Los recientes problemas de piratería de Bitstamp sugieren que la seguridad en el mundo de bitcoins parece empeorar, en lugar de mejorar. Ya sea que se deba a ataques externos o irregularidades internas como se alega en Mt Gox, está claro que algo tiene que cambiar.

Cuando la billetera de bitcoin Blockchain experimentó sus propios problemas de seguridad en diciembre, el experto en criptografía descentralizada Emin Gün Sirer señaló que las prácticas de seguridad estándar entre las empresas de tecnología no se mantendrían en pie en el mundo bitcoin.

Demasiado estaba en juego, dijo. Las empresas de medios sociales pueden tener fotos de sus mascotas, pero su cuenta de bitcoin tiene algo más valioso. Parece razonable que el mundo de la criptomoneda se mantenga en un nivel más alto de cuenta que, digamos, Twitter (aunque una cuenta de Twitter pirateada todavía puede tener resultados bastante devastadores).

"Ciertamente necesitamos mejores prácticas de seguridad, como hemos visto en el flujo constante de fallas espectaculares de los intercambios de bitcoins", dijo a CoinDesk más recientemente. "Estos servicios han estado fallando a un ritmo de una falla importante cada dos meses, dejando a muchas personas angustiadas en su camino. "

Entonces, si aceptamos que las compañías que tienen fondos en vivo reales para clientes deberían tener estándares de seguridad más altos, ¿cuáles deberían ser esos estándares?

Consejos de los banqueros

Si las empresas de bitcoins no deberían buscar seguridad en el sector de la tecnología en general, deberán buscar en otro lado. Tal vez la industria bancaria podría ofrecer algunos sabios consejos. Los bancos han estado tratando valientemente de detener a los piratas informáticos de robar los datos de sus clientes durante años. ¿Podrían las empresas de bitcoins aprender algo de ellos? Dadas las pérdidas recientes de JP Morgan Chase, tal vez no.

El truco de JP Morgan Chase fue indiscutiblemente malo, pero hay una diferencia clave entre eso y una cuenta de bitcoin pirateada. Los clientes de JP Morgan perdieron información personal, pero no dinero. Si un hacker apunta a su cuenta de bitcoin, sus fondos desaparecerán.

El ex investigador forense digital Michael Perklin es presidente del CryptoCurrency Certification Consortium (C4), que ha desarrollado una certificación para los profesionales de criptomonedas. Sostiene que las empresas bitcoin deben ir incluso más allá de los bancos en términos de seguridad:

"Si alguien ingresa en un banco y alguien edita su base de datos para decir 'Ahora tengo un millón de dólares que antes', o transfieren fondos de transferencia fuera del banco para ir a otro banco, entonces todo eso es rastreable y reversible. "

Por el contrario, argumentó que las transacciones de bitcoin en cadena de bloques no son, como algunos intercambios y otros servicios de bitcoin han encontrado a su costa.

"Con Bitcoin, una vez que haya tomado las llaves y las haya transferido a otra persona, no hay forma de recuperarlas sin depender de la aplicación de la ley tradicional", advirtió.

Si las compañías bitcoin no pueden mirar hacia Silicon Valley o hacia los bancos, ¿dónde pueden buscar? Quizás para ellos mismos.

"Ya es hora de que los intercambios se den cuenta de que están juntos en esto, que la percepción de que Bitcoin es inseguro perjudica a todo el ecosistema y les conviene establecer prácticas (como el uso de bases de datos sólidas, billeteras multinivel). , prueba de reservas en tiempo real y computación confiable) para toda la industria ", dijo Sirer.

Se necesita un mejor software

Un área donde los intercambios podrían mejorar es el desarrollo de software, argumenta Charles Hoskinson, experto en criptografía y ex CEO de Ethereum, que ahora está trabajando en un proyecto educativo sobre criptomoneda.

"Los intercambios deben limpiar sus actos y crear un organismo de estándares para probar la solvencia, junto con contratos inteligentes para regular el comportamiento y restablecer la confianza, dijo, y agregó que muchos intercambios son startups con recursos limitados". Ese es el otro problema , que es que el software es bastante malo. "

Crear software seguro es difícil. En 2003, Microsoft congeló todo su ciclo de desarrollo durante meses, y recapacitó a sus desarrolladores desde cero para escribir un código más seguro. funciona en diferentes bibliotecas de software, prohibiendo a sus desarrolladores usarlas.

Microsoft incluso diseñó un proceso completo, llamado Security Development Lifecycle (SDL), para crear un software que fuera a prueba de balas (o, al menos, contenía menos agujeros que el tamaño medio de Gruyere).

Sin embargo, el desarrollo de software por sí solo no es suficiente (y en el caso de Bitstamp, no está del todo claro dónde estaba la vulnerabilidad que permitió a los piratas informáticos robar bitcoins de la compañia). También hay otros asuntos que considerar, incluida la gestión de la infraestructura. Elementos como el control de cambios y el parche de seguridad son cruciales para el funcionamiento de un entorno seguro.

Los procesos internos también deben mejorar, dicen los expertos. Según Perklin, realizar verificaciones de antecedentes adecuadas del personal responsable de las llaves es un ejemplo.

La buena noticia es que algunos de estos procesos seguros pueden estar integrados a la tecnología utilizada. La tecnología de firma múltiple es un buen ejemplo. Puede investigar a sus altos ejecutivos responsables del acceso a claves privadas, pero tener un sistema que requiera que varios de ellos autentiquen una transacción ayudaría a minimizar, si no eliminar completamente, el riesgo de corrupción y chantaje.

Cuidando el negocio

Si no se dan cuenta de esto, el peligro para las organizaciones que tienen criptomonedas populares es que terminan teniendo a alguien que lo regule por ellas. Demasiados robos grandes pueden despertar el interés de los políticos que pueden tomar el asunto en sus propias manos.

"Si hay suficientes quejas de los clientes, los reguladores podrían verse obligados a intervenir con su enfoque habitual de mano dura", dijo Gun Sirer, agregando que esperaba que la industria se reagrupe antes de que eso suceda. "Estoy en favor de conseguir que la industria limpie su propio acto."

Ciertamente hay suficiente dinero flotando en la comunidad de bitcoins para pagar a algunos programadores adultos. El informe State of Bitcoin de CoinDesk en enero documentó inversiones de capital de riesgo en bitcoin que alcanzaron los $ 433 millones, y $ 335 millones de eso en 2014. Eso es muchos salarios para clientes de seguridad técnica.

Búsqueda de imágenes a través de Shutterstock