La web de nueva generación (Web3) ha sido aclamada como más segura que la encarnación actual del ciberespacio, pero un informe publicado el martes advierte que puede no ser así.
Aunque la Web3 puede ser difícil de subvertir a nivel de infraestructura, hay otros puntos de ataque que pueden ofrecer a los actores de amenazas más oportunidades de hacer travesuras que las que se pueden encontrar en la web heredada, según el informe de Forrester, una empresa nacional de investigación tecnológica.
Las aplicaciones Web3, incluidas las NFT, no sólo son vulnerables a los ataques, sino que suelen presentar una superficie de ataque más amplia que las aplicaciones convencionales debido a la naturaleza distribuida de las cadenas de bloques, informó Forrester.
Además, añadió, las aplicaciones Web3 son objetivos apetecibles porque los tokens pueden valer importantes sumas de dinero.
La apertura de Web3, que se supone que es uno de sus principales beneficios, también puede ser un perjuicio. «El código que se ejecuta en una cadena de bloques pública es fácilmente accesible, por cualquier persona con los conocimientos técnicos necesarios, desde cualquier parte del mundo, sin necesidad de penetrar en las defensas corporativas para llegar a él», observó la vicepresidenta y analista principal de Forrester, Martha Bennett, que también es coautora del informe.
«El código fuente suele estar también fácilmente disponible, ya que ejecutar «contratos inteligentes» de código cerrado está mal visto. Al fin y al cabo, el espíritu de Web3 es el «código abierto»», dijo a TechNewsWorld.
Complejidad indeseable
David Rickard, CTO para Norteamérica de Cipher, una división de Prosegur, una empresa de seguridad multinacional, explicó que Web3 se basa en el control distribuido de los datos y la identidad por parte de sus usuarios.
«Eso amplía la superficie de ataque a individuos que pueden no estar dispuestos o simplemente ser incapaces de manejar la gestión de sus propios datos e identidad, aportando una complejidad técnica a un ámbito que desea «facilidad de uso» por encima de todo», dijo a TechNewsWorld.
«Para los individuos, ir más allá de los mensajes de texto, el correo electrónico y desplazarse por las redes sociales y las aplicaciones de compra es un verdadero reto para ellos», añadió.
La idea de Web3 de hacer que el código sea transparente y esté disponible públicamente es poco probable que gane tracción real, mantuvo. «Entre los inversores de capital y los usuarios de los sistemas financieros de blockchain y las NFT, hay demasiado dinero en juego», dijo.
Hacer que el código sea transparente y público también puede ampliar la superficie de ataque de manera obvia, continuó. «Las prácticas de codificación seguras que predicen cómo se puede hacer un mal uso de un sistema para obtener beneficios nefastos no son tan comunes», explicó. «No es fácil predecir cómo la gente puede utilizar los sistemas para fines distintos de los previstos».
«La mayoría de las pérdidas financieras relacionadas con blockchain y NFT no explotan el objeto inmutable en sí, sino que los manipulan explotando las aplicaciones que pueden afectar a ellos», dijo.
Además, aunque los sistemas heredados pueden ser antiguos, también pueden ser robustos. «Lo que es nuevo también suele ser lo más inseguro», declaró Matt Chiodi, director de confianza de Cerby, fabricante de una plataforma para gestionar las TI en la sombra, en San Francisco.
«Aunque el tiempo no es siempre un amigo de la seguridad, permite que una aplicación se ponga a prueba», dijo a TechNewsWorld. «Web3 no es diferente. Es nueva y está muy poco probada. Las aplicaciones heredadas tienen la ventaja del tiempo. Web3 no».
La NFT se convierte en un objetivo popular
Independientemente de que el código sea visible y accesible, el informe señala que los atacantes encontrarán los puntos débiles. Explicaba que, aunque es tentador asumir que los ataques a los contratos inteligentes y a las carteras de criptomonedas se limitan al salvaje oeste de las finanzas descentralizadas, cada vez más, los proyectos de NFT se han convertido en un objetivo favorito.
