El Blockchain bajo sospecha
Hace tiempo que escuchamos hablar de la blockchain como una tecnología prácticamente invulnerable que se está implementando en industrias como el sistema financiero y la salud por sus ventajas en pos de la seguridad. Sin embargo, un artículo publicado por la revista del MIT Technology Review asegura que esto quizás no sea tan así y que, “así como la blockchain cuenta con funcionalidades de seguridad únicas, también presenta vulnerabilidades únicas”. En esta línea, opina que esta idea, ya instalada desde hace un tiempo, comenzó a ponerse a prueba sobre todo en el último tiempo y con el auge de nuevos proyectos de criptomonedas.
Sumado al surgimiento de nuevas criptomonedas, el interés de otras industrias por la adopción del uso de blockchain hizo que esta tecnología se fuera complejizando, aumentando el margen de error por la exigencia de un desarrollo más complejo. El artículo ejemplifica este fenómeno citando el caso de Zcash, una criptomoneda que utiliza un proceso matemático complejo para permitir a los usuarios realizar transacciones en privado y que reveló públicamente que tuvieron que reparar una falla criptográfica en el protocolo que, de haber sido explotada por un atacante, podría haber permitido crear ilimitadas Zcash falsas.
Los especialistas de ESET opinaron en Tendencias 2019 que los ataques dirigidos al robo de criptomonedas darán que hablar este año. En 2018 se registraron varios casos de ataques de distinta naturaleza que utilizaron malware con el fin de obtener criptomonedas mediante la minería ilegal. Ejemplos de esto son el caso de Kodi y la manipulación por parte de cibercriminales para distribuir malware de criptominería y el ataque de cadena de suministro al Exchange gate.io, por nombrar algunas. Sin embargo, algo más grave y que tuvo lugar en los primeros días de enero de 2019 fue el ataque del 51% dirigido a Ethereum Classic en el que los cibercriminales lograron robar un millón de dólares.
¿Qué es el ataque del 51%? Se trata de una amenaza a la que cualquier criptomoneda es susceptible de ser víctima, debido a que la mayoría están basadas en cadenas de bloques que utilizan protocolos proof of work para verificar las transacciones. Un protocolo de blockchain es un conjunto de reglas que determinan cómo las computadoras conectadas a una red deberán verificar nuevas transacciones y añadirlas a la base de datos.
En el proceso de verificación (conocido como minería) los distintos nodos de una red consumen grandes cantidades de poder de procesamiento para demostrarse que son lo suficientemente confiables para añadir información sobre una nueva transacción a la base de datos. En este sentido, “un minero que de alguna manera obtiene control de una mayoría del poder de minería de una red puede engañar a otros usuarios enviándoles pagos y luego crear una versión alternativa de la blockchain, denominada fork, en la cual el pago nunca ocurrió, explica el artículo de Technology Review. Por lo tanto, un atacante que controle el mayor porcentaje del poder de procesamiento puede hacer que el fork sea la versión de más autoridad de la cadena y proceder a gastar la misma criptomoneda nuevamente” explica.
Llevar adelante un ataque del 51% contra las criptomonedas más populares puede resultar demasiado costoso por el poder de cómputo que requiere y el costo de conseguirlo, lo que llevó a que en 2018 los cibercriminales realizaran ataques de este tipo dirigidos hacia criptomonedas de menor renombre y que exigen menor poder de cómputo; logrando robar hasta 120 millones de dólares en total, explica el artículo. Sin embargo, recientemente se supo del primer ataque del 51% que afectó a una de las principales 20 criptomonedas más populares, el ataque a Ethereum Classic. Y de acuerdo a predicciones, este tipo de ataque se incrementará en frecuencia y severidad.
Monero y el incremento del riesgo de ser víctima de ataques del 51%
Una reciente investigación elaborada por Binance afirma que la última actualización (hardfork) que introdujo Monero en su red, a principios de marzo de 2019, incluye un algoritmo contra los mineros ASIC -algo que los desarrolladores vienen persiguiendo desde hace ya varios años-, ya que según informes, la red de monero estaba siendo dominada por estos mineros (contribuyeron en el 85% del hashrate acumulado de la red), lo cual aumenta el riesgo de ataques del 51% como consecuencia de la posibilidad de centralizar la red.
Este cambio reciente provocó una disminución de la dificultad del minado de la red del 70% como consecuencia de la exclusión de los mineros ASIC. Sin embargo, esto también aumentó el riesgo de un ataque del 51% a la criptomoneda.
Problemas de seguridad para los contratos inteligentes
La tecnología blockchain también se utiliza para los contratos inteligentes. Un contrato inteligente es un programa informático que corre en una red blockchain y que puede ser utilizado para el intercambio de monedas, propiedades o cualquier cosa de valor. Según el artículo del MIT, otro uso que se le puede dar a los contratos inteligentes es el de crear un mecanismo de votación a través del cual todos los inversores de un fondo de capital de riesgo pueden decidir cómo distribuir el dinero.
Un fondo de estas características (llamados Organización Autónomas Descentralizadas) que se creó en 2016 bajo el nombre de The Dao y utiliza el sistema de blockchain Ethereum, fue víctima de un ataque informático en el que los ciberciminales robaron más de 60 millones de dólares en criptomonedas al explotar un fallo en un contrato inteligente que administraba esta organización.
Este ataque dejó en evidencia que un error en un contrato inteligente activo puede tener consecuencias críticas, ya que al apoyarse en la blockchain no puede repararse con un parche. En este sentido, los contratos inteligentes pueden ser actualizados, pero no se pueden reescribir, explica el artículo. Por ejemplo, pueden crearse nuevos contratos que interactúen con otros contratos o se pueden crear kill switches centralizados en una red para detener la actividad una vez que el ataque es detectado, aunque puede resultar tarde, asegura el artículo.
La única forma de recuperar el dinero es ir al punto de la cadena de bloques previo al ataque y crear un fork para una nueva cadena de bloques y lograr que toda la red acepte usar esa blockchain en lugar de la otra. Esto fue lo decidieron hacer los desarrolladores de Ethereum. Y si bien la mayor parte de la comunidad aceptó cambiar a la nueva cadena que conocemos hoy como Ethereum, un grupo reducido no quiso y se mantuvo en la cadena original que pasó a llamarse Ethereum Classic.
En conclusión, la tecnología blockchain continúa siendo una gran herramienta para garantizar la seguridad, aunque se han identificado casos que la han convertido en vulnerable. Esto no quiere decir que dejó de ser segura, sino que con el paso del tiempo y el desarrollo natural del ecosistema tecnológico (incluyendo aquí la evolución del cibercrimen) surgen desafíos que ponen a prueba cualquier tipo de tecnología, como es la cadena de bloques. En este sentido, no debemos perder de vista que las etiquetas que se instalan alrededor de producto, como podría ser: “blockchain es una tecnología imposible de vulnerar”, son ciertas hasta que se demuestre lo contrario, ya que después de todo, tal como afirma una regla en el mundo de la seguridad: toda tecnología es vulnerable.
Noticias, opiniones y análisis de la comunidad de seguridad de ESET