Identificación anticipada y análisis de ciber-riesgos en las arquitecturas Blockchain
Entre las tecnologías disruptivas que modelan actualmente nuestra sociedad moderna nos encontramos con Blockchain como fuente de un sin fin de posibles aplicaciones-servicios, pero a su vez se abre la ‘Caja de Pandora’ de una fuente inagotable de superficies de ataque, anomalías, amenazas, puertas traseras, vulnerabilidades, grietas de ciberseguridad, ciber-riesgos, etc. conocidos y muchos más ocultos aún por descubrir, algunos esperando sigilosamente disparadores de activación misteriosa.
La tecnología Blockchain (también denominada DLT Distributed Ledger Technology, DLS Distributed Ledger System, Shared Ledger, MDL/Mutual Distributed Ledger) se basa en un registro compartido, descentralizado de todas las transacciones almacenadas a través de una red descentralizada P2P (Peer-to-Peer) de servidores. Las transacciones que han sido verificadas se añaden a bloques y la historia proporciona la prueba de valor o activos 'poseídos'. Las tecnologías Blockchain son plataformas bajo las cuales diversas aplicaciones (DAPPs) pueden construirse más allá de los servicios financieros. El CCN-CERT (Centro Criptológico Nacional-Computer Emergency Response Team) dependiente del CNI (Centro Nacional de Inteligencia) de España mostraba que el año 2017 finalizaba con unos 26.500 ciber-incidentes en el sector público, donde las intrusiones ocupaban el primer puesto de los incidentes y el código dañino (ransomware, spyware, gusanos, etc.) el segundo. El número de incidentes críticos gestionados por el CCN en 2017 creció un 100% respecto al año anterior, en el que se detectaron un total de seiscientos peligros. Recientemente se hacía público que entre las amenazas a la Seguridad Nacional figuraban tanto los ciberataques como las fake-news (noticias falsas que permiten crear ingerencias maliciosas a veces muy peligrosas).
La compañía de ciberseguridad-ciberinteligencia española 4iQ ha encontrado en la 'dark Web' 1.400 millones de contraseñas sin cifrar robadas (pertenecientes a usuarios de Gmail, LastFM, Netflix, MySpace, PayPal, LinkedIn, Bitcoin, Pastebin, etc.), la mayor base de contraseñas robadas hasta la fecha. Expertos de seguridad de la compañía de ciberseguridad Kaspersky Lab han identificado un nuevo malware-troyano para móviles denominado Loapi con numerosas capacidades maliciosas como la minería no autorizada de criptomonedas, ataques DDoS y destrucción de dispositivos móviles/smartphones bajo el sistema operativo Android. La tecnología Blockchain es el sistema subyacente detrás de las criptomonedas como Bitcoin (Blockchain 1.0) pero actualmente sus casos de uso son muchísimo más extensos, por ejemplo, en la Industria 4.0 para implementar gestión de identidades. Blockchain opera como una base de datos descentralizada que contiene datos de transacciones que pueden representar algo (por ejemplo, con bitcoin representa un valor monetario, pero pueden representar datos asociados a identidades). Cada bloque contiene un hash al bloque anterior proporcionando un enlace hacia atrás (lista ligada). Bitcoin utiliza P2P y Blockchain público sin permiso (cualquiera puede escribir en él). Del orden se encargan los mineros que realizan trabajo computacional PoW (en computadores especializados) para asegurar la integridad del Blockchain y reciben por su trabajo una pequeña compensación o recompensa.
Categorías de ecosistemas Blockchain
Las tecnologías Blockchain según el tipo de registro se pueden clasificar en diversas categorías:
(1) Datos. Aquí podemos identificar la gestión de identidades, el almacenamiento y la compartición de ficheros, los registros médicos electrónicos, la auditoría y el cumplimiento.
(2) P2P. Podemos identificar Internet de los objetos o IoT (así como IIoT para la Industria 4.0), los sistemas de votaciones, el e-gobierno descentralizado, la economía colaborativa, etc.
