Tanto en Web 1.0 como en Web 2.0, los modelos de seguridad cambiaron para ayudar a desbloquear economías completamente nuevas. En la Web 1.0, Netscape fue el primero en utilizar Secure Sockets Layer (SSL) para proporcionar una comunicación segura entre los navegadores de los usuarios y esos servidores. Los intermediarios confiables de la Web 2.0 como Google, Microsoft, Amazon y las autoridades de certificación jugaron un papel central en impulsar la implementación de Transport Layer Security (TLS), el sucesor de SSL.
Lo mismo ocurrirá con web3. Esta es la razón clave por la cual la inversión en nuevas empresas de seguridad web3 aumentó el año pasado más de 10 veces hasta llegar a más de 1 mil millones de dólares.
El éxito de web3 depende de la innovación para resolver los nuevos desafíos de seguridad creados por diferentes arquitecturas de aplicaciones. En web3, las aplicaciones descentralizadas o «dApps» se construyen sin depender de la lógica de aplicación tradicional y las capas de bases de datos que existen en Web 2.0; en cambio, se utilizan una cadena de bloques, nodos de red y contratos inteligentes para administrar la lógica y el estado.
Los usuarios aún acceden a una interfaz, que se conecta a esos nodos, para actualizar datos, como publicar contenido nuevo o realizar una compra. Estas actividades requieren que los usuarios firmen transacciones utilizando sus claves privadas, generalmente administradas con una billetera, un modelo que pretende preservar el control y la privacidad del usuario. Las transacciones en la cadena de bloques son totalmente transparentes, de acceso público e inmutables (lo que significa que no se pueden cambiar).
Como cualquier sistema, este diseño tiene compensaciones de seguridad. La cadena de bloques no requiere que se confíe en los actores como en la Web 2.0, pero es más difícil realizar actualizaciones para abordar los problemas de seguridad. Los usuarios pueden mantener el control sobre sus identidades, pero no existen intermediarios que proporcionen recursos en caso de ataques o compromisos clave (p. ej., cómo los proveedores de Web 2.0 pueden devolver fondos robados o restablecer contraseñas). Las billeteras aún pueden filtrar información confidencial como una dirección de Ethereum: sigue siendo un software, que nunca es perfecto.
Estas concesiones provocan importantes preocupaciones de seguridad, pero no deberían obstaculizar el impulso de web3 y, en términos prácticos, es poco probable que lo hagan.
Considerando nuevamente los paralelismos con la Web 1.0 y la Web 2.0. Las versiones iniciales de SSL/TLS tenían vulnerabilidades críticas. Las primeras herramientas de seguridad eran rudimentarias en el mejor de los casos y se volvieron más sólidas con el tiempo. Empresas de seguridad Web3 y proyectos como Certik, Forta, Slither, y securify2 son los equivalentes de las herramientas de prueba de seguridad de aplicaciones y escaneo de código que se desarrollaron originalmente para aplicaciones Web 1.0 y Web 2.0.
Sin embargo, en la Web 2.0, una parte sustancial del modelo de seguridad tiene que ver con la respuesta. En web3, donde las transacciones no se pueden cambiar una vez ejecutadas, se deben incorporar mecanismos para verificar si las transacciones, de inicio por lógica, deben producirse. En otras palabras, la seguridad tiene que ser excepcionalmente buena en la prevención.
Esto significa que la comunidad web3 tiene que descubrir la mejor manera de abordar técnicamente las debilidades sistémicas para evitar nuevos líneas de ataque que se dirijan a todo tipo de variantes, desde primitivos criptográficos hasta vulnerabilidades de contratos inteligentes. Paralelamente, hay al menos cuatro iniciativas que avanzarían en un modelo de seguridad web3 preventivo:
Datos de fuente de la verdad para vulnerabilidades
Tiene que haber una fuente de verdad para las vulnerabilidades y debilidades web3 conocidas. Hoy en día, la Base de datos nacional de vulnerabilidades proporciona los datos básicos para los programas de gestión de vulnerabilidades.
Web3 necesita un equivalente descentralizado. Por ahora, la información incompleta vive dispersa en lugares como Registro SWC, Rekt, líneas de ataque al contrato inteligente y amenazas DeFi. Programas de recompensas a usuarios por detectar errores, como los que ejecuta inmune están destinados a aflorar nuevas debilidades.
Normas de toma de decisiones de seguridad
Actualmente se desconoce el modelo de toma de decisiones para opciones críticas de diseño de seguridad y los incidencias individuales en web3. La descentralización significa que nadie es dueño de los problemas y las ramificaciones para los usuarios pueden ser significativas. Ejemplos como la reciente vulnerabilidad de Log4j de Apache de IBM son advertencias para dejar la seguridad en manos de una comunidad descentralizada.
Debe haber una mayor claridad con respecto a cómo las organizaciones autónomas descentralizadas (DAO), expertos en seguridad, proveedores como Alquimia y Infura y otros colaboran para gestionar problemas de seguridad emergentes. Hay lecciones aplicables de cómo las grandes comunidades de código abierto han formado la OpenSSF, Grupos consultivos CNCF y procesos establecidos para abordar los problemas de seguridad.
Autenticación y firma
La mayoría de las dApps, incluidas las más destacadas, en la actualidad no autentique ni firme sus respuestas a través de APIs. Esto significa que cuando la billetera de un usuario recupera datos de estas aplicaciones, hay una brecha en la verificación de que la respuesta proviene de la aplicación prevista y que los datos no han sido manipulados de alguna forma.
En un mundo donde las aplicaciones no emplean las mejores prácticas básicas de seguridad, se deja que los usuarios determinen su postura de seguridad y confiabilidad, una tarea que es prácticamente imposible. Como mínimo, debe haber mejores métodos o prácticas para exponer los riesgos a los usuarios.
Gestión de claves más sencilla y controlada por el usuario
Las claves criptográficas respaldan la capacidad de los usuarios para realizar transacciones en el modelo web3. Las claves criptográficas también son notoriamente difíciles de administrar adecuadamente; empresas enteras se han creado y continúan apareciendo en torno a la gestión de claves.
La complejidad y el riesgo que implica la gestión de claves privadas es la consideración principal que impulsa a los usuarios a elegir monederos alojados en lugar de monederos sin custodia. Sin embargo, el uso de monederos alojados conlleva dos implicaciones: dan lugar a nuevos «intermediarios» como Coinbase, que restan valor al concepto completamente descentralizada de web3; y restringen la capacidad de los usuarios para aprovechar todo lo que web3 tiene para ofrecer. Idealmente, una mayor innovación en seguridad brindará a los usuarios una mejor usabilidad y protecciones para escenarios sin custodia.
Vale la pena señalar que las dos primeras iniciativas se centran más en las personas y los procesos, mientras que la tercera y cuarta iniciativas requerirán cambios tecnológicos. Obtener nueva tecnología, nueva procesos incipientes y una gran cantidad de usuarios alineados es lo que dificulta descubrir aspectos de la seguridad web3.
Al mismo tiempo, uno de los cambios más alentadores es que la innovación en seguridad web3 está ocurriendo abiertamente, y nunca hay que subestimar cómo eso puede conducir a soluciones creativas.
