La seguridad de las Cripto en 2016: una historia de dos debilidades

Bill Shihara es el director ejecutivo y cofundador de la plataforma de intercambio de Criptomonedas Bittrex, y ex ingeniero de seguridad de Amazon, Blackberry y Microsoft.

En este artículo especial de CoinDesk 2016 en revisión, Shihara analiza los principales Eventos de ciberseguridad en la industria este año, trazando tendencias claras que podrían informar a las empresas y a las personas que buscan proteger mejor sus fondos en 2017.

Bitfinex, La DAO, Gatecoin...

La seguridad siempre ha sido una preocupación en la comunidad de Bitcoin y de Criptomonedas en general, y, como era de esperar, no faltaron ataques maliciosos a empresas de la industria en 2016.

Este año, vimos varios ataques a importantes empresas que sugieren que es probable que los atacantes maliciosos sigan siendo una amenaza para las nuevas empresas de Criptomonedas , poniendo en riesgo a los usuarios e inversores de la industria blockchain.

Mientras las empresas emergentes y los inversores se preparan para 2017, veamos algunos de los principales incidentes con la esperanza de que los piratas informáticos tengan menos suerte el año que viene.

Primer semestre de 2016: Servicios centralizados atacados

Los servicios centralizados (o grandes grupos de criptomonedas) siempre han sido objetivos atractivos para los piratas informáticos.

Pero lo notable es que las tres plataformas de intercambio de Criptomonedas que fueron atacadas durante este período se vieron comprometidas mediante métodos muy diferentes. Diría que este hecho plantea problemas a los clientes que intentan gestionar el riesgo de depositar sus activos digitales en servicios centralizados.

ShapeShift, por ejemplo, perdió sus propios fondos a través demúltiples hackspor una persona de adentro, mientras que ambosGatecoiny Bitfinex perdió fondos de los usuarios a través de hackeos externos (y ha estado trabajando para reembolsar a sus clientes).

Pero no podemos olvidarnos del mayor hack del año: The DAO.

La DAO, un fondo de capital de riesgo descentralizado, recaudó aproximadamente 150 millones de dólares en marzo de inversores de monedas digitales de todo el mundo.

Desafortunadamente, la promesa de los contratos inteligentes y el "código como ley" se puso a prueba cuando un hacker logró usar el código de The DAO para retirar 50 millones de dólares en Ethereum. Recuerde que los contratos inteligentes son software y no son inmunes a errores de lógica que pueden provocar fallos de seguridad.

Al igual que cuando invierte su dinero en intercambios, debe pensar detenidamente en los contratos inteligentes y las soluciones descentralizadas, y cómo funcionan, para comprender cómo están protegidos sus fondos.

Segunda mitad de 2016: Personas en la mira

A medida que los servicios desarrollados en la industria de las Criptomonedas han elevado el nivel de seguridad, los piratas informáticos han pasado a objetivos más fáciles y atacan a usuarios individuales.

Incluso los veteranos sofisticados de la industria de Bitcoin como Bo Sheny Jered Kenna,según lo informado porForbes, no fueron inmunes a esta ola de ataques.

En la segunda mitad de 2016, varias personas del sector de las Criptomonedas sufrieron el robo de sus números de teléfono. Los hackers lograron manipular socialmente a sus operadores telefónicos y convencer a los técnicos de soporte técnico para que cambiaran su número a ONE que ellos controlaban.

Esto es particularmente insidioso porque los mensajes de texto SMS y los números de teléfono se utilizan como mecanismo de autenticación por muchos servicios de los que usted depende a diario, como Google, Facebook y algunos servicios de Criptomonedas .

En algunos casos, tu teléfono puede usarse como factor único para restablecer una contraseña o acceder a una cuenta. Tu compañía telefónica protege tu vida digital con la mano de obra más barata que encuentra, y esos ingenieros de soporte no siempre Síguenos con sus procesos de seguridad.

Lo mejor es eliminar tu número de teléfono de cualquier servicio al que esté vinculado. Otra buena práctica, aunque no siempre infalible, ya que tu operador podría no Síguenos sus propios procesos de seguridad, es establecer una contraseña en tu cuenta y exigir que cualquier cambio de SIM o de operador solo se realice si presentas una identificación válida en una tienda.

En el tema de ingeniería social, tenga cuidado de dónde coloca sus credenciales y cualquier información sobre usted mismo: en LinkedIn, Facebook y Twitter, por ejemplo.

Los hackers pueden recopilar esta información y usarla para acceder a tus cuentas mediante ingeniería social. Piensa en las respuestas a tus preguntas de seguridad y si alguien podría determinarlas al ver tu perfil de Facebook.

Y, obviamente, si reutiliza el mismo nombre de usuario y contraseñas en varios sitios, debería considerar alternativas. Utilice la autenticación de dos factores basada en hardware o dispositivo en todos los sitios que la admitan.

KEEP en cuenta que existen sitios web falsos diseñados para engañarlo y obligarlo a proporcionar sus credenciales. Los hackers suelen comprar AdWords para que sus sitios maliciosos aparezcan en los primeros resultados de búsqueda.

Mirando hacia el año que viene: 2017

2016 fue un gran año para los hackers, pero 2017 no tiene por qué ser así.

Al prestar atención a las tendencias y proteger sus cuentas comerciales y personales con medidas de protección avanzadas, todos podemos beneficiarnos de un ecosistema de Criptomonedas más seguro y protegido.

Sin embargo, aún no hemos llegado a ese punto. En 2017, preveo que la industria invertirá fuertemente en Tecnología de Privacidad y soluciones de identidad en blockchain.

Imagen de una caja fuerte abiertavía Shutterstock