El sector de las criptomonedas tiene muchas críticas. Una de ellas es que puede parecer impenetrable para los recién llegados. Otra es que probablemente es más fácil perder dinero invirtiendo en criptomonedas que en la mayoría de las otras áreas de las finanzas. Lo que es más, estas cuestiones pueden combinarse para crear un ambiente lucrativo para los hackers con intenciones nefastas.

Una extensión del navegador Chrome apesta

En virtud de las fluctuaciones y la exageración que influyen en los mercados, los inversores suelen estar muy motivados para comprar ciertas criptomonedas. Independientemente de sus antecedentes, todos se enfrentan a los mismos obstáculos iniciales: ¿Dónde comprar las criptomonedas y dónde almacenarla?

Debido en parte a la falta de una regulación robusta y a la limitada capacidad legal de la aplicación de la ley por parte de las autoridades, que a menudo no tienen fondos suficientes y están sobrecargados, no hay una manera uniforme de encontrar una forma libre de riesgo de comprar criptomonedas para los no iniciados.

Muchas carteras e intercambios que son realmente scams tienen sitios web de alta calidad y bien diseñados que crean una convincente ilusión de autenticidad. Aunque la mecánica de las criptomonedas y de la tecnología Blockchain es muy compleja, no se espera que los inversores habituales sean expertos en tecnología.

Mientras muchos inversionistas no pueden ser unos codificadores extraordinarios, hay afortunadamente un número de expertos que detectan algo raro en línea y tienen el conocimiento para zambullirse en el código y ver lo que realmente está pasando. Sólo en los últimos días, el mundo de las criptomonedas se enteró de la última estafa para separar a los inversores de sus preciosos fondos.

Atrapado con las manos en la cripto masa

El 30 de diciembre, Harry Denley, un oficial de seguridad de MyCrypto, descubrió que una billetera Ethereum, conocida como "Shitcoin Wallet", supuestamente estaba inyectando un código javascript malicioso desde las ventanas abiertas del navegador para robar datos de los clientes.

Después de examinar el código, Denley notó que la extensión chrome funciona descargando archivos javascript de un servidor remoto. Denley relató a Cointelegraph cómo le llamó la atención Shitcoin Wallet y qué fue exactamente lo que hizo saltar las alarmas para él:

"Desde que empezamos a llamar, indexar e investigar un montón de diferentes estafas, malware y kits de phishing, hemos ganado una red de personas que nos informan constantemente. Una de esas personas me informó directamente de Shitcoin Wallet con una breve investigación sobre el comportamiento de inyectar `contenido_.js' en la pestaña actual del navegador para robar secretos". Antes de que me informara, nunca había oído hablar de ello. Entonces descargué la extensión en una VM y vi el código para confirmar el informe y encontrar otro comportamiento malicioso - el comportamiento de creación de carteras de la extensión también envió los nuevos secretos a su backend".

"Shitcoin" es un término despectivo que aparece frecuentemente en los círculos maximalistas de Bitcoin , así como entre los inversores que tienen una creencia particular en las cualidades inherentes de una moneda digital de su elección sobre todas las demás.

Mientras que es cierto que el mundo online de la discusión criptográfica tiene una sobreoferta de ironía y trolling, que a menudo se incorpora en la marca de las compañías y plataformas, muchos comentaristas consideraron que el provocativo nombre de "Shitcoin wallet" debería haber sido una advertencia suficientemente grande para que los inversores se alejaran. Varios usuarios de Twitter escribieron sobre su incredulidad de que la gente confundiría la extensión de Chrome con un servicio legítimo.

El experto en ciberseguridad Kevin Beaumont pareció tuitear su incredulidad ante la idea de que alguien instalara voluntariamente un plugin llamado "Shitcoin Wallet" después de recibir un correo electrónico del equipo de seguridad de su oficina:

"Primer correo electrónico en el trabajo hoy, nuestro proveedor de inteligencia de amenazas teniendo que avisarme sobre el malware en 'Shitcoin wallet'. Maldición, estaba a punto de instalar el plugin de la Shitcoin wallet".

De la misma manera, el autodescrito evangelista de código abierto de Red Hat, Jan Wildeboer, también tuiteó que el nombre debería hacer saltar las alarmas para los inversores:

"¿Quién instalaría una extensión con ese nombre? Una extensión de Google Chrome llamada Shitcoin Wallet está robando contraseñas y llaves privadas de la cartera".

