La tecnología blockchain y la ciberseguridad evolucionan tan rápidamente que no es fácil hacer predicciones a largo plazo, pero sí podemos extrapolar algunas tendencias para 2021, de acuerdo a lo sucedido a lo largo de 2020
El año que está a punto de finalizar estuvo marcado por varios ataques a casas de cambio de criptomonedas, como el ejecutado contra KuCoin, de donde fueron sustraídos 281 millones de dólares. Los protocolos y plataformas de finanzas descentralizadas (DeFi) también fueron víctimas de los correspondientes ataques. De hecho, según la firma forense de blockchain CipherTrace, las compañías DeFi (finanzas decentralizadas) sufrieron hackeos por valor de casi 100 millones de dólares, resultando afectadas una veintena.
Proseguirán los ataques a plataformas DeFi
Durante 2020 el mundo crypto se vio desbordado por la aparición y adopción de numerosas plataformas de DeFi, llegando a tener bloqueados 16.776 millones de dólares, según DeFi Pulse. Por ello, tal y como certifica CipherTrace, la popularidad de estos servicios no pasó desapercibida para algunos adversarios.
Previsiblemente, las DeFi continuarán creciendo en 2021. De tal manera que mientras que el número de activos y el valor de los mismos siga incrementándose en estas plataformas, irán apareciendo otras nuevas y copycats de plataformas existentes.
Conviene destacar que la naturaleza de este tipo de servicios y protocolos los hace muy vulnerables a diversos tipos de ataque. La naturaleza abierta del código facilita que cualquier atacante pueda examinarlo detalladamente para buscar posibles bugs y vulnerabilidades.
Cross-chain, tendencia en el cosmos de la ciberseguridad blockchain
Además, el componente descentralizado de estos protocolos permite que una vez realizado un exploit, el ataque sea muy difícil o, a veces, imposible de parar o mitigar. Probablemente, mientras la prioridad de los desarrolladores de este tipo de servicios sea captar usuarios o “vampirizar” los que existen en otras plataformas, los ataques sigan produciéndose. Lo que inevitablemente, conllevará a la pérdida de fondos.
Las prisas siempre juegan en contra de la seguridad, pero más cuando se trata de ciberseguridad en entornos DeFi. Para prevenir este tipo de sucesos es necesario que los desarrolladores adopten prácticas de desarrollo seguro. Por ejemplo, testando el código ampliamente en entornos de prueba antes de lanzarlo al mundo. Igualmente, habrá que abrazar otras metodologías de seguridad, como auditorías de código
Se generalizarán las auditorías de smart contracts & pentesting
Asimismo, en 2021 veremos como la industria adopta metodologías de seguridad más avanzadas. Olaf Carlson Wee, fundador y CEO de Polychain Capital, ha dicho que le asusta pensar cuánto capital se está volcando en smart contracts que no están auditados. Carlson afirma que hacer auditorías de seguridad es una parte importante para la maduración de cualquiera de estos sistemas. A medida que más blockchains incorporen funcionalidades de smart contracts, las auditorías de empresas especializadas continuarán y se convertirán en norma.
También puedes leer: Gabi Urrutia, un español en Halborn, corazón de la ciberseguridad DeFi
Paralelamente a la maduración de la industria, conceptos de seguridad más avanzados, como auditorías de seguridad ofensivas (pentests) periódicas, se convertirán en norma. Un pentest consiste en simular la actividad de un atacante para identificar vulnerabilidades y poder anticiparse a los riesgos. Este tipo de auditorías son fundamentales para cualquier plataforma que custodie fondos de usuarios. Como es el caso de exchanges centralizados o de plataformas de préstamo. No obstante, también deberán ser adoptadas por otros actores del sector que gestionen código y/o almacenen datos personales. Con independencia de que sean custodios de fondos o no. Es de vital importancia que todas estas medidas se apliquen de forma preventiva y no esperar a sufrir un ataque.
APTs y otros actores sofisticados
Los APT (Amenazas Persistentes Avanzadas) son grupos de hackers con grandes recursos y niveles de sofisticación, usualmente vinculados a servicios de inteligencia o militares estatales. En su inmensa mayoría los objetivos no suelen ser económicos, sino de espionaje para los estados o las industrias.
La excepción es The Lazarus Group (APT38), un APT vinculado al Gobierno de Corea del Norte. Conocido, entre otras cuestiones, por realizar ataques con fines económicos, eligiendo como blanco entidades financieras tradicionales o casas de cambio crypto. El objetivo que persiguen es evitar las sanciones económicas impuestas al régimen de Pyongyang.
Ciberseguridad blockchain para proteger la cadena de bloques
The Lazarus Group es uno de los APTs más sofisticados del mundo. Su especialización para atacar instituciones financieras los convierte en una amenaza, sobre todo en su principal área de actuación, Corea del Sur y el sureste asiático. Mientras las sanciones económicas y bloqueos internacionales a Corea del Norte sigan vigentes, previsiblemente, el APT38 seguirá atacando objetivos cryptos para financiar sus operaciones. Hay que tener en cuenta que a medida que la capitalización del mercado crece, también lo hacen las recompensas e incentivos para grupos organizados de atacantes. En este sentido, es de esperar que dichos actores sean capaces de realizar ataques con más recursos, tácticas y procedimientos (TTPs) cada vez más sofisticados.
Ingeniería social y phishing cada vez más presentes
Los ciberataques más efectivos no necesitan ser demasiado complejos o explotar vulnerabilidades por descubrir (0-day). El factor humano es frecuentemente el eslabón más débil en cualquier estrategia y postura defensiva. Algo muy tenido en cuenta por ciertos perfiles de adversarios. Este año hemos visto como algunos hackers fueron capaces de obtener la base de datos de clientes de empresas como Blockfi o Ledger.
De hecho, la base de datos de Ledger es accesible para cualquier atacante en la actualidad, pudiéndose crear campañas de phisihng e ingeniería social con el millón de registros afectados. Los atacantes pueden utilizar dichos datos para hacerse pasar por personal de soporte de Ledger y enviar correos a los usuarios comunicándoles que su cuenta ha sido suspendida o cuestiones similares. Indicando que para reactivarlos hay que introducir la clave privada en algún formulario o portal. Por supuesto, es importante recordar que nunca, bajo ninguna circunstancia, se han de compartir las claves privadas de las carteras.
Nunca escribas las claves privadas en el ordenador
Algunos son más creativos. Uno de mis favoritos es: “Hola inserta nombre, recientemente me he enterado de tus posesiones de crypto y yo también vivo en inserta ciudad. También sé que vives en inserta dirección. No me da miedo ir a tu casa y no quiero hacer esto más difícil. Te ofrezco que me des 500$ por dejarte en paz.”
Mientras que estos correos no distan mucho de la estafa clásica por email del príncipe nigeriano que te necesita para ayudarle a transportar lingotes de oro, es evidente que los intentos de phishing se vuelven cada más personalizados y sofisticados. Conviene estar muy pendientes, revisar las URLs y direcciones de los correos entrantes, evitar pinchar en enlaces dentro del email al igual que recordar la máxima más importante: nunca escribas las claves privadas en el ordenador y menos aún se las envíes a nadie.
Pablo Navarro-Rubio: analista de crypto y ciberseguridad ofensiva en Soliditic
Foto de Geralt para Pixabay
También puedes seguirnos en nuestros canales de Telegram y Twitter
- Tendencias en ciberseguridad blockchain 2021 - 24 diciembre, 2020