Qué es la seguridad de blockchain

La tecnología blockchain produce una estructura de datos con cualidades de seguridad inherentes. Se basa en principios de criptografía, descentralización y consenso, que garantizan la confianza en las transacciones. En la mayoría de las tecnologías de contabilidad distribuida (DLT) o de blockchain, los datos se estructuran en bloques y cada bloque contiene una transacción o paquete de transacciones.

Cada nuevo bloque se conecta a todos los bloques anteriores en una cadena criptográfica de tal manera que es casi imposible manipularla. Todas las transacciones dentro de los bloques se validan y acuerdan mediante un mecanismo de consenso, lo que garantiza que cada transacción sea verdadera y correcta.

La tecnología blockchain permite la descentralización mediante la participación de los miembros a través de una red distribuida. No existe un único punto de fallo y un solo usuario no puede modificar el registro de las transacciones. Sin embargo, las tecnologías de blockchain difieren en algunos aspectos críticos de seguridad.

Las redes blockchain pueden diferir en cuanto a quién puede participar y quién tiene acceso a los datos. Las redes suelen etiquetarse como públicas o privadas, lo que describe quién puede participar, y con permiso o sin permiso, que describe cómo los participantes obtienen acceso a la red.

Las redes públicas de blockchain suelen permitir que cualquiera se una y que los participantes permanezcan en el anonimato. Una blockchain pública utiliza computadoras conectadas a Internet para validar transacciones y lograr consensos. Bitcoin es probablemente el ejemplo más conocido de blockchain pública, y logra el consenso a través de la "minería de bitcoin".

Las computadoras en la red bitcoin, o "mineros", intentan resolver un problema criptográfico complejo para crear una prueba de trabajo y validar así la transacción. Aparte de las claves públicas, existen pocos controles de identidad y acceso en este tipo de redes.

Las blockchains privadas utilizan la identidad para confirmar la membresía y los privilegios de acceso y, por lo general, permiten que solo las organizaciones conocidas se unan. Juntas, las organizaciones forman una "red empresarial" privada, a la que solo pueden pertenecer sus miembros. Una blockchain privada en una red autorizada logra el consenso a través de un proceso llamado "respaldo selectivo", donde los usuarios conocidos verifican las transacciones. Solo los miembros con acceso y permisos especiales pueden mantener el libro mayor de transacciones. Este tipo de red requiere más controles de identidad y acceso.

Al crear una aplicación de blockchain, es crítico evaluar qué tipo de red se adapta mejor a los objetivos comerciales. Las redes privadas y autorizadas pueden controlarse estrictamente y ser preferibles por razones de cumplimiento y normativas. Sin embargo, las redes públicas y sin permisos pueden lograr una mayor descentralización y distribución.

Los hackers y los estafadores amenazan las blockchains de cuatro formas principales: phishing, enrutamiento, Sybil y ataques al 51 %.

El phishing es un intento de estafa para obtener las credenciales de un usuario. Los estafadores envían correos electrónicos a los propietarios de claves de billetera, diseñados para parecer que provienen de una fuente legítima. Los correos electrónicos solicitan a los usuarios sus credenciales mediante hipervínculos falsos. Tener acceso a las credenciales de un usuario y a otra información sensible puede suponer pérdidas tanto para el usuario como para la red blockchain.

Las blockchains dependen de grandes transferencias de datos en tiempo real. Los hackers pueden interceptar datos a medida que se transfieren a los proveedores de servicios de Internet. En un ataque de enrutamiento, los participantes de blockchain generalmente no pueden ver la amenaza, por lo que todo parece normal. Sin embargo, entre bastidores, los estafadores extrajeron datos o monedas confidenciales.

En un ataque de Sybil, los hackers crean y utilizan muchas identidades de red falsas para inundar la red y bloquear el sistema. Sybil se refiere a un famoso personaje de libro diagnosticado con un trastorno de identidad múltiple.

