10 riesgos de seguridad de las NFT y las criptomonedas que los CISO deben sortear

La lista de empresas que aceptan pagos en criptodivisas no deja de ampliarse, por lo que los clientes pueden comprar casi todo lo que desean: productos electrónicos, títulos universitarios y capuchinos. Al mismo tiempo, el mercado de tokens no fungibles (NFT) se dispara, con nuevos artistas que se hacen millonarios y nombres más establecidos como Snoop Dogg, Martha Stewart y Grimes que sacan provecho de la tendencia.

Las criptomonedas y los NFT están en la agenda de muchas organizaciones mientras discuten las ramificaciones de la Web3 y las oportunidades que presenta. Este nuevo e importante cambio en la evolución de Internet promete descentralizar nuestro mundo digital, ofreciendo a los usuarios más control y un flujo de información más transparente.

En todos los sectores, las empresas están dando lo mejor de sí para adaptarse al nuevo paradigma. Pero los CISO tienen una larga lista de preocupaciones, empezando por la ciberseguridad y el fraude de identidad, los riesgos de seguridad del mercado, la gestión de claves y datos, y la privacidad.

La criptomoneda en cualquiera de sus formas, incluidas las NFT, tiene un conjunto de amenazas y preocupaciones de seguridad que pueden no ser familiares para la mayoría de las empresas. "Requiere una serie de nuevos procedimientos operativos, crea una exposición a un nuevo conjunto de sistemas (blockchains públicos), y conlleva riesgos que muchas empresas están menos familiarizadas a abordar", dice Doug Schwenk, CEO de Digital Asset Research.

La forma en que los CISO piensen en estas cuestiones podría afectar a los usuarios y a los socios comerciales. "Los compromisos tienen un impacto financiero inmediato tanto para la empresa como para sus usuarios y/o recolectores de NFT", afirma Eliya Stein, ingeniera de seguridad senior de Confiant.

Estos son los diez riesgos de seguridad más importantes que presentan las criptomonedas y las NFT para los CISO.

1. La integración de los protocolos de blockchain puede ser compleja

El blockchain es una tecnología relativamente nueva. Como resultado, la incorporación de los protocolos de blockchain en un proyecto se vuelve un poco difícil. "El principal reto asociado a blockchain es la falta de conocimiento de la tecnología, especialmente en sectores distintos al bancario, y la falta de comprensión generalizada de su funcionamiento", según un informe de Deloitte. "Esto está obstaculizando la inversión y la exploración de ideas".

Las empresas deben evaluar cuidadosamente la madurez y la idoneidad de cada cadena apoyada. "Adoptar un protocolo [de blockchain] que está en una etapa temprana puede conducir a tiempos de inactividad y riesgos de seguridad, mientras que los protocolos en etapas posteriores actualmente tienen tarifas de transacción más altas", dice Schwenk. "Después de seleccionar un protocolo para apoyar el uso deseado (como los pagos), puede que no haya ningún apoyo disponible por parte del patrocinador. Es mucho más parecido a la adopción de un código abierto, en el que pueden ser necesarios proveedores de servicios particulares para aprovechar plenamente el valor."

2. Las normas de propiedad de los activos cambian

Cuando alguien compra una NFT, en realidad no está comprando una imagen, porque almacenar fotos en la cadena de bloques es poco práctico debido a su tamaño. En cambio, lo que los usuarios adquieren es una especie de recibo que les señala esa imagen.

La cadena de bloques sólo almacena la identificación de la imagen, que puede ser un hash o una URL. A menudo se utiliza el protocolo HTTP, pero una alternativa descentralizada a éste es el Sistema de Archivos Interplanetarios (IPFS). Las organizaciones que optan por el IPFS deben entender que el nodo IPFS será gestionado por la empresa que vende la NFT, y si ésta decide cerrar el negocio, los usuarios pueden perder el acceso a la imagen a la que apunta la NFT.

"Aunque es técnicamente posible volver a cargar un archivo en IPFS, es poco probable que un usuario normal pueda hacerlo porque el proceso es complejo", afirma el investigador de seguridad independiente Anatol Prisacaru. "Sin embargo, la parte buena es que, debido a su naturaleza descentralizada y sin permisos, cualquiera puede hacerlo, no sólo los desarrolladores del proyecto".

3. Riesgos de seguridad del mercado

Aunque las NFT se basan en la tecnología blockchain, las imágenes o vídeos asociados a ellas pueden almacenarse en una plataforma centralizada o descentralizada. A menudo, por comodidad, se opta por el modelo centralizado, porque facilita a los usuarios la interacción con los activos digitales. La desventaja de esto es que los mercados NFT pueden heredar las vulnerabilidades de la Web2. Además, mientras que las transacciones bancarias tradicionales son reversibles, las de la cadena de bloques no lo son.

