10 amenazas de seguridad de NFT y criptomonedas que los CISO deben enfrentar
10 amenazas de seguridad de NFT y criptomonedas que los CISO deben enfrentar
Las tecnologías descentralizadas pueden aumentar el nivel de ansiedad de los CISO, pero hay formas de evitar los riesgos de seguridad.
La lista de empresas que aceptan pagos con criptomonedas crece constantemente, gracias a lo cual los clientes pueden comprar casi cualquier cosa que deseen: electrónica, diplomas, capuchinos.
Al mismo tiempo, el mercado de tokens no negociables ( NFT ) está en auge a medida que los artistas emergentes se vuelven millonarios, con nombres más establecidos como Snoop Dogg, Martha Stewart y Grimes capitalizando la tendencia.
Las criptomonedas y las NFT están en la agenda de muchas organizaciones mientras discuten las implicaciones de Web3 y las oportunidades que brinda.
Este nuevo gran cambio en la evolución de Internet promete descentralizar nuestro mundo digital, brindando a los usuarios un mayor control y un flujo de información más transparente.
También verifique:
Empresas de diversas industrias están haciendo todo lo posible para adaptarse al nuevo paradigma.
Sin embargo, la lista de preocupaciones de los CISO es larga y va desde la ciberseguridad y el fraude de identidad hasta la seguridad del mercado, la gestión de claves, los datos y las amenazas a la privacidad.
La criptomoneda en cualquier forma, incluido NFT, conlleva una serie de riesgos y problemas de seguridad con los que la mayoría de las empresas pueden no estar familiarizadas.
“Requiere una serie de nuevos procedimientos operativos, lo expone a un nuevo conjunto de sistemas (cadenas de bloques públicas) y conlleva riesgos de los que muchas empresas no son conscientes”, dice Doug Schwenk, director ejecutivo de Digital Asset Research.
La forma en que los CISO piensan sobre estos temas puede afectar a los usuarios y socios comerciales.
“El acuerdo tiene consecuencias financieras inmediatas para la empresa, sus usuarios y/o los recolectores de NFT”, dice Ilya Stein, ingeniero jefe de seguridad de Confiant.
Aquí están las diez principales amenazas de seguridad que las criptomonedas y NFT representan para los CISO.
1. La integración de los protocolos de blockchain puede ser compleja
Blockchain es una tecnología relativamente nueva. Como tal, la integración de los protocolos de la cadena de bloques en el proyecto se vuelve un poco complicada.
“El principal desafío con blockchain es la falta de conocimiento de la tecnología, especialmente en sectores distintos al bancario, y la falta generalizada de comprensión de cómo funciona”, dijo Deloitte en un informe.
«Esto hace que sea difícil invertir y explorar ideas».
Las empresas deben evaluar cuidadosamente la madurez y la idoneidad de cada cadena admitida.
«La adopción del protocolo [blockchain] en la etapa inicial puede generar tiempo de inactividad y riesgos de seguridad, mientras que los protocolos de etapa posterior actualmente tienen tarifas de transacción más altas», dice Schwenk.
«Una vez que se elige un protocolo para el uso deseado (como el pago), es posible que el patrocinador no pueda brindar ningún soporte. Es más como la adopción de código abierto donde se pueden requerir proveedores de servicios específicos para obtener el valor por completo».
2. Cambiar los criterios para la propiedad de activos
Cuando alguien compra un NFT, en realidad no está comprando una imagen porque no es práctico almacenar imágenes en la cadena de bloques debido a su tamaño.
En cambio, los usuarios reciben una especie de recibo que les indica el camino a la imagen.
Solo la identificación de la imagen se almacena en la cadena de bloques, que puede ser un hash o una URL. A menudo se utiliza HTTP, pero una alternativa descentralizada es el Sistema de archivos interplanetarios (IPFS).
Las organizaciones que elijan IPFS deben saber que el nodo de IPFS será administrado por la empresa que vende el NFT, y si esa empresa decide cerrar la tienda, los usuarios pueden perder el acceso a la imagen a la que apunta el NFT.
«Si bien es técnicamente posible volver a cargar un archivo en IPFS, es poco probable que el usuario promedio pueda hacerlo porque el proceso es complejo», dice el investigador de seguridad independiente Anatole Brisacaro.
“Sin embargo, lo bueno es que, debido a su naturaleza descentralizada y vulnerable, cualquiera puede hacer esto, no solo los desarrolladores de proyectos”.
3. Riesgos de seguridad del mercado
Aunque los NFT se basan en la tecnología de cadena de bloques, las imágenes o videos asociados a ellos se pueden almacenar en una plataforma centralizada o descentralizada.