(3) Activos. Los derechos de propiedad intelectual, el seguimiento de activos y logística, el comercio y seguridad financiera, las inmobiliarias y propiedades.
(4) Contratos. La gestión de la cadena de suministro, la gestión de derechos digitales, los seguros, las cuestiones legales, los contratos inteligentes, etc.
(5) Criptomonedas/criptodivisas. Los pagos a través de fronteras, los servicios de custodia y fragmentación, las cadenas de suministro y finanzas, el comercio, la adquisición del consumidor y la fidelización, etc. Bitcoin se basa en la tecnología Blockchain donde las transacciones se difunden a todos los participantes y existe un proceso de consenso cuyo objetivo es evitar engaños y fraudes. Dependiendo de qué tipo de servicios pretendamos ofrecer o en qué lugar lo utilicemos existen diferentes tipos de ecosistemas Blockchain.
Las tecnologías Blockchain se pueden clasificar en diversas categorías según su nivel de privacidad y tipo de despliegue:
(1) Blockchain público. Cualquiera puede comprobar la transacción y verificarla y también puede participar en el proceso de obtener consenso. Tanto Bitcoin como Ethereum son del tipo Blockchain público.
(2) Blockchain de consorcio. Significa que el nodo que tiene autoridad puede ser elegido en avance normalmente tiene socios. Los datos del Blockchain pueden ser abiertos o privados. Este tipo de Blockchain pueden verse como parcialmente descentralizado. Ejemplos son Hyperledger y R3CEV.
(3) Blockchain privado. Los nodos se encuentran restringidos, no todos los nodos pueden participar en dicho Blockchain, tiene gestión estricta de autoridad sobre el acceso a los datos. Un ejemplo es la gestión de identidad.
Las tecnologías Blockchain se pueden clasificar en diversas categorías según su grado de permiso-autorización en:
(a) Blockchain sin permiso como Bitcoin no tienen un único propietario, de hecho, no pueden ser poseídos. El propósito de un Blockchain sin permiso es permitir que cualquiera contribuya con datos al Blockchain y para cualquiera en posesión del Blockchain tenga copias idénticas, lo que significa que ningún actor puede impedir que una transacción sea añadida al Blockchain (resistencia a la censura). Los participantes mantienen la integridad del Blockchain alcanzando un consenso sobre su estado. Los Blockchain sin permiso se pueden utilizar como un registro global que no puede ser editado: por ejemplo, la declaración de la última voluntad o un testamento, etc. Presentan un desafío para las estructuras institucionales e industrias existentes.
(b) Blockchain con permiso-autorización. Pueden tener uno o más propietarios. Cuando se añade un nuevo registro la integridad del registro se comprueba a través de un proceso de consenso limitado. Eso se realiza por medio de actores confiables, departamentos de gobierno, o bancos, por ejemplo, lo que hace mantener un registro compartido mucho más simple que el proceso de consenso utilizado por Blockchain sin permiso. Los Blockchain con permiso proporcionan conjuntos de datos altamente verificables debido a que el proceso de consenso crea una firma digital, que puede ser vista por todas las partes. El requerir que muchos departamentos del gobierno validen un registro puede dar un elevado grado de confianza en la seguridad del registro. Un Blockchain con permiso es normalmente más rápido que un Blockchain sin permiso. Estos Blockchain con permiso son un tipo de base de datos descentralizada que se extiende a través de múltiples sitios, países o instituciones y es normalmente pública-abierta. Los registros se almacenan uno después de otro en una estructura continua en vez de ser clasificados en bloques, pero sólo pueden ser añadidos cuando los participantes alcanzan un quórum.
La tecnología Blockchain pueden clasificarse de menor a mayor nivel de descentralización en:
(i) Blockchain privados con permiso.
(ii) Blockchain públicos con permiso.