"Un servidor comprometido puede presentar al usuario información engañosa que lo para qincite a que ejecute transacciones que agotarán su cartera", dice Prisacaru. Pero dedicar suficiente tiempo y esfuerzo a hacer la implementación correctamente puede proteger contra los ataques, especialmente cuando se trata de utilizar una plataforma descentralizada.

"Cuando se implementa correctamente de forma descentralizada, un mercado comprometido no debería ser capaz de robar o alterar los activos de un usuario; sin embargo, algunos mercados recortan la distancia y sacrifican la seguridad y la descentralización por un mayor control", afirma Prisacaru.

4. Fraude de identidad y estafas con criptomonedas

Las estafas con criptodivisas son comunes, y a menudo pueden tener un gran número de víctimas. "Los estafadores se mantienen regularmente al tanto de los lanzamientos de NFT muy esperados y suelen tener docenas de sitios de acuñación de estafas listos para promocionarlos en conjunto con el lanzamiento oficial", dice Stein. Los clientes que son víctimas de estas estafas suelen ser algunos de los más fieles, y esta mala experiencia podría afectar a la percepción que tienen de la marca. Por eso, protegerlos es crucial.

A menudo, los usuarios reciben correos electrónicos maliciosos en los que se les informa de que se ha detectado un comportamiento sospechoso en una de sus cuentas. Se les pide que proporcionen sus credenciales para la verificación de la cuenta para resolverlo. Si el usuario cae en la trampa, sus credenciales se ven comprometidas. "Cualquier marca que intente entrar en el espacio de la NFT se beneficiaría de asignar recursos a la supervisión y mitigación de este tipo de ataques de phishing", afirma Stein.

5. Los puentes de blockchain son una amenaza creciente

Las diferentes blockchains tienen diferentes monedas y están sujetas a diferentes reglas. Por ejemplo, si alguien tiene bitcoin pero quiere gastar Ethereum, necesita una conexión entre las dos blockchains que permita la transferencia de activos.

Un puente de cadena de bloques, a veces llamado puente de cadena cruzada, hace precisamente eso. "Debido a su naturaleza, normalmente no se implementan estrictamente usando contratos inteligentes y dependen de componentes fuera de la cadena, que inician la transacción en la otra cadena cuando un usuario deposita activos en la cadena original", dice Prisacaru.

Algunos de los mayores hacks de criptomonedas implican puentes entre cadenas, como Ronin, Poly Network o Wormhole. Por ejemplo, en el hackeo contra la blockchain de juegos Ronin a finales de marzo de 2022, los atacantes consiguieron 625 millones de dólares en Ethereum y USDC. Además, durante el ataque a Poly Network en agosto de 2021, un hacker transfirió más de 600 millones de dólares en tokens a múltiples carteras de criptodivisas. Por suerte, en este caso, el dinero fue devuelto dos semanas después.

6. El código debe ser probado y auditado a fondo

Tener un buen código debería ser una prioridad desde el principio de cualquier proyecto. Prisacaru sostiene que los desarrolladores deben estar capacitados y dispuestos a prestar atención a los detalles. De lo contrario, aumenta el riesgo de ser víctima de un incidente de seguridad. Por ejemplo, en el ataque a Poly Network, el atacante aprovechó una vulnerabilidad entre las llamadas de los contratos.

Para prevenir un incidente, los equipos deben realizar pruebas exhaustivas. La organización también debería contratar a un tercero para que realice una auditoría de seguridad, aunque esto puede ser caro y llevar mucho tiempo. Las auditorías ofrecen una revisión sistemática del código para ayudar a identificar las vulnerabilidades más conocidas.

Por supuesto, revisar el código es necesario pero no suficiente, y el hecho de que una empresa haya hecho una auditoría no garantiza que esté libre de problemas. "En una blockchain, los contratos inteligentes suelen ser altamente componibles y, a menudo, sus contratos interactuarán con otros protocolos", dice Prisacaru. "Las empresas, sin embargo, solo tienen control sobre su propio código, e interactuar con protocolos externos aumentará los riesgos".

Tanto los particulares como las empresas pueden explorar otra vía para la gestión de riesgos: los seguros, que ayudan a las empresas a reducir el coste de los hackeos de contratos inteligentes o custodios.

7. Gestión de claves

"En el fondo, las criptomonedas son solo gestión de claves privadas", dice Schwenk. "Eso suena simple para muchas empresas, y los CISO bien pueden ser conscientes de los problemas y las mejores prácticas".

