A Fondo
Principales riesgos de seguridad a tener en cuenta antes de adoptar Blockchain en la empresa
Una de las tecnologías que están atrayendo más atención en ciertos sectores es el Blockchain. Sobre todo, para operaciones que requieran la compartición de datos entre varias partes, un proceso muy complicado y que esta tecnología puede contribuir a facilitar y agilizar.
Al realizar este tipo de operaciones, cada empresa intenta imponer al resto en muchos casos sus formatos de datos para llevarlo a cabo, lo que genera no pocos problemas y fricciones. Precisamente, con Blockchain se puede terminar el problema, ya que lo soluciona con rapidez. Tanto el Blockchain que se utiliza en el proceso como los contratos y documentos que se mueven por él necesitan que todas las partes estén de acuerdo tanto en las reglas de proceso de información como en los formatos de datos a emplear.
Además, el sistema refuerza las normas, que nadie puede saltarse a no ser que todas las partes implicadas en el proceso estén de acuerdo en hacerlo. Todo esto hace parecer a Blockchain el sistema perfecto para el intercambio seguro de información confidencial entre las partes implicadas. Pero como todas las tecnologías, su adopción y despliegue no está exenta de riesgos y situaciones complejas en cuanto a seguridad, que hay que valorar antes de utilizarlo. Según TechTarget, las principales son las siguientes:
1 – Uso de software anticuado o desactualizado
En el caso del Blockchain, al tratarse de una tecnología bastante nueva, prácticamente cualquier software o herramienta que tenga más de un par de años y no haya registrado una actualización desde entonces que haya mejorado su funcionamiento y velocidad hacen que se haya quedado casi seguro desfasado. Es muy probable, además, que el software que estés utilizando tenga alguna actualización pendiente, porque este tipo de programas se actualizan generalmente cada pocos días.
Así que el problema no reside solo en que el software esté anticuado, sino en que puede que la versión que estés utilizando para trabajar con Blockchain, que piensas que está actualizada porque tuvo una actualización hace un par de meses, puede que esté desfasada porque desde entonces hayan aparecido dos o tres versiones más recientes.
Comprueba cada semana si hay nuevas actualizaciones para no perder nuevas funciones ni dejar al descubierto la plataforma por problemas de seguridad que pueden solucionarse con ellas. En caso de que el programa no pueda actualizarse porque sus creadores así lo deciden, valora cambiar de software cuanto antes para trabajar con Blockchain.
2 – Falta de cobertura de vulnerabilidades de seguridad en Blockchain
Al hilo de lo que acabamos de mencionar, debes saber que el software para Blockchain no tiene demasiada cobertura de las bases de datos de vulnerabilidades de seguridad. Además, cuando una actualización incorpora novedades sobre seguridad, los cambios suelen reflejarse en las notas con las novedades de la versión. Pero la mayoría de usuarios no las leerán, por lo que no se enteran de ellas. Esto lleva en muchos casos a fallos de seguridad por desconocimiento.
Si un software tiene esta falta de cobertura de vulnerabilidades, especialmente de las incluidas en las bases de datos Vulnerabilidades y Exposiciones Comunes (CVE) y de EEUU sobre vulnerabilidades a nivel nacional, tiene (y ocasiona) un problema grave. En caso de que las vulnerabilidades no estén reconocidas oficialmente, no existen para las empresas grandes.
Se desconoce el motivo por el que ambas bases de datos tienen una cobertura tan baja del software de Blockchain, algo que pueden deberse a la falta de documentación oficial de las vulnerabilidades específicas de esta tecnología. Por eso, es necesario asegurarse de contar con los recursos necesarios para monitorizar las vulnerabilidades de seguridad y las actualizaciones del Blockchain y del software de contratos inteligentes que usa una empresa.
3 – Desconocimiento de las vulnerabilidades de seguridad
Directamente relacionado con lo anterior, esto se debe a que a diferencia del software convencional, cuyos tipos de vulnerabilidades son de sobra conocidos, y en la mayoría de los casos están en un diccionario con una lista de las debilidades más comunes (CWE), el Blockchain no tiene sus vulnerabilidades en dicha lista. Tampoco están las de los contratos inteligentes con los que se usa dicha tecnología. Muchas herramientas que se utilizan para escanear código en busca de vulnerabilidade se basan en el diccionario CWE, por lo que ignoran las vulnerabilidades que no están en él.
Por suerte, hay varias iniciativas ya en marcha para documentarlas, entre las que está la base de datos de Ataques DLT (Distributed Ledger Technology, que quiere decir Tecnología de registro distribuido) y Debilidades de Blockchain, que ya supera las 200 entradas relacionadas con diversos lenguajes de contratos inteligentes y tecnologías Blockchain. Por lo tanto es necesario tenerla en cuenta a la hora de revisar código para dar con ellas.
4 – Falta de pruebas de seguridad y de escaneado del código
En la actualidad, las herramientas de escaneado de código de Blockchain y contratos inteligentes, a pesar de lo mencionado, no tienen un nivel de madurez demasiado elevado. Esto se debe sobre todo a la novedad de la tecnología y sus usos. Además, muchos contratos inteligentes se despliegan sin que se les haya realizado una auditoría de seguridad. Esto está empezando ya a cambiar, no sin antes causar numerosos incidentes de seguridad por no hacer cambios de forma previa a su despliegue.