(iii) Blockchain públicos sin permiso como es el caso de Bitcoin. Las tecnologías Blockchain se pueden clasificar en diversas categorías según su grado de evolución (a nivel de sofisticación de diseño, implementación, componentes que integra, mecanismos novedosos que emplea, estrategias que despliega, etc.) en: Blockchain 1.0, Blockchain 2.0, Blockchain 3.0, etc. Blockchain desde la perspectiva de protocolo permite construir un sistema de registros compartidos. Dicho sistema puede utilizarse para registrar un amplio conjunto de elementos, como propiedades de activos, transacciones de transferencia de activos, acuerdos de contrato, etc. Blockchain proporciona una nueva forma de construir un sistema de registros que ofrece a los agentes sociales más transparencia y fomenta la participación en sus operaciones. Blockchain surgió históricamente con la aparición de Bitcoin una de las aplicaciones descentralizadas mejor conocidas de Blockchain creada bajo el pseudónimo de Satoshi Nakamoto en el 2008.
Bitcoin es un activo digital que utiliza un sistema de pago P2P que permite que las transacciones tengan lugar entre los usuarios directamente sin la necesidad de una autoridad centralizada (o Banco Central) que controle y administre el sistema. Todas las transacciones son verificadas por los nodos de la red y registradas en una base de datos globalmente descentralizada. Un 'sistema Blockchain' a diferencia de un sistema de registros convencional lo mantienen colectivamente todos los participantes del sistema en vez de una parte central (por ejemplo, una autoridad de arbitraje o controladora centralizada). Cada participante se considera un nodo del sistema Blockchain. Los nodos son los dispositivos de computación de los participantes que cada uno contiene un conjunto completo de los registros de transacciones. Juntos los nodos participan en la construcción y al mantenimiento del Blockchain.
Campos de aplicaciones de Blockchain
La tecnología Blockchain presenta capacidades de proceso en tiempo real, aparentemente es resistente a alteraciones y se aplica a una amplia variedad de industrias y servicios. Algunos de los usos de la tecnología Blockchain son:
(a) Reglas aseguradas. Permite asegurar que un conjunto de reglas, acordadas serán implementadas honestamente. Por ejemplo, contratos inteligentes (capaces de aplicar algorítmicamente reglas acordadas. El proyecto Ethereum es una plataforma descentralizada estilo Blockchain que ejecuta contratos inteligentes, es decir, aplicaciones que se ejecutan exactamente como programadas, en principio sin censura, fraude o interferencia de terceras partes).
(b) Control asegurado. A nivel de Blockchain financiero proporciona en principio aseguramiento contra fraude.
(c) Información asegurada. Por ejemplo, notarias/registros digitales caso de anuncios financieros, autoridades de certificación, DNS (Domain Name System), etc.
La tecnología Blockchain es especialmente adecuada en aplicaciones como: criptomonedas/criptodivisas (bitcoin-de la primera generación, dogecoin, litecoin, ripple, zerocoin, monero, ethereum-de la segunda generación, dash, zcash, counterparty-de la segunda generación, mastercoin-de la segunda generación, peercoin, zerocash, byzcoin, cryptoNote, stellar, bitshares, MimbleWimble, maidsafecoin, etc.; bitcoin demuestra frecuentemente su gran volatilidad el 22-12-2017 se desploma un 20% en un solo día), notaria digital (NASDAQ, Deloitte; hash más marca de tiempo escrito en un blockchain), gestión de registros, votaciones y elecciones, autoridades de certificación (SSL, TLS), configuración firmada (IoT/IIoT, etc.), servicios legales, gestión de identidades, IoT, perfiles de identidad (pasaporte, permiso de conducir, DNI, etc.), aplicación de leyes (testificar, notaria canónica de medios), contratos, aplicaciones descentralizadas o DAPPs, predicción de mercado, certificación de identidad, pagos internacionales, esfuerzos de transparencia del gobierno.
