Initial Coin Offering), criptomonedas o plataformas blockchain públicas y privadas, se deben a que blockchain no es tan seguro como se afirma, o si realmente se produce fuera de su ámbito, es decir, en el contexto tecnológico y humano que rodea a esta tecnología.

Principales incidentes de seguridad en blockchain

Tras estudiar más de 60 incidentes hemos elaborado una clasificación de las principales causas de los ataques de ciberseguridad en dichas plataformas, servicios y redes.

  1. Aquellos debidos a vulnerabilidades propias de blockchain
  2. Vinculados a las personas (ya sean empleados o usuarios finales)
  3. Producidos sobre tecnología tradicional que interactúa con blockchain (servidores, clientes, etc.)

En los ataques que explotan vulnerabilidades propias de blockchain, la causa de mayor crecimiento es la existencia de vulnerabilidades en los Contratos Inteligentes (Smart Contracts), introducidas por los programadores, en su diseño o implementación. Otra fuente de errores es el propio diseño, protocolo o arquitectura específica de esa red blockchain: ataques que se producen principalmente en redes nóveles. Novedosas propuestas, en muchos casos no basadas en bloques, pretenden responder a ámbitos o necesidades concretas que permitan, por ejemplo, a los dispositivos IoT, operar directamente con la tecnología blockchain en tiempo real.

En los vinculados con las personas, el eslabón más débil de la cadena, el motivo más recurrente son los ataques de ingeniería social (phishing, spear phishing, etc.) producidos sobre los usuarios finales, e incluso sobre los propios empleados de la organización. Estas víctimas han sido analizadas, durante meses, utilizando técnicas de inteligencia para recabar información y lanzar un ataque totalmente personalizado y obtener así sus credenciales. Por otro lado, tenemos los ataques ligados a amenazas internas cuya principal fuente es un empleado o exempleado que filtra información o utiliza sus privilegios para atacar desde el interior a la red o empresa.

Los incidentes producidos en la tecnología se han hallado fundamentalmente en servidores tradicionales gestionados por las empresas y organizaciones para dar servicios a sus clientes, cuyas vulnerabilidades estaban presentes en las aplicaciones de servidor, o en la propia infraestructura sobre la que operaban dichas aplicaciones; en algunos casos por una mala -o negligente- configuración de la propia infraestructura utilizada. Igualmente se han detectado vulnerabilidades en aplicaciones cliente, wallets principalmente, que han permitido robar las credenciales de los usuarios.

Contamos también con un número significativo de ataques sobre los que no existe información suficiente para determinar el origen y técnica utilizada, en ocasiones debido a una falta de transparencia de las organizaciones víctimas de los mismos.

Clasificación de incidentes por tipología de activos

Clasificación de incidentes por tipología de activos

Clasificación de incidentes por vector de ataque

Clasificación de incidentes por tipología de activos
En definitiva, ¿blockchain es seguro?

Sí, blockchain es una de las tecnologías más seguras en la actualidad. Los incidentes vinculados directamente con la tecnología blockchain o los Smart Contracts son minoritarios. Representan únicamente el 16 % del total de los incidentes analizados por el laboratorio blockchain de TECNALIA. Las vulnerabilidades de los Smart Contracts, inclusive, en muchos casos, se deben a que los desarrolladores no tuvieron en cuenta la ciberseguridad de los mismos, o no habían realizado una buena cobertura de testing: en definitiva, una mala o inexperta implementación de software.

Podemos afirmar, por tanto, que la mayoría de estos incidentes de ciberseguridad están asociados a todo el ecosistema humano y tecnológico que rodea a blockchain. Su verdadero origen se encuentra en una mala arquitectura, diseño o implementación de la ciberseguridad en las plataformas tradicionales que interactúan con blockchain, o bien en una falta de concienciación y formación de los usuarios.

Cualquier proyecto blockchain requiere de un equipo con gran experiencia y conocimientos en ciberseguridad para poder diseñar, integrar e implementar soluciones que puedan operar de forma segura una arquitectura criptográfica tan compleja como la cadena de bloques.

Sobre Óscar Lage Serrano

Como Responsable de ciberseguridad en TECNALIA cuenta con una amplia experiencia en la aplicación de ciberseguridad y algoritmos criptográficos en diferentes dominios (Smart Grid, Industria 4.0, medios de pago, etc.). Ha realizado numerosas publicaciones científico-técnicas, es coautor del libro “Blockchain: La revolución industrial de Internet” y colaborador habitual en medios de comunicación generalistas (TV, radio, prensa).

Participa habitualmente en grupos de opinión, certificación y asesoramiento en ciberseguridad, ha sido promotor de varias startups relacionadas con la ciberseguridad, colabora con varias aceleradoras y en la actualidad forma parte del consejo de administración de Aurea Payments.

Ha colaborado con diferentes universidades y escuelas de negocio como profesor de materias relacionadas con la ciberseguridad, dirección de proyectos, emprendimiento y nuevos modelos de negocio.

Dejar un comentario

* Campos obligatorios