Hay varias soluciones accesibles para la gestión de claves. Una de ellas son los monederos de hardware como Trezor, Ledger o Lattice1. Se trata de dispositivos USB que generan y almacenan el material criptográfico en sus elementos seguros, impidiendo que los atacantes accedan a tus claves privadas aunque tengan acceso a tu ordenador, por ejemplo, mediante un virus/backdoor.

Otra línea de defensa son los multisigs, que pueden utilizarse junto con los monederos de hardware. "En su base, un multi-sig es un monedero de contratos inteligentes que requiere que las transacciones sean confirmadas por varios de sus propietarios", dice Prisacaru. "Por ejemplo, podría tener cinco propietarios y exigir que un mínimo de tres personas firmen la transacción antes de poder enviarla. De esta manera, un atacante tendría que comprometer a más de una persona para comprometer la cartera".

8. Educación de los empleados y usuarios

Las organizaciones que deseen integrar las tecnologías Web3 deben formar a sus empleados, ya que se necesitan nuevas herramientas para realizar transacciones en las distintas cadenas de bloques. "El comercio de activos digitales puede parecer familiar al comercio electrónico tradicional, pero las herramientas y los complementos del navegador necesarios para ser competentes en este nuevo mundo son bastante diferentes de lo que los equipos de finanzas están acostumbrados", dice Aaron Higbee, cofundador y CTO de Cofense.

Aunque todas las empresas tienen que preocuparse por los ataques de phishing basados en el correo electrónico, los empleados que manejan activos digitales pueden ser blanco de ataques con mayor frecuencia. El objetivo de la formación es asegurarse de que todos los miembros del equipo siguen las mejores prácticas más recientes y conocen bien la seguridad.

Oded Vanunu, jefe de investigación de vulnerabilidad de productos en Check Point, dice que ha notado "una gran brecha" en el conocimiento cuando se trata de criptomonedas, lo que puede hacer las cosas "un poco caóticas" para ciertas empresas. "Las organizaciones que quieran integrar tecnologías Web3 tienen que entender que estos proyectos deben tener revisiones profundas de seguridad y comprensión de la seguridad, lo que significa que deben entender los números y la implicación que puede ocurrir", dice.

Algunas organizaciones que no quieren hacer una gestión de claves privadas, deciden utilizar un sistema centralizado, lo que las hace vulnerables a los problemas de seguridad de Web2. "Les insto a que, si van a integrar las tecnologías Web3 en su Web2, sea un proyecto que cuente con una profunda revisión de la seguridad y con las mejores prácticas de seguridad que deben aplicarse", afirma Vanunu.

9. La permanencia de las NFT y las aplicaciones descentralizadas de Web3

Muchas empresas pondrán fin a los productos que ya no sirven a sus necesidades, pero esto no suele ocurrir con los activos respaldados por blockchain si se hacen bien. "Las NFT no deben tratarse como un esfuerzo de marketing único", dice Stein. "Si la propia NFT no está en cadena, ahora hay una carga para la empresa de mantenerla a perpetuidad. Si el proyecto se convierte en un éxito salvaje, entonces la empresa ha asumido una importante tarea de apoyo a los coleccionistas de estas NFT en lo que respecta a percances, estafas, etc."

Un proyecto viral es el lanzado por el gobierno ucraniano, que vendió NFT basados en la cronología de la guerra. "El lugar para guardar la memoria de la guerra. Y el lugar para celebrar la identidad y la libertad ucranianas", según un tuit de Mykhailo Fedorov, viceprimer ministro de Ucrania y ministro de Transformación Digital. Los entusiastas de la NFT reaccionaron positivamente, diciendo que querían comprar un trozo de historia y apoyar a Ucrania. Su expectativa, sin embargo, es que el proyecto se mantenga.

10. Blockchain no siempre es la herramienta adecuada

Las nuevas tecnologías siempre son emocionantes, pero antes de dar el salto, las organizaciones deben preguntarse si realmente resuelven el problema y si es el momento adecuado para adoptarlas. Los proyectos basados en blockchain tienen el potencial de cambiar las empresas para mejor, pero también podrían agotar los recursos, al menos en la etapa inicial.

"Sopesar el riesgo/recompensa será una parte importante de la decisión, y dotar de recursos adecuados el esfuerzo de seguridad, tanto en la adopción como en la continuidad, es fundamental", dice Schwenk. "El juicio sobre el riesgo/recompensa de estas nuevas exposiciones puede no ser (todavía) una competencia básica, y es fácil quedar atrapado en el bombo que a menudo se asocia con el cripto.