Otras aplicaciones en comercio y finanzas P2P, sanidad, cadenas de suministro completamente re-configurados, nuevos paradigmas en seguros, protección de propiedad intelectual, privacidad de pacientes en tratamientos médicos, ejecución, monitorización y negociación de contratos de forma automática, gestión y propiedad de activos descentralizados, trazabilidad en cadenas de suministro locales y rebalanceadas globalmente, corporaciones autónomas descentralizadas, etc. Blockchain es una tecnología estilo base de datos compartida descentralizada, entre múltiples escritores no confiables sin necesidad de un intermediario de confianza. Alastria (Nacional Blockchain Ecosystem) es el Consorcio Multisectorial Blockchain Español que reúne a BME/Bolsa, empresas, startups, emprendedores, universidades así como otras entidades y actores del tejido productivo español. Su objetivo es crear una Red Blockchain abierta y con permiso (autorización).
Desafíos en ciberseguridad y ataques a Blockchain
La aparente fuerza en seguridad que pretende mostrar la tecnología Blockchain descansa en diversos elementos clave (no infalibles), como, por ejemplo:
- Funciones hash/firma digital. Las funciones criptográficas hash no se suelen proteger por medio de una clave secreta y muchas de ellas no son muy seguras. Las firmas digitales y funciones hash se pueden ver expuestas a ataques post-cuánticos.
- Estructuras de datos basadas en el enlace hacia atrás. El hash del bloque previo se embebe en la cabecera del bloque actual, que directamente afecta al hash propio del bloque actual. De este modo si el bloque previo cambia de alguna forma, su hash cambiará lo que afectará al hash del bloque actual y a cada bloque posterior. Como resultado el poder hacer cambios a los datos en un Blockchain se hace más complejo. Un atacante debería recalcular no sólo el bloque objetivo, sino cada bloque después de él lo cual es un proceso intensivo en tiempo y recursos. Como regla general se suele afirmar alegremente que cualquier bloque con seis bloques adicionales se considera irrevocable.
- Mecanismos de consenso. Las reglas de los mecanismos de consenso controlan que nuevas entradas de datos se transmiten, verifican y en última instancia se añaden por detrás al Blockchain. Los mecanismos de consenso hacen uso de la consistencia interna de Blockchain, que cualquier nodo puede verificar fácilmente. Cualquier entrada de datos o bloque que rompa esa consistencia es obviada por parte de los observadores honestos y es ignorada. Debido a que se hace difícil en principio alterar los registros una vez protegidos en el Blockchain, el objetivo de los atacantes a Blockchain es conseguir que nuevos registros sean a la vez válidos e inválidos. El vector de ataque para ejecutar estos ataques sobre Blockchain es a través del mecanismo de consenso.
Controlando una mayoría de los nodos de consenso, los atacantes pueden controlar el contenido añadido al Blockchain de dos modos:
(i) Los atacantes pueden de forma independiente generar, transmitir, verificar y proteger transacciones inválidas que normalmente las rechazarían los nodos honestos.
(ii) Los atacantes pueden realizar un ataque de denegación de servicios (DoS/DDoS) contra nodos honestos, simplemente, ignorando cualquier mensaje que los atacantes no generen. Los ataques al mecanismo de consenso pueden mitigarse utilizando diferentes factores:
(a) El tamaño de la red. Cuando el número de nodos de consenso aumenta de igual forma aumenta el esfuerzo necesario para que los atacantes puedan controlar su mayoría. Consecuentemente las redes más grandes proporcionan mayor seguridad.
(b) Gestión de identidad y control de acceso. Previenen ataques del tipo Sybil donde atacantes individuales crean múltiples identidades para controlar un número desproporcionado de nodos de consenso. La tecnología Blockchain es susceptible a un sin fin de ciber-riesgos como, por ejemplo:
- A nivel de identidad. La prueba de la identidad real de los participantes necesita asegurarse, por ejemplo, quién posee las claves.
- A nivel de datos verificables. Debido a transacciones maliciosas.
- A nivel de contratos inteligentes. Donde podemos detectar fallos y vulnerabilidades en el código y repudio (negar una acción que se haya realizado).
- A nivel de activos digitales. Donde se juegan cuestiones de propiedad.