«¿Por qué optar por un hackeo más difícil si hay formas más fáciles de lograr lo que se quiere?», preguntó Bennett. «Como cualquier otro lugar en el que se intercambia valor, los mercados y las herramientas de comunicación [NFT] atraen a quienes quieren robar o subvertir las reglas de otra manera».
«En todo lo que tiene que ver con la Web3, la velocidad es esencial, y muchos de los implicados no tienen la experiencia necesaria ni siquiera para evaluar lo que podría ser un posible problema de seguridad», dijo. «A veces, las startups ni siquiera anuncian la contratación de un jefe de seguridad hasta después de que haya ocurrido algo malo».
Una de las mayores violaciones de un mercado NFT ocurrió en junio en OpenSea, que expuso unos 1,8 millones de direcciones de correo electrónico. «Ese caso en particular implicaba una amenaza interna, pero las aplicaciones que manejan transacciones pueden ser bastante vulnerables», observó Rickard.
«Puede haber cientos de miles de formas de uso indebido que los programadores deben tener en cuenta, pero un hacker sólo tiene que descubrir un vector, una vez, para que se produzca una brecha», dijo.
Hangout para estafadores
Forrester también informó de que Discord, una red de medios sociales, se ha convertido en un importante punto débil en NFT y otros proyectos públicos de blockchain. Los ataques de phishing exitosos en Discord son la causa de muchos, si no la mayoría, de los robos de NFT, continuó.
Explicó que los ataques suelen dirigirse a los gestores y administradores de la comunidad. Una vez que una cuenta de administrador ha sido tomada con éxito, los atacantes tienen la oportunidad de robar a gran escala, porque los usuarios tienden a confiar en los mensajes de los administradores de la comunidad.
Discord se diseñó principalmente para ser un foro de comunicación para los jugadores, no un lugar para guardar e intercambiar valor, señaló Bennett, y cuenta con mecanismos para mitigar el riesgo. «Pero estos mecanismos sólo pueden ayudar si se aplican, y está claro que con demasiada frecuencia no lo hacen», dijo.
«Además», añadió, «al ser el mecanismo de comunicación favorito para los proyectos de tokens, Discord atrae una parte proporcional de ataques de phishing y mensajes de estafa».
Rickard sostuvo que las comunidades de Discord proporcionan una rica fuente de información para los estafadores, así como para los inversores. «La recolección de información de contacto de los participantes conduce a la suplantación de identidad», dijo. «Los hackeos de carteras digitales no son inusuales».
«Los bots de Discord han sido hackeados para que los actores de la amenaza puedan publicar ofertas de acuñación falsas, lo que resulta en el robo de criptodivisas», añadió.
¿Mejor seguridad que la web heredada?
En el vertiginoso mundo de la Web3, resulta tentador ignorar la seguridad en favor de innovar con rapidez, pero los problemas de seguridad pública pueden hacer descarrilar fácilmente un lanzamiento importante o ralentizar al equipo de producto al obligarle a analizar y mitigar los fallos de seguridad críticos, señaló el informe de Forrester.
Las empresas pueden identificar los riesgos y proteger tanto los componentes descentralizados como los centralizados de sus aplicaciones Web3 involucrando a sus equipos de seguridad, no sólo en el ciclo de vida del desarrollo de software, sino en todo el ciclo de vida del producto, añadió.
«Web3 necesita cambiar su enfoque hacia la izquierda, es decir, acercar la seguridad a los desarrolladores tanto como sea posible y hacer de la prevención el objetivo final», observó Chiodi. «Sin este enfoque, Web3 acabará siendo igual que Web2, lo que sería una pena dado su tremendo potencial, especialmente en torno a la identidad descentralizada».
«El enfoque distribuido de Web3 ofrece diferentes tipos de capacidades de seguridad, pero los problemas fundamentales siguen siendo los mismos», añadió Mark Bower, vicepresidente de producto de Anjuna, una empresa de informática confidencial, en Palo Alto (California).
«Si un atacante consigue acceder a las credenciales, a los privilegios de nivel de raíz o a las claves -en particular, a las claves privadas que se extienden por todo el ecosistema», dijo a TechNewsWorld, «entonces se acabó el juego, al igual que ocurriría en una plataforma centralizada.»
Fuente WEB | Editado por CambioDigital OnLine
