Abuso de las tecnologías blockchain: es hora de buscar soluciones

Kaspersky Lab e INTERPOL acaban de presentar los resultados de una investigación sobre cómo las monedas criptográficas basadas en blockchain pueden abusarse mediante la polución de bases de datos públicas descentralizadas con datos arbitrarios.š Durante nuestra presentación en Singapur en la conferencia BlackHat Asia, demostramos la prueba de conceptos utilizando la red Bitcoin, pero es importante comprender que cualquier moneda criptográfica que dependa de la tecnología blockchain puede explotarse de la misma manera.

Hay quienes creen que los investigadores de seguridad, en especial aquellos de la industria antivirus, publican sólo los informes de amenazas después de haber descubierto ejemplares en el mundo real.š Pero esto no siempre es cierto.š Nuestra investigación se concentra en posibles amenazas futuras que se podrían prevenir antes de que las monedas criptográficas se adopten y estandaricen por completo. Aunque solemos apoyar la idea de innovaciones basadas en blockchain, creemos que, como parte de la comunidad de seguridad, es nuestro deber ayudar a los desarrolladores a hacer que estas tecnologías cumplan con su propósito y sean sostenibles.

Blockchainware, como se llama a los programas basados en blockchain, guarda algunos de sus códigos ejecutables en las bases de datos descentralizadas de las transacciones de monedas criptográficas. Se basa en la idea de establecer una conexión con las redes p2p de usuarios de las monedas criptográficas para conseguir información de sus transacciones y ejecutarla como si fuese un código. Dependiendo de la carga explosiva que se consiga de la red, el código puede ser beneficioso o malicioso.

Para asegurarnos de que se interprete nuestra investigación de forma adecuada, nos gustaría recalcar que en la industria antivirus hay una clara definición de qué tipo de programas se consideran malware y existen políticas estrictas para prohibir cualquier intento de creación o distribución de esta amenaza. El código de prueba de concepto que demostramos era un programa inofensivo que abría la aplicación Notepad después de recibir una confirmación del usuario.

Entonces, ¿qué demostramos en BlackHat Asia? Puedes verlo tú mismo en:

Como indicamos en nuestra presentación, se pueden introducir posibles soluciones en diferentes etapas. Desde la perspectiva de una compañía que desarrolla soluciones de seguridad de alto nivel, no creemos que sea demasiado problemático agregar a una lista de rechazados las aplicaciones que permiten la carga explosiva externa e impredecible de redes p2p.

Pero, desde la perspectiva de una red de monedas criptográficas, esto queda en duda. No somos expertos en el tema, por lo que no somos los más indicados para proponer soluciones efectivas.š Tampoco queremos promover ninguna solución específica porque creemos que el valor del desarrollo de soluciones (como es el caso de Bitcoin) se encuentra en su neutralidad y capacidad de tomar decisiones descentralizadas.

Es por eso que sugerimos que éste sea un proyecto para la comunidad de las monedas criptográficas.

Como punto de partida al abrir una discusión con la comunidad, sugiero que busquemos la oportunidad de implementar un algoritmo de consenso/negociación de redes que mantenga el estado limpio de blockchain.