- A nivel de plataforma software. La integridad de un Blockchain esta determinada por la plataforma software bajo la que se ejecuta.
- Malware dirigido. La infraestructura que soporta Blockchain esta sujeta a todas las amenazas y vulnerabilidades conocidas y otras desconocidas.
- Abuso de privilegios. El abuso de privilegios de administración y los cambios no autorizados dirigidos a la infraestructura.
- Latencia. El retardo existente entre que una transmisión es registrada y el tiempo en que una parte puede confiar se basa en el consenso.
- Criptografía a largo plazo. Las mejoras en potencia de computación y tecnología pueden reducir de forma significativa la protección proporcionada por la tecnología criptográfica (cifrado, hash, MAC, firma digital, PRNG, etc.) utilizado. Actualmente se deberían utilizar mecanismos criptográficos post-cuánticos.
- Ataques dirigidos hacia los mineros bitcoin.
La tecnología Blockchain aunque se soporta sobre un planteamiento en parte robusto, no se encuentra libre de debilidades, vulnerabilidades, anomalías, azares y por tanto es susceptible de plantearse enfoques, tácticas y líneas de ataques sutiles, subliminares, novedosos, sigilosos, de baja velocidad, etc. como los ataques dirigidos hacia los mineros bitcoin donde se observa que los atacantes maliciosos se dirigen hacia los mineros Bitcoin dando el nivel de acceso privilegiado que tienen los mineros. Se han identificado casos de malware sobre minería de bitcoin recibidos por mineros vía descargas maliciosas o medios sociales. Se han constatado casos de creación de redes de bots (infinidad de victimas contaminadas) para minería ilegal de bitcoin sin saberlo trabajando para atacantes. Se trata de que los atacantes se aprovechen de los dispositivos de computación de sus víctimas para generar Bitcoin para los ciberdelincuentes sin que se entere la víctima. Algunas de las posibles contramedidas tomadas para bloquear el minado no autorizado son el: uso de navegadores Web específicos como Opera; la instalación de extensiones a los navegadores Web, por ejemplo, en Chrome se denominada No Coin; el empleo de ciertos antivirus especializados; deshabilitar JavaScript; instalar un bloqueador de Scripts (como ScriptSafe o No script para el navegador Chrome de Google), etc. Es posible que si el precio de estas criptomonedas baja, también lo hará la amenaza del minado ilegal/no autorizado.
Ciberriesgos en arquitecturas Blockchain
Aunque los sistemas Blockchain se postulan resistente a manipulaciones, dichos sistemas se implementan, configuran y utilizan con vulnerabilidades, son proclives a intrusiones, errores de programación, malware, bugs, exploits, debilidades, anomalías, ataques dirigidos, corrupción del personal, errores de configuración, fallos de actualizaciones y gestión de parches, vulnerabilidades a todos los niveles incluso en el firmware de microprocesadores, etc. Las principales bases de datos de vulnerabilidades como CVE (Common Vulnerabilities and Exposures de Mitre.org), NVD (U.S. Nacional Vulnerability Database del NIST), Rapid7 (es un buscador de bases de datos de vulnerabilidades, busca sobre un conjunto de bases de datos de vulnerabilidades, módulos metasploit y exploits), BID (Security Focus.BugTraq), SYM (Symantec's Threat Database), OSVDB (Open Sourced Vulnerability Database), Exploit-DB (Base de datos de exploits mantenida por Offensive Security), SBV (Base de datos de vulnerabilidades de Skybox Security Inc.), Secunia database, etc. incluyen numerosas vulnerabilidades a nivel de Blockchain y Bitcoin. Por ejemplo, CVE recoge diversas de vulnerabilidades en torno a Blockchain, por ejemplo: CVE-2017-9230, CVE-2013-4165, CVE-2013-7372, etc.
