Billeteras cripto o "block chain": riesgos y seguridad

iota
ethereum

#1

steal-wallet-pocket-jonathan-doyle-choicez

A medida que las tecnologías en monedas virtuales o criptomonedas se desarrollan, es cada vez más sencillo el comprar y vender, y también “crear” una propia. Sin embargo, aunque resulte relativamente sencillo darse de alta y operar en una casa de cambio esto no significa que no existan riesgos adicionales al propio hecho de especular con la fluctuación en el precio.

Como @rudygodoy ha explicado aquí, las casas de cambio tienen dos alternativas para gestionar los fondos ingresados por sus clientes: bien almacenan un registro de los estados de cuenta en un base de datos tradicional, o bien generan billeteras por cada cliente adicionalmente a lo anterior.

En el primer caso, técnicamente, el cliente no tiene la propiedad sobre las monedas virtuales adquiridas si no es solo un registro con la información de los fondos en moneda soberana y virtual, que dice que cuando éste quiera liquidarlas (retiro bien en moneda soberana o virtual) se le enviarán fondos por la cantidad registrada a la billetera que señale. Si alguien manipula ese registro en el mejor de los casos se activan los mecanismos de protección de la información similar al que manejan las entidades financieras para custodiar los fondos de sus clientes.

En el segundo caso aunque ya se utilizan cuentas y billeteras individuales, en general, el cliente no tiene acceso a las claves privadas por lo que no puede disponer de los fondos directamente, aunque técnicamente sean suyos al haberlos adquirido. Para disponer de los mismos debe liquidarlos a una billetera que controle completamente. En ambos escenarios el riesgo en seguridad es el mismo que tienen los ahorros en un banco. Si se accede a los servidores de la organización, se manipulan los registros para obtener algún beneficio perjudicando directamente al cliente. No sirve de nada que la tecnología que supuestamente estamos comprando se publicite como descentralizada si estamos operando en un entorno centralizado.

Una respuesta frente a esta situación son las casas de cambio descentralizadas donde no se requiere el deposito de fondos en moneda soberana o virtual a la casa de cambio, sino que es suficiente con la información que comprueba que el que participa en el intercambio los posee, y además se establecen mecanismos de arbitraje similares a los sitios que intermedian en trabajos temporales o por contrato. Los fondos se mantienen en las billeteras personales (software o hardware) de cada participante, con lo que también mantienen sus propiedades de seguridad y solo se las utiliza una vez que se efectúa un intercambio exitoso entre las órdenes realizadas en cualquiera de sus variantes.

Riesgos

Aún cuando una persona solo se dedique a especular y mantenga los fondos en las casas de cambio, por conveniencia puesto que muchas de estas o bien no implementan herramientas para utilizarlas directamente o bien son “tokens” que operan sobre alguna red existente, como Ethereum; existen riesgos tecnológicos a considerar y que, a medida de que se van difundiendo más en la sociedad, también son cada vez blanco de los delincuentes.

Metamask

Metamask es una billetera basada en web en forma de “plug-in”, permite acceder a la red Ethereum desde tu navegador, haciendo las veces de puente entre una aplicación local web y esta red lo que resulta en la configuración más utilizada para este tipo de aplicaciones conocidas como dApps.

Esta billetera permite el bloqueo de la misma con lo cual solo conociendo la clave se permite operar con los fondos allí almacenados. Sin embargo, al estar en el ámbito del navegador exponen sus funcionalidades a los sitios web abiertos en las diferentes pestañas, algo esperado puesto que no sabes específicamente cual dirección o dominio es una dApp y cual no. Los últimos meses se ha detectado sitios web que implementan un código sencillo en Javascript que intenta identificar si el navegador tiene conectado un nodo de Ethereum a través de la interfaz RPC. Investigadores en Cisco y otros han confirmado diversos problemas como el hecho de que a través de un código JSON creado explícitamente se podía esquivar los mecanismos de autenticación de esta interfaz. Debido a ello Parity ha desactivado esta funcionalidad.

Billetera IOTA

IOTA es una de las tecnologías cuyos profetas la venden como algo diferente y mejor que “block chain”. IOTA tiene una “billetera”. Se conoce que las billeteras, además de su función principal de manejar las claves públicas y privadas, se encargan de implementar los mecanismos necesarios para que el usuario o cliente efectúe sus transacciones sin complicaciones. Es decir, son interfaces de usuario para la red.

La implementación de IOTA dista mucho de aquello. Cuando se genera una billetera de IOTA se solicita al usuario el ingresar una semilla (“seed”) de 81 caracteres. Los que conocemos de criptograma entendemos que esta se utiliza para derivar y generar el par de claves. IOTA no provee esta funcionalidad internamente, como lo hace por ejemplo el cliente de GnuPG o PGP. Por ello, algunas personas han creado sitios web donde generan estas cadenas de 81 caracteres para que cualquier persona las utilice al momento de crear su billetera IOTA. Nuevamente, si tienes las nociones o conceptos básicos de criptografía ya puedes anticipar lo que ocurrirá puesto que estos algoritmos son ya conocidos y su seguridad no se basa en sus formulas sino en los métodos matemáticos que emplea, en donde la elección adecuada de los números es primordial.

Un grupo de atacantes ha logrado obtener esta lista de semillas y ha efectuado un ataque DDoS a los nodos completos de IOTA. El resultado ha sido que se ha obtenido acceso a un estimado de USD 4 millones aprovechando este escenario.

Recomendaciones

Cuando opere con este tipo de monedas y tecnologías relacionadas lo más recomendable es informarse adecuadamente sobre las implicancias tecnológicas, además de las financieras. Si no tiene los conocimientos para entender todos los aspectos técnicos, consulte con alguien que los tenga y este mejor informado. Si no tiene la información necesaria sobre el activo y no está dispuesto a perder todo el dinero, no juegue al inversionista. Desde Quinpu haremos nuestro mejor esfuerzo para mantenerlos informados en un lenguaje sencillo sin perder la rigurosidad técnica.


Ethereum: 20 millones USD desviados en ataque durante 2 años. Qué hacer
#2

Buen resumen. Un aporte adicional sobre los problemas con IOTA.


#3

Más novedades sobre IOTA. Un “spammer” toma control del 30% de la red.