El jefe de seguridad de Polygon culpa a las brechas de seguridad de la Web 2.0 de la reciente ola de hackeos
El jefe de seguridad de Polygon, Mudit Gupta, ha instado a las empresas de la Web 3.0 a que contraten a expertos en seguridad tradicional para acabar con los hackeos fácilmente evitables, argumentando que el código perfecto y la criptografía no son suficientes.
En declaraciones para Cointelegraph, Gupta señaló que varios de los recientes hackeos en el espacio de criptomonedas fueron, en última instancia, el resultado de las vulnerabilidades de seguridad de la Web 2.0, como la gestión de claves privadas y los ataques de suplantación de identidad para obtener datos de inicios de sesión, en lugar de una tecnología Blockchain mal diseñada.
Además, Gupta subrayó que obtener una auditoría de seguridad certificada de un contrato inteligente sin adoptar las prácticas estándar de ciberseguridad de la Web 2.0 no es suficiente para proteger un protocolo y las billeteras de los usuarios de ser atacados:
“He estado presionando al menos a todas las grandes empresas para que consigan una persona dedicada a la seguridad que realmente sepa que la gestión de claves es importante”.
“Tienes claves API que se utilizan durante décadas y décadas. Así que hay que seguir las mejores prácticas y procedimientos adecuados. Para mantener estas claves seguras. Debería haber un registro de auditoría adecuado y una gestión de riesgos apropiada en torno a estas cosas. Pero, como hemos visto, estas empresas de criptomonedas ignoran todo esto”, añadió.
Aunque las cadenas de bloques suelen ser descentralizadas en el backend, “los usuarios interactúan con [las aplicaciones] a través de un sitio web centralizado”, por lo que siempre hay que “tener en cuenta” la aplicación de las medidas tradicionales de ciberseguridad en torno a factores como el sistema de nombres de dominio (DNS), el alojamiento web y la seguridad del correo electrónico, dijo Gupta.
Gupta también hizo hincapié en la importancia de la gestión de las claves privadas, citando el hackeo del Ronin Bridge, de USD 600 millones, y el del Horizon Bridge, de USD 100 millones, como ejemplos clásicos sobre la necesidad de reforzar los procedimientos de seguridad de las claves privadas:
“Esos hackeos no tenían nada que ver con la seguridad de la blockchain, el código estaba bien. La criptografía estaba bien, todo estaba bien. Excepto la gestión de claves, que no lo estaba. Las claves privadas […] no se guardaban de forma segura, y la forma en que la arquitectura funcionaba era que si las claves se veían comprometidas, todo el protocolo se veía comprometido”.
Gupta sugirió que el sentimiento actual de las empresas blockchain y la Web 3.0 es que si “caes en un ataque de phishing, es tu problema”, pero argumentó que “si queremos una adopción masiva”, las empresas de la Web 3.0 tienen que asumir más responsabilidad en lugar de hacer lo mínimo.
“Para nosotros […] no queremos sólo la seguridad mínima que aleje la responsabilidad. Queremos que nuestro producto sea realmente seguro para que los usuarios lo utilicen […] así que pensamos en qué trampas pueden caer y tratamos de proteger a los usuarios contra ellas”.
Polygon es un marco de interoperabilidad y escalado para construir blockchains compatibles con Ethereum, que permite a los desarrolladores crear aplicaciones descentralizadas escalables y fáciles de usar.
Con un equipo de 10 expertos en seguridad empleados actualmente en Polygon, Mudit quiere que todas las empresas de la Web 3.0 adopten el mismo enfoque.
Tras el hackeo de USD 190 millones del puente Nomad en agosto, los hackeos de criptomonedas han superado la marca de los USD 2,000 millones, según la empresa de análisis blockchain, Chainalysis.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Sigue leyendo:
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.