Hay defensores de web3 que dirán que la web descentralizada brinda mayor resiliencia y seguridad en comparación con la Web 2.0 gracias a su tecnología subyacente basada en blockchain.
La web 2.0, que debutó por primera vez a principios de la década de 2000 con un enfoque en el contenido generado por el usuario, interfaces de usuario enriquecidas y servicios cooperativos, también trajo consigo una nueva ola de amenazas de seguridad, que incluyen malware, phishing, ingeniería social, suplantación de identidad, cross-site. secuencias de comandos, inyección de SQL y filtraciones de datos, por nombrar solo algunas.
Web3, un término que abarca varias tecnologías como criptomonedas, NFT y DAO, ciertamente da la impresión de que hará que tales amenazas sean cosa del pasado: web3 no solo brinda a las personas más control sobre sus datos, sino que se basa en tecnologías distribuidas, como blockchain, para suavizar los muchos defectos de su predecesor.
En realidad, sin embargo, web3 no es más seguro que Web 2.0 y ya está creando un nuevo terreno de juego para los ciberdelincuentes oportunistas. Esto se debe a que, aunque representa un cambio en lo que Internet puede hacer y para lo que se usará, no cambia la forma en que funciona fundamentalmente.
Nuevo y sin mejorar
Si bien promete estar completamente descentralizado, los componentes orientados al usuario de web3 funcionan principalmente con tecnología Web 2.0, como API y end points de conexión con artefactos, a pesar de estar construidos con tecnología blockchain. Esto significa que los usuarios de los servicios web3 y las aplicaciones descentralizadas, o «dApps», continúan confiando en tecnologías heredadas para realizar transacciones y, en última instancia, significa que web3 es vulnerable a todos los problemas de seguridad clásicos que plagaron a su predecesor, desde el secuestro de DNS hasta el cruce de secuencias de comandos. Las empresas de Web3 también tienen que comunicarse con sus usuarios, principalmente a través de tecnologías Web 2.0, como el correo electrónico o la mensajería en línea, que también son propensas a problemas de seguridad heredados.
Quizás, como era de esperar, el phishing web3 también ha ocurrido. Si bien los atacantes se han centrado anteriormente en obtener acceso a información como los detalles de inicio de sesión de un usuario, ahora están centrando su atención en las billeteras de criptomonedas y las claves privadas de los usuarios.
Los humanos siempre serán vulnerables a la manipulación, y es por eso que los piratas informáticos seguirán empleando esta técnica simple pero efectiva: los datos muestran que las campañas de phishing que abusan de las plataformas web3 aumentaron casi un 500 % en 2022, mientras que un informe reciente de Immunefi, la recompensa por errores y la seguridad plataforma, reveló que la industria de la criptografía incurrió en pérdidas de $3.9 mil millones en 2022 debido a varios incidentes relacionados con piratería, fraude y estafa.
Esto quizás se haya evidenciado mejor con varios ataques web3 importantes en los últimos meses. Uno de los más infames fue un ataque a la red Ronin de Axie Infinity, en el que los atacantes robaron 625 millones de dólares. Según los informes, los piratas informáticos, identificados por el gobierno de EE. UU. como Lazarus Group, respaldado por Corea del Norte, atacaron a los empleados del desarrollador de Axie Infinity, Sky Davis, con una oferta de trabajo falsa a través de LinkedIn.
El año pasado, los atacantes también violaron Nomad, un protocolo de mensajería entre cadenas, para robar casi $200 millones en activos digitales. Según los registros de seguridad, una actualización de uno de los contratos inteligentes de Nomad facilitó a los usuarios falsificar transacciones, lo que permitió a un mal actor retirar fondos que no les pertenecían.
Amenazas descentralizadas
El hackeo de Nomad demuestra que web3 no solo es vulnerable a las fallas de seguridad de Web 2.0 existentes, sino que también presenta su propia categoría de vulnerabilidades, un hecho que recientemente destacó el investigador de malware Marcus Hutchins en un video de redes sociales en el que afirma que web3 es de hecho, menos segura que la Web 2.0.
Los contratos inteligentes son programas de ejecución automática que se ejecutan en una cadena de bloques y se utilizan para automatizar la ejecución de diversas funciones, como las transacciones financieras. Si un contrato inteligente contiene una vulnerabilidad, un atacante puede explotarla para robar fondos. Los errores en los contratos inteligentes también fueron responsables del robo de $31 millones de MonoX en 2021.
Las vulnerabilidades en las aplicaciones descentralizadas también son motivo de gran preocupación: aunque se construyen sobre plataformas blockchain, están sujetas a riesgos de seguridad como ataques de denegación de servicio (DDoS), intentos de piratería y exploits. Los expertos en seguridad también han hecho sonar la alarma sobre muchos otros problemas exclusivos de la tecnología web3, como fallas en los puentes entre cadenas y ataques a los procesos de gobierno, todos los cuales requieren conocimientos y experiencia especializados para abordarlos.
Sin embargo, la novedad de estas tecnologías, junto con el hecho de que muchos profesionales de la seguridad son muy escépticos con respecto a web3, significa que las organizaciones en este espacio pueden tener dificultades para encontrar las habilidades adecuadas para mantener la seguridad de web3.
No es una solución para todo
Web3 ha sido un impulsor fundamental para las empresas emergentes y el capital de riesgo en los últimos años: las empresas emergentes de Web3 recaudaron a nivel mundial un récord de $29,2 mil millones en 2021, y aunque eso disminuyó ligeramente el año siguiente, todavía recaudaron $21,5 mil millones en 2022. Con eso en mente, tal vez no sea una sorpresa que las nuevas empresas hayan adoptado rápidamente las tecnologías web3, muchas probablemente sin darse cuenta de los posibles riesgos de seguridad.
Para asegurarse de que no sean víctimas de la caída de seguridad de web3, es clave que las nuevas empresas den prioridad a la seguridad desde el principio y adopten la metodología de seguridad por diseño. Bogdan Botezatu, director de investigación e informes de amenazas en la firma de seguridad cibernética Bitdefender, dijo que esto debería incluir la realización de evaluaciones de riesgos durante las etapas de diseño de productos y servicios, siguiendo las mejores prácticas para el desarrollo de software seguro, como la auditoría del código fuente, las pruebas de penetración periódicas y la contratación, equipos de seguridad internos o contratados (si pueden encontrar las habilidades relevantes).
“Un clic incorrecto o una actualización de seguridad perdida puede resultar en un compromiso de la red, una violación de datos o el robo de activos”, dijo Botezatu. «Tanto las empresas fintech centralizadas como las descentralizadas tienen un mayor nivel de riesgo debido a las oportunidades de monetización inmediata que tienen los ciberdelincuentes potenciales».
Web3 tiene mucho potencial y promete brindar a los usuarios comunes más poder e inspirar a las empresas, productos, servicios y experiencias de próxima generación. Sin embargo, al final del día, el software es el software, y web3 es tan seguro como lo creamos.