Rapid7 incluye numerosas vulnerabilidades tanto para Blockchain (por ejemplo, RHSA-2015:0085:java-1.6.0-openjdk security update), como para Bitcoin (por ejemplo, FreeBSD: bitcoin-denial of service que coincide con CVE-2015-3641). La clase de datos con los que trabaja Blockchain que van desde información de salud de personas, finanzas, control de instalaciones físicas importantes e infraestructuras críticas, pueden tener consecuencias que exceden la pérdida de dinero (robo de hot-wallets), como daño en privacidad, secuestro de infraestructuras críticas, etc.
En relación a los ataques contra infraestructuras Bitcoin, ha habido numerosas: Mt. Gox fue uno de los primeros desastres a Bitcoin en junio de 2011 con ocho millones de dólares robados, luego en febrero del 2014 se produjeron 460 millones de dólares robados. Las implicaciones en ciberseguridad de Blockchain son obvias, pensemos en la posible corrupción de cualquiera de sus componentes lo que daría lugar a un impacto negativo muy significativo. Blockchain no es inherentemente seguro. Un atacante puede proporcionar nuevos bloques de transacción con PoW válidos que enlazan hacia atrás a un bloque de transacción arbitrario de la Blockchain. Se puede atacar a nivel de minería. Se pueden observar correlaciones importantes entre las vulnerabilidades-ataques a Blockchain y muy diversos factores como: los retardos de red, los intervalos de bloques (cantidad media de tiempo que pasa entre la creación de dos bloques, con un intervalo de bloque más pequeño la latencia con que se escribe la transacción al Blockchain es más corta, es decir una transacción se conforma más rápidamente), los tiempos de generación de bloques diferentes, el tamaño del bloque, la tasa de bloques creados por la red pero no incorporados en la cadena principal debido a diversas causas (por ejemplo la gestión de claves criptográficas deficiente, la utilización de algoritmos criptográficos como funciones hash, firma digital, etc. no post-cuánticos), etc.
Consideraciones finales
Desde la creación de Bitcoin el interés por la tecnología Blockchain ha ido aumentado de forma continua, llegando a ser innovación. El objetivo de muchos tipos de Blockchain es eliminar la necesidad de una entidad central que asegure el almacenamiento de datos consistente. Para este fin, un Blockchain consta de bloques que contienen entradas de datos que son encadenados referenciando al bloque anterior. Para asegurar que todas las entradas sean válidas y consistentes se requiere que la red realice el consenso sobre los bloques de una manera descentralizada. Uno de los mecanismos de consenso más utilizados en Blockchain es PoW (Proof-of-Work). PoW permite crear bloques que contiene algunas entradas de datos (por ejemplo, transacciones financieras) y resolver problemas difíciles computacionalmente pero fácilmente verificables para cada bloque. Si se encuentra una solución al puzzle PoW el bloque se difunde a la red y se acepta por los demás nodos si la solución es válida. PoW puede considerarse como una forma de votar utilizando potencia de computación.
En general, el mecanismo de consenso PoW puede verse como una solución práctica al Problema de los Generales Bizantinos sin requerir que los participantes se conozcan de antemano, es decir, PoW permite la participación libre de cualquier entidad. La mayoría de las instancias de Blockchain (por ejemplo, Bitcoin, Ethereum, Litecoin) utilizan un algoritmo PoW basado en hash que consiste en encontrar un nonce tal que cuando la información sobre un bloque es hasheada junto con este none, el valor del hash es más pequeño que un valor predeterminado. El bloque que incluye este nonce se envía en la capa de red a los demás nodos que pueden entonces comprobar fácilmente la validez de la PoW.