Generalmente, el de las claves secretas creadas por su desarrollador, que por dudas sobre si han quedado expuestas es aconsejable cambiar en muchos casos. Por eso es importante asegurarse de que todo el código de los contratos inteligentes se escanea y audita, y de que todos los elementos relacionados con la criptografía se generan de manera segura y se utilizan de forma correcta.
5 – Riesgos en las operaciones con Blockchain
Aunque el Blockchain que utilice una empresa sea seguro y sus contratos inteligentes estén cuidadosamente revisiones y no tengan fallos de seguridad, todavía puede haber problemas al utilizarlos. Porque para que todo vaya bien es necesario ejecutar el Blockchain y el código del contrato inteligente sobre una plataforma que esté bien conectada y sea todo lo fiable posible. En caso de utilizar en el proceso la nube o un hosting de terceros, también es necesario asegurarse de que son seguros.
Por eso es necesario hacer preguntas a los proveedores y a quienes presten los servicios que vas a utilizar. Si las respuestas son claras y concretas, sin evasivas, serán más merecedores de confianza y su producto o servicio más seguro que si contestan con evasivas, o directamente no responden.
6 – Claves criptográficas y módulos de seguridad de hardware
Entre los elementos principales de cualquier servicio de Blockchain están las claves criptográficas. También hay que tener en cuenta que guardar las que sean más importantes en un ordenador ya no es suficiente para mantenerlas a salvo, aunque se trate de un equipo dedicado a ello.
Para mejorar la seguridad de estas claves, lo mejor es utilizar un módulo de seguridad de hardware (además de hacer una copia de seguridad de su contenido), que en esencia ofrece dos cosas que los ordenadores convencionales no pueden. La primera es que permiten que las claves se configuren de tal manera que no puedan ni exportarse ni copiarse para sacarlas del sistema.
La segunda es que permiten consultar un registro, bastante fiable, del uso de las claves. Se trata de una precaución crítica, porque si la red de la empresa queda comprometida, se puede saber para qué han utilizado las claves los atacantes, y estar seguros de si ha hecho algo malo con ellas o no.
7- Phishing y otros peligros para el Blockchain
Las Blockchain de empresa no suelen recibir ataques de gran envergadura, como el phishing o los intercambios de SIMs. Pero sí están expuestos a ataques de ransomware, entre otros, que cada vez están utilizando más phishing debido a su elevado índice de éxito.
Por eso hay que protegerse contra estos tipos de ataques, entre otras cosas, con autenticación de varios factores para el acceso a herramientas y aplicaciones. Si es posible, que estén radicados en tokens hardware, que evitan que los usuarios puedan dar información a los ciberdelincuentes. Así se evitan los errores y descuidos humanos.
8 – Ataques de 51%
La mayoría de despliegues de Blockchain empresariales no utilizan habitualmente el mecanismo de consenso conocido como Prueba de trabajo (PoW). Suelen utilizar otros mecanismos de voto más tradicionales, como la mayoría, porque ofrecen más seguridad. Aún así, pueden ser vulnerables al conocido como ataque del 51%. Este se da cuando una sola entidad controla la mayoría del hashrate o de los recursos de computación de un Blockchain. Su objetivo es provocar disrupciones o fallos en dicha red.
Por eso es importante conocer qué mecanismo de consenso emplea el Blockchain que se utiliza en la empresa. El hecho de que un atacante tenga que hacerse con el control de más de la mitad del sistema, lo que permitiría conseguir este ataque, hace que tenga más complicado conseguir su control. Quedaría protegido frente a otros ataques que permiten tomar el control con más facilidad, por lo que los ciberatacantes se lo pensarían dos veces antes de atacar un Blockchain con este tipo de sistemas de voto si pueden atacar otros más desprotegidos.
Snowflake anuncia Arctic, su propio modelo grande de lenguaje para empresas
Los 12 principales cursos y certificaciones sobre IA generativa
Dropbox añade cifrado de extremo a extremo e integraciones con Teams y Copilot
Ayesa sufre un ataque de ransomware
«El uso que hacemos de la IA es único en el mercado»
La computación cuántica en la nube da un paso más para garantizar la seguridad y privacidad
Canva compra Affinity para convertirse en competidor de Adobe
Orange y MasMovil han cerrado su fusión en España: ya funcionan como una sola empresa
IA generativa como oportunidad para mejorar la sostenibilidad
Menos visibilidad, falta de control o soporte técnico limitado: cómo superan las empresas estos desafíos del teletrabajo
Salesforce amplía el despliegue de IA con la llegada de Einstein Copilot a Tableau
Amazon invierte 2.750 millones más en Anthropic
Snowflake anuncia Arctic, su propio modelo grande de lenguaje para empresas
IA generativa como oportunidad para mejorar la sostenibilidad
Canva compra Affinity para convertirse en competidor de Adobe
VISA introduce nueva IA para luchar contra el fraude digital en los pagos
Cisco Webex AI Assistant, colaboración con IA para la oficina y los contact center
Microsoft añade varias herramientas de seguridad y protección a Azure AI Studio
-
A FondoHace 3 díasCómo escoger la plataforma UEM más adecuada para tu empresa
-
NoticiasHace 4 díasLas tres principales recomendaciones para poner en marcha una estrategia de seguridad zero trust
-
NoticiasHace 4 díasMeta lanza Llama 3, la renovación de su modelo abierto de IA generativa
-
NoticiasHace 4 díasDES2024 lleva a Málaga lo último en avances tecnológicos para distintos sectores de la industria