Exploración en torno a la ciberseguridad y a la tecnología Blockchain

Prof. Dr. Javier Areitio Bertolín - director del Grupo de Investigación Redes y Sistemas02/12/2022

La ciberseguridad es un proceso multidimensional esencial (en todo tipo de entornos IT/Information-Technoloy, OT/ Operational-Technoloy / ICS /Industrial-Control-System-SCADA-CPS/ Cyber-Physical-Systems, etc.) y cada vez más una necesidad con mucha historia.

Nos protege (de forma unificada, orquestada, con visibilidad total, multicapa, hiperautomatizada) y defiende proactivamente en todos los frentes (tierra, mar, aire, espacio y ciberespacio) y en todos los sectores, facetas y direcciones frente al espionaje, a las exfiltraciones, manipulación (modificación, cambio de la información y hardware), inyección de malware (bloqueando proactivamente comportamientos perversos, intentos de intrusión), frente al daño al medio ambiente y seres vivos, al secuestro de recursos/datos, al deterioro de la reputación, a la denegación de servicios, a los ciber-ataques en las cadenas de suministros, etc.

Pero no todo vale en ciberseguridad, las personas, productos, servicios, protección, proveedores, cadenas de suministro, empresas, etc. actualmente deben contar con una certificación de ciberseguridad rigurosamente actualizada por parte de organismos competentes-homologados que midan el nivel/grado de ciberseguridad/madurez, porque nos jugamos mucho incluso nuestra vida. Pensemos, por ejemplo, en cloud/edge-computing, APPs/APIs/redes/sistemas/productos-IoT, infraestructuras-críticas, vehículos individuales y flotas de vehículos, conectados/autónomos que si no cumplen normativas como UNECE/R155/ISO-21434 (que deben evaluarse periódicamente) pueden ser ciber-atacados de forma remota pudiéndoles controlar a distancia funciones como bloquear su dirección, forzar la aceleración en una curva, etc.

La ciberseguridad integra, unifica e interacciona utilizando infinidad de tecnologías, enfoques y estrategias (en forma de un único conjunto integrado/entrelazado de herramientas en continua actualización) como: IA/Inteligencia-artificial, DLP/Data-Leak-Prevention, CTH/CyberThreat-Hunting, CTI/CyberThreat-Intelligence, VPN/Virtual-Private-Networks, NGFW/New-Generation-Firewall, SASE/Secure-Access-Service-Edge, ZK/Zero-Knowledge, CAPTCHA/Completely-Automated-Public-Turing-test-to-tell- Computers-and-Humans-Apart, PUF/Physical-Unclonable-Function, OT/Obviblious-Transfer, Proxies, Anonimización, Mimetización, Backup, cifrado/hash/firma digital (actualmente la criptografía debe ser muy potente, el NIST ha elegido algoritmos criptográficos resistentes a la computación cuántica: para cifrado CRYSTALS-Kyber, para firma digital CRYSTALS-Dilithium, FALCON y SPHINCS+), SMPC/Secure-Multi-Party-Computation, Microsegmentación-en-redes, IAM/Identity-and-Access-Management, PAM/Privileged-Access-Management, EDR/Endpoint-Detection-and-Response, XDR/Extended-Detection-and-Response, ZT/Zero-Trust, CARTA/Continuous-Adaptative-Risk-and-Trust-Assessment, DevSecOps/Development-Security-Operations, Defensa en profundidad, Ciberseguridad por diseño, etc.

Nuestra sociedad está, cada vez más conectada, es cada vez más digital y más dependiente de tecnologías (algunas sin testar), está, definida por datos y software (SDN/Software-Defined-Network, SDR/Software-Defined-Radio, etc.), lo cual acelera el aumento de las ciber-amenazas/ciber-ataques que son cada vez mayores y más sofisticados. La ciberseguridad es transversal, una ventaja competitiva, un componente nativo de la gestión de riesgos corporativos, es una cualidad empresarial valorada por los mercados y es un elemento de resiliencia que facilita la agilidad del negocio.

La tecnología Blockchain es relativamente nueva nace en el área de las criptomonedas/criptodivisas en concreto con el Bitcoin en 2008/2009, luego aparecen muchas más Ethereum, Terra, Solana, Cardano, etc., posteriormente se ha comenzado a utilizar en aplicaciones novedosas como los contratos inteligentes, los NTF (Non Fungibles Tokens) que son activos digitales únicos, por ejemplo, una fotografía-portada, música, etc. últimamente se han introducido en diversas áreas: identidades, vehículos autónomos, ciencias económicas, etc.

En principio el planteamiento parece razonable pero cuando lo implementamos es cuando surgen vulnerabilidades y problemas por todas partes. Vulnerabilidades a nivel de hash, de protocolos de consenso (PoW/PoS/etc.), en el software, en verificación de E/S, calidad del código, 'abuso de call' (CVE-2018-12959), 'overflow aritmético', 'override access', superficies de ciber-ataques en los monederos/wallet para criptomonedas hotline/coldline, etc.