A menudo, por conveniencia, se elige un modelo centralizado porque facilita que los usuarios interactúen con los activos digitales. La desventaja de este enfoque es que los mercados de NFT pueden heredar las vulnerabilidades de Web2.
Además, mientras que las transacciones bancarias tradicionales son reversibles, las de la cadena de bloques no lo son.
“Un servidor pirateado podría proporcionar información engañosa al usuario, engañándolo para que realice transacciones que agotarían su billetera”, dice Brisacaro.
Sin embargo, dedicar la cantidad adecuada de tiempo y esfuerzo a la implementación correcta del sistema puede proteger contra ataques, especialmente cuando se trata de usar una plataforma descentralizada.
“Sin embargo, algunos mercados están tomando atajos y sacrificando la seguridad y la descentralización por un mayor control”, dice Brisacaro.
4. Fraude de identidad y fraude de criptomonedas
Las estafas de criptomonedas son comunes y una gran cantidad de personas pueden ser víctimas de ellas. «Los estafadores realizan un seguimiento regular de los próximos lanzamientos de NFT y, por lo general, tienen docenas de sitios falsos listos para promocionar junto con el lanzamiento oficial», dice Stein.
Los clientes que son víctimas de estas estafas suelen ser algunos de sus clientes más leales, y esas malas experiencias pueden afectar la forma en que perciben una marca en particular.
Por lo tanto, protegerlos es crucial.
A menudo, los usuarios reciben correos electrónicos maliciosos de que se ha detectado un comportamiento sospechoso en una de sus cuentas. Para resolver este problema, deben proporcionar sus credenciales para la verificación de la cuenta.
Si el usuario cae en la trampa, sus credenciales están en riesgo. “Cualquier marca que intente ingresar al espacio NFT se beneficiaría al dedicar recursos para monitorear y mitigar este tipo de ataques de phishing”, dice Stein.
5. Los puentes de cadena de bloques son una amenaza creciente
Diferentes cadenas de bloques tienen diferentes monedas y están sujetas a diferentes reglas. Por ejemplo, si alguien posee Bitcoin pero quiere gastar Ethereum, necesita un enlace entre las dos cadenas de bloques que permita la transferencia de activos.
Un puente de cadena de bloques, a veces llamado puente de cadena cruzada, hace exactamente eso. “Por su propia naturaleza, no se implementa estrictamente mediante contratos inteligentes y se basa en componentes fuera de la cadena que inician una transacción en la segunda cadena cuando el usuario deposita activos en la cadena original”, dice Brisacaro.
Algunos de los hacks de criptomonedas más grandes incluyen puentes de cadenas múltiples como Ronin, Poly Network y Wormhole.
Por ejemplo, durante el hackeo de la cadena de bloques de Ronin Games a finales de marzo de 2022, los atacantes se apoderaron de Ethereum y USDC por valor de 625 millones de dólares.
También durante el ataque a Poly Network en agosto de 2021, el hacker transfirió más de $600 millones en tokens a múltiples billeteras de criptomonedas.
Afortunadamente, en este caso, el dinero fue devuelto después de 2 semanas.
6. El código debe ser probado y revisado a fondo.
Tener un buen código debe ser una prioridad desde el comienzo de cualquier proyecto. Los desarrolladores deben ser hábiles y estar dispuestos a prestar atención a los detalles, argumenta Brisacaro.
De lo contrario, aumenta el riesgo de ser víctima de un incidente de seguridad. Por ejemplo, en el ataque a Poly Network, el atacante aprovechó una brecha entre las llamadas de nodo.
Para prevenir un accidente, los equipos deben realizar pruebas exhaustivas. La organización también debe hacer que un tercero realice una auditoría de seguridad, aunque esto puede ser costoso y llevar mucho tiempo.
Las auditorías proporcionan una revisión sistemática del código que ayuda a identificar las vulnerabilidades más comunes.
Por supuesto, la verificación del código es necesaria, pero no es suficiente, y el hecho de que la empresa haya realizado una auditoría no garantiza que no vaya a tener problemas. “En una cadena de bloques, los contratos inteligentes tienden a ser muy complejos y, a menudo, interactúan con otros protocolos”, dice Brisacaro.
«Sin embargo, solo las organizaciones controlan su propio código, y la interacción con protocolos externos aumenta el riesgo».
Tanto las personas como las empresas pueden explorar otra vía para la gestión de riesgos: los seguros que ayudan a las empresas a reducir el costo de los contratos inteligentes o los hacks de custodia.
