Los últimos años han sido un momento decisivo para la seguridad en el mundo de las criptomonedas. A medida que la clase de activos ha ido ganando popularidad, se han ido destacando cada vez más las brechas de seguridad y se han apuntado más instituciones.
La floreciente industria está llena de oportunidades, pero también de riesgos. Me vienen a la mente dos incidentes que ponen de manifiesto estos fallos en la seguridad.
En enero de 2018, Coincheck Japón fue el objetivo, y los atacantes consiguieron robar 530 millones de dólares en tokens NEM del intercambio de criptomonedas. Se trata de uno de los mayores robos a un exchange de criptomonedas en la relativamente corta historia de la industria y se sitúa junto al infame ataque a Mt. Gox, en el que se robaron alrededor de 800.000 BTC, una suma que hoy en día supera los 6.000 millones de dólares.
En febrero de 2016, el Banco de Bangladesh fue blanco de ataques. Los ladrones intentaron robar un total de 850 millones de dólares a través de transacciones debidamente autenticadas al ordenar al Banco de la Reserva Federal de Nueva York que transfiriera el dinero a través de la red SWIFT. Aunque "sólo" se transfirieron 101 millones de dólares a los beneficiarios finales en Filipinas y Sri Lanka, el resultado fue un enorme total de 81 millones de dólares robados con éxito durante el incidente.
¿Qué tienen en común estos incidentes? La complacencia de las víctimas - bancos centrales y las principales exchanges de criptomonedas - y su gestión de credenciales de seguridad (ya sean contraseñas o claves privadas) para dar acceso a la transferencia de dinero fiduciario o criptomonedas.
La red SWIFT utilizada por el Banco de Bangladesh y otros bancos similares no fue hackeada, los usuarios de la red sí lo fueron. Las Blockchains utilizadas para transferir el NEM fuera de Coincheck y el BTC fuera de Mt Gox no fueron hackeadas, los exchanges - es decir, los usuarios de estas Blockchains - sí lo fueron. Sus sistemas y credenciales estaban tan mal protegidos que los hackers podían tomar el control y hacerse pasar por sus víctimas con facilidad.
La comunidad de SWIFT reaccionó a estos acontecimientos reforzando los controles de seguridad cibernética, identificando a los actores más débiles y asegurándose de que el modus operandi de los ladrones informáticos se compartiera entre la comunidad para evitar nuevos incidentes. ¿Ha hecho la industria cripto lo mismo y ha aprendido de sus errores? Probablemente no al nivel que esta cuestión merece. ¿Veremos en 2020 una mayor colaboración para prevenir estos incidentes o para permitir la recuperación de los fondos robados en caso de que los hackers tengan éxito? El jurado aún no se ha pronunciado.
La industria ha progresado, pero queda mucho trabajo por hacer
En los últimos dos años, la seguridad en la industria de las criptomonedas ha evolucionado drásticamente. Las soluciones tecnológicas ofrecidas por los proveedores de billeteras no custodiadas y custodiadas son cada vez más robustas.
Las organizaciones han utilizado el acceso a monederos multifirma basados en hardware o software, la encriptación de entornos operativos, las listas blancas de direcciones, el endurecimiento de los procedimientos operativos y muchos otros métodos para mejorar la seguridad. Otros avances incluyen sistemas de gestión de carteras impulsados por protocolos de computación multipartita o módulos de seguridad de hardware, que permiten la transferencia segura, rápida y eficaz de activos en el día a día.
Cuando se producen hackeos, la comunidad de seguridad habla de ello; se utilizan listas negras de direcciones para desviar fondos robados, se reducen los intentos de cobro y se utilizan otros métodos para detener a los hackers. Pero el simple hecho de que estos tipos de robos informáticos hayan continuado ocurriendo en 2019 demuestra que muchos en la industria todavía no están preparados para manejar las violaciones de la ciberseguridad.
No es sólo la tecnología la que tiene que avanzar. Se trata también de una gestión del riesgo operativo de grado empresarial y de mejorar los controles y equilibrios necesarios sobre las personas con acceso a los activos de los clientes en los exchanges de criptomonedas.
