Nuestro Blog

Blockchain tiene una falla de seguridad enorme — puede arreglarse?

k

02 Mayo 2017

Konstantinos Karagiannis

Posts by authors: Konstantinos Karagiannis, CTO, Security Consulting, Americas, BT.

LinkedInTwitter

El Bitcoin cambió el dinero para siempre. Pero sin blockchain, no tiene valor intrínseco. Descubra por qué todas las empresas necesitan estar preocupadas por sus defectos significativos.

El más grande truco o trato de Halloween.

Cuando Satoshi Nakamoto publicó su artículo presentando Bitcoin en Halloween del 2008, realmente estaba dispuesto a cambiar el dinero para siempre. La crisis financiera “demasiado grande para fracasar” acababa de mostrar lo frágiles que pueden ser las economías, y una sólida mitad del mundo no tenía acceso a ninguna forma de banca.

Nadie sabe quién es este pseudónimo pionero de la moneda, o si es ella o ellos. Sin embargo, sabemos que Satoshi resolvió el clásico problema digital del doble gasto. Simplemente: mientras que es aceptable enviar a alguien una imagen digital y conservar una copia, usted no puede esperar que el dinero trabaje de esa manera.

Evitar un doble gasto.

Satoshi evitó gastar dos veces al crear un libro distribuido, o cadena de bloques, que garantizaría que las transacciones fueran justas. En esta plataforma, una criptomoneda llamada Bitcoin tendría un valor intrínseco debido a su dificultad de creación y escasez.

Cuando la criptografía hizo esto posible, vino con una declaración tranquilizadora, denominando a las transacciones como “computacionalmente imprácticas para revertir”. Nuestro mundo estaba listo. Bitcoin se disparó en valor y popularidad, a pesar de la mala prensa ocasional que implicaba el uso del dinero anónimo en los mercados.

Otras criptomonedas aparecieron, y los libros mayores de la tecnología del blockchain (registro de transacciones) pronto comenzaron a autorizar contratos-inteligentes y otras aplicaciones donde la validación de la identidad, la propiedad, o de algún otro artículo valioso era necesario. Incluso los bancos entraron explorando las maneras de utilizar blockchain a través de sus organizaciones. Puede ser pronto imposible trabajar en una empresa que no está desarrollando algo en una cadena de bloqueo – como tratar de encontrar una empresa sin presencia en la web hace unos pocos años.

Pero es seguro?

En mi charla de RSA 2017, “Hacking Blockchain”, dedico gran parte del tiempo  explicando los ataques históricos y actuales enfrentados por todas las implementaciones de la tecnología. Muchos de estos ataques son de la vieja escuela, centrándose en apoyar la tecnología y no en la cadena misma.

Considere que los ataques en contra de las credenciales utilizadas, es un intercambio de criptocadenas en línea. Tales intercambios actúan como carteras calientes, o almacenamiento de fondos disponibles para realizar transacciones en línea en cualquier momento. La autenticación de la piratería tradicional de estos sitios, puede llevar a transacciones ilegales. Algunos ataques son aún más creativos, como la capacidad de obligar a una cartera fría o fuera de línea a convertirse en caliente y por lo tanto un objetivo para las transacciones fraudulentas.

Sin embargo, el principal problema que abordo en la conferencia, es el defecto inherente en la página uno del artículo de Satoshi. Esa línea elegante, sí que es molesta, habla sobre transacciones “computacionalmente imprácticas para revertir”. Usted puede ver que el crypto que está detrás de la criptografía, es en realidad la clave pública. Estamos a menos de tres años de ser hackeable por una computadora cuántica.

Enfrentando la realidad.

¿Fantasía? Difícilmente. Los laboratorios de todo el mundo ya han demostrado que los ordenadores cuánticos pueden ejecutar el Algoritmo de Shor y casi instantáneamente encontrar la clave privada de un par de claves públicas de hasta 4,096 bits. He escrito extensamente sobre este tema (vea mis blogs de computación cuántica en BT Security).

Debido a la forma en cómo funciona la clave pública en la mayoría de las implementaciones blockchain, incluyendo Bitcoin, una computadora cuántica tiene todo lo necesario para obtener la clave privada de un usuario cada vez que se produce una transacción. Gasta tan solo una criptomoneda, y cualquier entidad con una computadora cuántica puede descargar la cadena de bloqueo de esa moneda, ver su transacción, y en unos momentos pasar el resto de sus fondos.

La amenaza parece aún peor si se consideran los bloques diseñados para demostrar la propiedad de la tierra u otras transacciones críticas relacionadas con la identidad. Un ataque de clave privada en este caso puede conducir a un tipo irreversible de robo de identidad, al menos dentro de ese ecosistema de blockchain.

La NSA ha alertado contra el uso de la encriptación insegura. Es momento de admitir que estemos apurados por poner todo en una casa de naipes digital, en vez de una cadena inquebrantable. Corrijamos los defectos inherentes de blockchain ahora, antes de que sea demasiado tarde.