7. Clave de gestión
«En el corazón de la criptomoneda está simplemente administrar la clave privada. A muchas empresas les parece simple, y los CIO pueden estar familiarizados con los problemas y las mejores prácticas», dice Schwenk.
Hay varias soluciones de gestión de claves disponibles.
Una de ellas son las carteras de hardware como Trezor, Ledger o Lattice1. Estos son dispositivos USB que crean y almacenan material criptográfico en sus componentes seguros, evitando que los atacantes accedan a las claves privadas incluso cuando tienen acceso a la computadora, por ejemplo, a través de un virus/puerta trasera.
Otra línea de defensa son las múltiples formaciones que se pueden usar con carteras de hardware. “Multi-sig es una billetera de contrato inteligente que requiere que las transacciones sean confirmadas por múltiples propietarios”, dice Brisacaro.
«Por ejemplo, podría tener cinco propietarios y requerir que al menos tres personas firmen una transacción antes de enviarla. De esa manera, el atacante tendría que comprometer a más de una persona para comprometer la billetera».
8. Usuario y educación del usuario
Las organizaciones que desean integrar las tecnologías Web3 deben capacitar a su personal porque se necesitan nuevas herramientas para realizar transacciones en diferentes cadenas de bloques.
dice Aaron Higbee, cofundador y director de tecnología de Cofense.
Aunque todas las empresas deben preocuparse por los ataques de phishing basados en correo electrónico, es más probable que los empleados que manejan activos digitales sean atacados.
El propósito de la capacitación es garantizar que todos los miembros del equipo utilicen las últimas prácticas y comprendan bien los principios de seguridad. Oded Vanunu, jefe de investigación de vulnerabilidades de productos en Check Point, dice que ha notado una gran brecha de conocimiento sobre las criptomonedas, lo que puede hacer que las cosas sean «un poco complicadas» para algunas empresas.
“Las organizaciones que desean integrar las tecnologías Web3 deben comprender que estos proyectos necesitan una visión general profunda de la seguridad y una comprensión de la seguridad, lo que significa que deben comprender los números y las implicaciones que pueden ocurrir”, dice.
Algunas organizaciones que no desean administrar claves privadas optan por utilizar un sistema centralizado, lo que las hace vulnerables a los problemas de seguridad de Web2.
“Hago un llamado para que la integración de Web3 con las tecnologías Web2 sea un proyecto en el que se implementen un análisis de seguridad en profundidad y las mejores prácticas de seguridad”, dice Vanunu.
9. Uso continuado de aplicaciones descentralizadas NFT y Web3
Muchas empresas abandonan productos que ya no satisfacen sus necesidades, pero este no suele ser el caso con los activos basados en blockchain si se implementan correctamente.
«Los NFT no deben verse como un esfuerzo de marketing único», dice Stein.
«Si el NFT en sí mismo no está en la cadena, la empresa tiene la responsabilidad de mantenerlo en todo momento. Si el proyecto tiene mucho éxito, la empresa asume la seria tarea de apoyar a los recolectores de estos NFT en caso de percances, estafas». , etc hasta entonces.
Uno de esos proyectos virales es uno lanzado por el gobierno ucraniano que vendió NFT basado en una línea de tiempo de guerra.
Un lugar donde se conserva la memoria de la guerra. Un lugar para celebrar la identidad y la libertad de Ucrania”, se lee en un tuit de Mykhailo Fedorov, viceprimer ministro y ministro de Transformación Digital de Ucrania.
Los entusiastas de NFT han respondido positivamente, diciendo que quieren comprar un pedazo de historia y apoyar a Ucrania. Sin embargo, esperan que el proyecto continúe.
10. Blockchain no siempre es la herramienta adecuada
Las nuevas tecnologías siempre son emocionantes, pero antes de presentarlas, las organizaciones deben preguntarse si ya han resuelto el problema y si es el momento adecuado para adoptarlas. Los proyectos basados en blockchain tienen el potencial de mejorar las empresas, pero también pueden consumir muchos recursos, al menos en la etapa inicial.
La evaluación de la relación riesgo-beneficio será una parte importante de la decisión, y es fundamental contar con una financiación adecuada para las actividades relacionadas con la seguridad, tanto en la etapa de implementación como durante su implementación.
Evaluar la relación riesgo-beneficio de estas nuevas amenazas puede no ser una competencia central (todavía), y es fácil quedar atrapado en la exageración que a menudo se asocia con las criptomonedas”, concluye Schwenk.
Fuente: OSC