La minería requiere una gran cantidad de potencia informática, especialmente para las blockchains públicas a gran escala. Pero si un minero, o un grupo de mineros, pudiera reunir suficientes recursos, podría alcanzar más del 50 % de la potencia de minería de una red blockchain. Tener más del 50 % del poder significa tener control sobre el libro mayor y la capacidad de manipularlo.

Nota: Las blockchain privadas no son vulnerables a los ataques al 51 %.

En el mundo digital actual, es esencial tomar medidas para garantizar la seguridad tanto del diseño de tu blockchain como del entorno. Los servicios de prueba de blockchain de X-Force Red pueden ayudarle a hacer precisamente eso.

Al crear una aplicación de blockchain empresarial, es importante considerar la seguridad en todas las capas de la pila tecnológica y cómo gestionar la gobernanza y los permisos para la red. Una estrategia de seguridad integral para una solución blockchain empresarial incluye el uso de controles de seguridad tradicionales y controles exclusivos de la tecnología. Algunos de los controles de seguridad específicos de las soluciones blockchain empresariales incluyen:

• Gestión de identidad y acceso
  
  
• Gestión de claves
  
  
• Privacidad de datos
  
  
• Comunicación segura
  
  
• Seguridad de contratos inteligentes
  
  
• Aprobación de transacciones

Contrate expertos para que le ayuden diseñar una solución compatible y segura y a alcanzar sus objetivos empresariales. Busque una plataforma de nivel de producción para crear soluciones blockchain que puedan desplegarse en el entorno de tecnología que elija, ya sea on premises o con su proveedor de nube preferido.

Al diseñar una solución de blockchain, considere estas preguntas clave:

• ¿Cuál es el modelo de gobernanza para las organizaciones o miembros participantes?
  
  
• ¿Qué datos se capturan en cada bloque?
  
  
• ¿Cuáles son los requisitos normativos pertinentes y cómo se pueden cumplir?
  
  
• ¿Cómo se gestionan los detalles de la identidad? ¿Las cargas útiles de los bloques están cifradas? ¿Cómo se gestionan y revocan las claves?
  
  
• ¿Cuál es el plan de recuperación ante desastres para los participantes de blockchain?
  
  
• ¿Cuál es la postura de seguridad mínima para la participación de los clientes de blockchain?
  
  
• ¿Cuál es la lógica para resolver las colisiones de bloques de blockchain?

Al establecer una cadena de bloques privada, asegúrese de que se despliegue en una infraestructura segura y resiliente. Las opciones de tecnología subyacente deficientes para las necesidades y los procesos del negocio pueden generar riesgos de seguridad de datos a través de sus vulnerabilidades.

Considere los riesgos comerciales y de gobernanza. Los riesgos comerciales incluyen implicaciones financieras, factores de reputación y riesgos de cumplimiento. Los riesgos de gobernanza surgen principalmente de la naturaleza descentralizada de las soluciones blockchain, y requieren controles estrictos sobre los criterios de decisión, las políticas de gobierno y la gestión de identidad y acceso.

La seguridad de blockchain consiste en comprender los riesgos de la red blockchain y gestionarlos. El plan para implementar la seguridad de estos controles constituye un modelo de seguridad de blockchain. Cree un modelo de seguridad de blockchain para garantizar que se implementen todas las medidas para proteger adecuadamente sus soluciones de blockchain.

Para implementar un modelo de seguridad de solución blockchain, los administradores deben desarrollar un modelo de riesgo que pueda abordar todos los riesgos comerciales, y de gobernanza, tecnología y procesos. A continuación, deben evaluar las amenazas a la solución blockchain y crear un modelo de amenazas. Luego, los administradores deben definir los controles de seguridad que mitigan los riesgos y amenazas en función de las siguientes tres categorías:

• Aplicar controles de seguridad exclusivos de blockchain
  
  
• Aplicar controles de seguridad convencionales
  
  
• Aplicar controles empresariales para blockchain

Los servicios y la consultoría de IBM Blockchain pueden ayudarle a diseñar y activar una red blockchain que aborde la gobernanza, el valor empresarial y las necesidades de tecnología, al tiempo que garantiza la privacidad, la confianza y la seguridad.