Web3 es una iteración de la World Wide Web que valora el control descentralizado sobre los datos y las transacciones en línea. Se basa en cadenas de bloques descentralizadas. Sustituye a la infraestructura centralizada servidor-cliente de la Web 2.0, donde las empresas privadas centralizadas controlan y poseen los datos.
Sin embargo, las organizaciones que utilizan tecnología blockchain y Web3 están sujetas a diversas amenazas de seguridad. De hecho, en 2022, hubo más de 167 ataques importantes en el espacio Web3, por una pérdida total de unos 3.600 millones de dólares, un 47,4% más que en 2021, según el Informe Global de Seguridad Web3 2022.
4 riesgos de seguridad web3 más comunes
Cryptojacking: Se produce cuando un ciberdelincuente utiliza de forma secreta la potencia de cálculo de una empresa o de un particular para generar cryptocurrency.
Vulnerabilidades de la cadena de bloques: Los problemas de seguridad asociados a las criptomonedas incluyen lo que se conoce como un ataque del 51%, cuando una persona o grupo de personas controla más del 50% de la cadena de bloques de una red. Aunque es poco frecuente, un ataque del 51% con éxito permite a un atacante tener el control total de la red, lo que le permite bloquear otras transacciones para que no se confirmen y duplicar el gasto de monedas, por ejemplo.
Ataques de phishing: Los hackers utilizan estos ataques de ingeniería social para robar datos de los usuarios, como números de tarjetas de crédito/débito e información de inicio de sesión. En un ataque de phishing, un ciberdelincuente asume la identidad de una persona o empresa de confianza para engañar al objetivo y conseguir que abra un mensaje instantáneo, de correo electrónico o de texto. A continuación, el atacante engaña a la víctima para que haga clic en un enlace malicioso. De esta forma, la persona puede revelar inadvertidamente información sensible, así como instalar malware, como ransomware.
Ataques de día cero: Un ataque de día cero aprovecha una vulnerabilidad de seguridad del software que el proveedor o desarrollador probablemente desconoce. Durante un ataque de este tipo, un hacker libera malware para explotar la vulnerabilidad antes de que el desarrollador haya parcheado el fallo.
Hay algunas prácticas que se pueden utilizar para mitigar estos y otros riesgos de seguridad de Web3.
7 mejores prácticas para gestionar y reducir eficazmente los riesgos de seguridad de Web3
1. Sólo descarga e instala apps de fuentes conocidas
Una forma de que las empresas mitiguen los riesgos de seguridad de Web3 es no descargando e instalando apps de fuentes desconocidas, incluyendo sitios web que puedan no tener buena reputación. Las empresas sólo deben descargar e instalar aplicaciones de fuentes conocidas.
2. Adoptar el enfoque de seguridad por diseño
Los principios tradicionales de seguridad por diseño son tan críticos para los sistemas Web3 como para otros sistemas. Por lo tanto, los desarrolladores deben incorporar principios de seguridad en sus infraestructuras, diseños y productos.
Por ejemplo, los desarrolladores deben tratar de reducir las superficies de ataque, asegurar los marcos de confianza cero, y garantizar el principio del menor privilegio (POLP) y la separación de privilegios.
3. Aplicar la seguridad de forma estratégica
Para garantizar la seguridad de Web3, las organizaciones deben aplicar la seguridad de forma estratégica. Hacerlo es tan importante como adoptar los principios de seguridad por diseño. Los equipos de desarrolladores deben considerar proactivamente los tipos de tecnología blockchain que utilizarán para sus proyectos.
Por ejemplo, deben decidir si van a utilizar blockchains públicas, como Ethereum, o privadas.
Esto es crítico porque las blockchains privadas requieren que los usuarios confirmen sus identidades, privilegios de acceso y otros detalles similares. Las blockchains públicas, por otro lado, permiten que cualquiera se una con varios niveles de anonimato,
Las empresas también deben tener en cuenta estos factores:
- Ya sea pública, privada o híbrida, cada blockchain tiene sus propios desafíos únicos, que afectarán a la seguridad de las aplicaciones descentralizadas de una organización. Como tal, se requiere un enfoque único para la seguridad.
- Los equipos de desarrollo deben tener en cuenta la seguridad de las aplicaciones descentralizadas.
- Los equipos de desarrolladores deben tomar las medidas que sean necesarias para mitigar las amenazas, como el phishing, y abordar el efecto que las amenazas probablemente tendrán en los flujos de trabajo. Además, durante el ciclo de desarrollo de aplicaciones, los desarrolladores deben abordar el impacto de estas amenazas en las arquitecturas generales de sus proyectos.
- Los desarrolladores también deben tomar las medidas necesarias para mitigar las amenazas, como el phishing, y abordar el efecto que probablemente tendrán en los flujos de trabajo.
- Los desarrolladores también deben considerar la calidad de los datos y los diversos riesgos de manipulación de datos, como el acceso no autorizado a los mismos, que existen en cada iteración del software.
4. Priorizar la seguridad en todo el proceso de desarrollo
Los desarrolladores deben analizar y mitigar los riesgos antes y durante todo el proceso de desarrollo, incluso evaluando a fondo la arquitectura general del sistema. No hacerlo puede facilitar a los ciberdelincuentes la intrusión en la red de una empresa.
Consecuentemente, los especialistas en seguridad y los desarrolladores de blockchain deben tener en cuenta una serie de cosas, como las áreas del código que se ven afectadas, los fallos que deben reportar y cómo gestionan los permisos de los usuarios.
5. Tener un método definitivo para informar de vulnerabilidades
Las organizaciones también deben desarrollar un método definitivo para informar de posibles vulnerabilidades. Al mismo tiempo, las empresas deben asegurarse de no hacer públicos los detalles de estas vulnerabilidades, especialmente en el caso de los fallos críticos. Esto ayudará a reducir el tiempo que tienen los hackers para explotar cualquier vulnerabilidad una vez que se enteren de su existencia.
Las empresas también deberían considerar la implementación de programas bug bounty para animar a los usuarios a revelar de forma responsable cualquier fallo.
6. Implementar auditorías de seguridad
Los desarrolladores deben evaluar y probar sus proyectos tanto antes como después de liberar nuevo código. Las empresas también deben considerar la contratación de auditores de seguridad externos que puedan descubrir los errores potenciales que los equipos de seguridad internos pueden haber pasado por alto. Dado que no dar prioridad a las auditorías de seguridad puede provocar problemas de ciberseguridad y pérdidas masivas, es fundamental que las organizaciones se aseguren de que protegen adecuadamente las vulnerabilidades conocidas antes de que los ciberdelincuentes las exploten.
Además, llevar a cabo contrato inteligente auditorías de seguridad con regularidad aumenta las probabilidades de que las empresas detecten todos los errores potenciales en una fase temprana del proceso, lo que les permite mantener el ritmo de desarrollo y crear aplicaciones seguras.
7. Autenticación de dos factores
Los ciberdelincuentes utilizan el hacking social para engañar a los usuarios para que revelen su información personal o confidencial. En el espacio Web3, los hackers lo hacen clonando aplicaciones populares para que parezcan iguales a las autenticadas. A continuación, los ciberdelincuentes utilizan las aplicaciones duplicadas para recopilar los datos de los usuarios y acceder a sus cuentas en las aplicaciones reales.
Las organizaciones deberían utilizar autenticación de doble factor para gestionar esto, ya que reduce el acceso de los hackers en tales situaciones porque el proceso implica el uso de autenticación, no solo contraseñas seguras, para validar los dispositivos.