Los expertos opinan sobre el déficit de seguridad en las criptomonedas

Hartej Sawhney, director general de la agencia de seguridad cibernética Zokyo Labs, con sede en Las Vegas, dijo a Cointelegraph que conseguir que las empresas de criptomonedas tengan una sólida política de seguridad cibernética es más fácil de decir que de hacer debido en parte a una excesiva dependencia de las pólizas de seguros y a las restricciones de personal:

"Las criptomonedas son una nueva industria que están relativamente no reguladas. El reto de tener un programa de ciberseguridad es la necesidad de contar con personal cualificado tanto interno como externo. No se están siguiendo normas básicas como la contratación de hackers éticos de terceros para realizar regularmente pruebas de penetración. En la industria cripto, si los hackers pueden identificar y explotar los fallos de protocolo, entonces comprometerán a toda la red, ya que la cadena de seguridad es protocolo, luego intercambio y luego cartera".

La falta de estructuras reguladoras y normas de seguridad completas en la industria de las criptomonedas es denunciada tanto por dentro como por fuera. Sawhney explicó a Cointelegraph que muchas compañías ni siquiera tienen personal asignado para la supervisión técnica general y que la industria sufre de una falta de incentivo para aquellos calificados para llenar el vacío:

"Muchas de las principales empresas de criptomonedas ni siquiera tienen un Director de Seguridad de la Información asignado o un programa básico de ciberseguridad que destaque los pasos a seguir cuando se enfrenta a una infracción. También hay una falta de incentivo para que los especialistas en seguridad cibernética de clase mundial se centren en la industria de las criptomonedas. Se necesita un conjunto de habilidades extremadamente especializadas para centrarse en la intersección de la ciberseguridad y las criptomonedas".

Para Charles Phan, director de tecnología del exchange londinense Interdax, es necesario que tanto las fuerzas del orden como las empresas de criptomonedas realicen un esfuerzo conjunto para impulsar las defensas y la concienciación en materia de ciberseguridad. Phan añadió:

"Muchos aspectos de la ciberdelincuencia también requieren conocimientos específicos, por lo que es necesario que haya comunicación entre los expertos, las fuerzas del orden, los inversores y el ecosistema en general para eliminar a los malos jugadores. La prevención en forma de educación también es importante".

Aanand Krishnan, director general y fundador de Tala Security, dijo que entender el razonamiento del aumento de los ataques es simple: La seguridad no está a la altura. Krishnan dijo a Cointelegraph:

"Puede que esté afirmando lo obvio, pero los ataques están aumentando porque las técnicas de ataque siguen innovando mientras que la eficacia de la seguridad ha disminuido. Este "estado del mercado" requiere una mayor inversión en seguridad o un pensamiento diferente. Dado que los presupuestos de seguridad siguen siendo muy ajustados, se requieren nuevos enfoques. Muchos de estos ataques aprovechan las vulnerabilidades de JavaScript que pueden ser abordadas por las medidas de seguridad basadas en estándares. Sorprendentemente, estas medidas se despliegan con poca frecuencia".

¿Está Google enmascarando sus intenciones?

Mientras que la extensión de la Shitcoin Wallet fue acertadamente descubierta, no todas las plataformas en línea reciben el tratamiento que creen que se merecen. Desde el momento decisivo del anuncio de Libra en Facebook en 2019, los gigantes de la tecnología mundial han comenzado a ampliar sus operaciones en la industria de las criptomonedas. Dejando de lado el relativamente breve "efecto Libra", las acciones de compañías influyentes y poderosas no siempre tienen un impacto positivo.

En un mundo en el que los teléfonos móviles juegan un papel cada vez más central en la vida cotidiana, la presencia de una aplicación en la App Store de Apple o en la Play App Store de Google puede ser una cuestión de vida o muerte para las empresas. Las aplicaciones que no cumplen con las normas suelen ser retiradas de las tiendas. Aunque las plataformas deben ser prudentes en cuanto a las aplicaciones que ponen a disposición de los clientes, las medidas de seguridad no siempre funcionan según lo previsto.

A finales de diciembre de 2019, el prominente proveedor de servicios de extensión y billetera de Chrome, MetaMask, recibió un regalo de Navidad no deseado en forma de entrar en la lista negra de Google. Afortunadamente para MetaMask, la prohibición sólo duró una semana antes de que finalmente fuera revocada. El razonamiento de Google para la prohibición proviene de que el gigante de la tecnología confunde la extensión del navegador con una aplicación de minería, que no están permitidas.

Aunque MetaMask puede haber sido temporalmente cancelada por Google, su corta estancia en la lista negra desenterró otros problemas para el proveedor de la billetera. Como se informó a finales de diciembre, un colaborador de MetaMask alegó que el equipo estaba totalmente abrumado y no había recibido el apoyo adecuado de su empresa matriz, ConsenSys.

Aunque no es nada raro que las populares empresas de criptomonedas se vean sometidas a las presiones de una demanda en rápido crecimiento, el colaborador también alegó que la empresa no era ni transparente ni descentralizada, afirmando que el código del proyecto era "de baja calidad, lleno de deudas técnicas".