Se trata de asegurar las inversiones de los clientes y de adherirse a las prácticas comerciales básicas con respecto, por ejemplo, a la necesaria segregación de obligaciones entre las funciones y entidades para evitar conflictos de interés.
Ninguna exchange tradicional del mundo desempeña, dentro de una misma entidad jurídica, las funciones de exchange y de depositario o custodio. No existen en el mundo gestores de activos tradicionales que tengan la custodia de los activos que gestionan para los inversores subyacentes.
¿Por qué la industria de las criptomonedas sigue creyendo que está bien que ignoren estos principios de sentido común? ¿Por qué la gente sigue esperando que el dinero institucional fluya en la industria cuando está claro que no sucederá antes de que estas necesarias mejores prácticas y reglas financieras estén en su lugar y sean heredadas de la industria financiera tradicional?
En los últimos 12 meses, muchas exchanges, fondos y fundaciones han empezado a darse cuenta de que la industria de las criptomonedas no prosperará sin que se establezcan las prácticas comerciales adecuadas y la transparencia para proteger los activos e intereses de los clientes - los únicos actores que importan.
Cada vez se recurre más a custodios independientes de terceros para que proporcionen la neutralidad y la transparencia necesarias -además de la seguridad esperada- para garantizar que los activos de estos clientes o inversores estén seguros de forma auditable. Han surgido soluciones de calidad empresarial para reducir el riesgo de los hackers informáticos. Las compañías de seguros ya no se resisten a cubrir a los custodios de terceros con la tecnología adecuada, todavía a un alto coste de prima, pero con una prometedora tendencia a la baja.
2020: ¿El año de la profesionalización?
En el año 2020, será necesaria una mayor educación y sensibilización. Los exchanges, los fondos, los proyectos, las fundaciones y todos los demás actores de la industria de las criptomonedas que prestan servicios a los clientes subyacentes deben establecer los procesos adecuados, transparentes y seguros en torno a la custodia de los activos de sus clientes. La mayoría optará legítimamente por la subcontratación de esa tarea crítica a terceros custodios cuya labor es precisamente esa.
Es de esperar que este año sea también el año en que los proveedores de servicios de activos digitales, como los exchanges de criptomonedas y los custodios, no sólo colaboren en la aplicación de las normas del Grupo de Acción Financiera, sino también en el intercambio de información sobre el modus operandi de los hackers informáticos y la elaboración de listas negras de direcciones.
A finales de año, el cobro de los fondos pirateados debería ser tan difícil - gracias a una colaboración más formal entre los actores del ecosistema - que los ladrones se verán disuadidos de dirigirse a las organizaciones relacionadas con criptomonedas.
Más allá de la adopción de la tecnología establecida correctamente, sólo cuando se establezcan prácticas operativas y comerciales de sentido común -las de la segregación de tareas, el enfoque en las actividades principales y la gestión de riesgos establecida- la industria de los activos digitales se convertirá en parte del comercio común. Hoy en día, no lo es, y ahora ya se sabe por qué.
Sigue leyendo:
- “Fui engañado por un perfil falso del CEO de Binance y perdí 91 Bitcoins” dice inversor venezolano
- Interpol colabora con una empresa de ciberseguridad para combatir el 'cryptojacking'
- Hackeos más significativos de 2019: Una revisión al nuevo récord de más exchanges hackeados en un año
- La firma de financiación colectiva Indiegogo venderá tokens de valores respaldados por bienes raíces
- Estudio jurídico se suma a Mobility Open Blockchain Initiative para aportar experiencia legal en el ámbito de la automoción
- IBM lanza red blockchain de seguimiento de alimentos, se une el gigante minorista Carrefour
Los puntos de vista, pensamientos y opiniones expresados aquí son exclusivamente del autor y no reflejan ni representan necesariamente los puntos de vista y opiniones de Cointelegraph.
Alex Kech es el CEO de Onchain Custodian. Cuenta con más de 20 años de experiencia en el sector de los mercados de capitales, desde la custodia global y el servicio de activos en el Bank of New York hasta la estandarización de datos y la dirección de valores y divisas de Asia-Pacífico en SWIFT. Onchain Custodian ofrece un servicio de custodia global, estandarizado, resistente, asegurado y conforme a las normas para la custodia de inversiones institucionales de activos digitales.