Blockchain actúa como un sistema de almacenamiento descentralizado, compartido. Blockchain es el motor que hace trabajar a criptomonedas como Bitcoin (BT), Ethereum, etc. Desde el 2007 Estonia ha estado operando bajo un esquema de identidad digital nacional universal para sus ciudadanos utilizando Blockchain que les permite archivar documentos electrónicos y verificar sus registros del gobierno. La tecnología Blockchain posee muchísimos elementos a atacar. Blockchain presenta una descentralización en diferentes niveles desde privado con permiso hasta público sin permiso y el número de ciber-riesgos crece día a día en diferentes puntos: consenso, bloques, criptografía, mecanismos de permisos, privacidad, autorizaciones, grado de descentralización, minería, pseudo-anonimato, red (con todo tipo de vulnerabilidades y ataques: inyección SQL, contraseñas débiles, excesivos privilegios a nivel de usuario y grupo, habilitación de características innecesarias en BDs, gestión de configuración rotas, buffer-overflows, escalada de privilegios, DoS/DDoS, gestión de parches anómala, datos sensibles no cifrados ni protegida su integridad, etc.), procesadores (con vulnerabilidades como Meltdown y Spectre informadas por el equipo de ciberseguridad de Google Project Zero en junio de 2017 y ocultadas al público hasta el 9 de enero del 2018), sistemas operativos y bases de datos atacables debido a vulnerabilidades, etc.
"Los Blockchain con permiso proporcionan conjuntos de datos altamente verificables debido a que el proceso de consenso crea una firma digital, que puede ser vista por todas las partes. El requerir que muchos departamentos del gobierno validen un registro puede dar un elevado grado de confianza en la seguridad del registro"
Alastria (Nacional Blockchain Ecosystem) es el Consorcio Multisectorial Blockchain Español que reúne a BME/Bolsa, empresas, startups, emprendedores, universidades así como otras entidades y actores del tejido productivo español. Su objetivo es crear una Red Blockchain abierta y con permiso (autorización)
Referencias
- Areitio, J. 'Seguridad de la Información: Redes, Informática y Sistemas de Información'. Cengage Learning-Paraninfo. 2017.
- Areitio, J. 'Identificación y análisis en torno a la ciberseguridad en Redes-Sistemas P2P'. Revista Eurofach Electrónica. Nº 424. Noviembre-Diciembre. 2013.
- Areitio, J. 'Complejidad de los elementos y procesos de seguridad-privacidad de la información'. Revista Eurofach Electrónica. Nº 453. Octubre 2016.
- Areitio, J. 'Análisis de Bitcoin: Sistema P2P de pago digital descentralizado con moneda criptográfica virtual'. Revista Novática-Upgrade. Nº 222. Marzo-Abríl. 2013.
- Raj, P. and Deka, G.C. 'Blockchain Technology: Platforms, Tools and Use Cases'. Academic Press. 2018.
- Brenner, M., Rohloff, K., Bonneau, J., Miller, A., Ryan, P.Y.A., Teague, V., Bracciali, A., Sala, M. et al. 'Financial Cryptography and Data Security: FC 2017 International Workshop, WAHC, BITCOIN, VOTING, WTSC, and TA'. Siema. Malta. Springer. Abril 2017.
- Vigna, P. and Casey, M.J. 'The Truth Machine: The Blockchain and the Future of Everything'. St. Martin´s Press. 2018.
- Karame, G., Audroulaki, E. 'Bitcoin and Blockchain Security'. Artech House. 2016.
- Schober, S.N. 'Hacked Again'. Scottschober.com. 2016.
- Raval, S. 'Descentralized Applications: Harnessing Bitcoin´s Blockchain Technology'. O´Reilly Media. 2016.
- Dannen, C. 'Introducing Ethereum and Solidity: Foundations of Cryptocurrency and Blockchain Programming for Beginners'. Apress. 2017.
- Antonopoulos, A.M. 'Mastering Bitcoin: Programming the Open Blockchain'. 2nd Edition. O´Reilly Media. 2017.
- Drescher, D. 'Blockchain Basics: A Non-Technical Introduction in 25 Steps'. Apress. 2017.
- Brooks, C.J., Craig, P. and Short, D. 'Cybersecurity Essentials'. Sybex. 2017.
- Jensen, C. 'Blockchain: Ethereum and Security Technology Explained'. CreateSpace Independent Publishing Platform. 2017.
- Landau, S. 'Listening In: Cybersecurity in an Insecure Age'. Yale University Press. 2017