Los comentarios del colaborador provocaron una respuesta de Daniel Finlay, un empleado de MetaMask, quien cuestionó lo que describió como el tono alarmista de alguien que no era un miembro oficial del equipo. Sin embargo, Finlay admitió que algunas de las críticas eran acertadas, particularmente en lo que respecta al código del proyecto. Finlay dijo a Cointelegraph que se sentía incómodo con las crecientes prohibiciones de las empresas y cuentas relacionadas con criptomonedas que se producen en las plataformas tecnológicas:

"Espero que esto haya sido un error honesto por parte de los revisores de Google, pero en combinación con todas las prohibiciones de YouTube, definitivamente me enferma ver cómo Google se está involucrando con las tecnologías descentralizadas".

El ex fiscal federal de aplicación de la ley y abogado de investigaciones regulatorias y gubernamentales de Kennyhertz Perry LLC, Braden Perry, con sede en Kansas City, explicó a Cointelegraph que, si bien Google tiene una influencia considerable en la proliferación de DApps en sus plataformas, la falta de claridad regulatoria y el choque entre la seguridad y la demanda a menudo significa que el gigante de la tecnología se encuentra en una situación difícil:

"Han alterado el curso y permitido aplicaciones después de una revisión más profunda. Tomemos como ejemplo MetaMask - Google lo rechazó y luego, basado en la reacción de los desarrolladores y el público, cambió el curso y permite la aplicación. Google está en una posición difícil, tratando de garantizar la seguridad al público que descarga Dapps mientras se mantiene relevante para los desarrolladores detrás de las Dapps".

Apple también desconfía de las DApps

MetaMask no fue la única empresa que atrajo la ira de uno de los llamados "Big Four" de la tecnología. Según un post de Reddit publicado el 28 de diciembre, el proveedor de divisas y carteras Coinbase, con sede en Estados Unidos, advirtió a los usuarios que podría verse obligado a eliminar la función del navegador DApp de su aplicación de billetera para cumplir con la política de la App Store móvil de Apple.

El CEO de Coinbase, Brian Armstrong, comentó en el post, resumiendo su opinión de que Apple estaba en un proceso de eliminación de DApps de la App Store:

"Esto es algo realmente desafortunado de ver. Apple parece estar eliminando el uso de Dapps de la App Store. [...] Está más allá de Coinbase y de la IMO una amenaza muy grande para el ecosistema".

Para Sawhney, de Zokyo Lab, las acciones de muchas grandes empresas de tecnología equivalen a la censura: "Todo se trata de censura y control. Los gigantes de la tecnología, como Apple y Google, quieren que sus clientes tengan una exposición limitada al mercado multimillonario de DApp".

Para Denley de MyCrypto, la cuestión de la postura de Google con respecto a las DApps no es tan sencilla. Aunque Denley reconoce que Google ha tomado algunas decisiones cuestionables con respecto a la ejecución de su política, parte de esto se debe a la falta de claridad:

"El enfoque de Google sobre la censura de las DApps y las criptomonedas no es consistente, así que no está justificado en mi opinión ya que las reglas son muy confusas para saber de qué lado de la línea estás".

Denley añadió que una vez que haya una mayor claridad sobre lo que se debe y no se debe permitir con respecto a la capacidad de censurar y vigilar el contenido de criptomonedas que sea de baja calidad o malicioso, será más fácil para las empresas y los comentaristas por igual tomar partido. Braden Perry expuso a Cointelegraph su punto de vista de que a través de la regulación, puede ser posible lograr un equilibrio saludable entre la descentralización y la seguridad:

"La regulación es inevitable. La forma en que afectará a las criptomonedas depende de cómo se vea esa regulación. Un intento apresurado de dominar todo el potencial de seguridad probablemente fracasaría y causaría más daño que beneficio a la tecnología. Pero un esquema regulatorio bien diseñado que apunte a afectar a los malos actores y no a regular en exceso la tecnología sería probablemente positivo para las criptomonedas, y esto requeriría un esfuerzo de colaboración entre el congreso, los reguladores, los grandes de la tecnología (Google, Apple, etc.) y los desarrolladores".

Tomando un enfoque basado en el mercado, Krishnan de Tala Security argumentó que la descentralización ya había sido aceptada. Los comentarios de Krishnan también se hicieron eco del creciente consenso entre los líderes empresariales y las figuras jurídicas en la industria de las criptomonedas de que la única manera de avanzar es la creación de seguridad basada en estándares y el intercambio de información con el fin de cambiar el rumbo en contra la proliferación de actores maliciosos en la industria:

"Modelos de seguridad basados en estándares en los que el intercambio de información, a menudo de los mejores y más brillantes, ofrece la esperanza de definir el modelo de seguridad requerido del futuro. Adoptar estos modelos y contribuir a su avance es el tipo de pensamiento diferente que se requiere para asegurar que los atacantes no siempre ganen".

Sigue leyendo: