En la historia de la revolución digital existen unos cuantos inventos que han hecho cambiar la forma que tenía la gente de ver el mundo. Es este mismo instante, debido a la pandemia, el asentamiento de tecnologías como la realidad virtual o la web3.0, además de su aceptación por parte de la Generación Z, nos hace pensar que estamos muy cerca de hacer realidad ciertas visiones que se tienen del Metaverso.
Ya los mundos virtuales tienen millones de usuarios conectados diariamente. Es, en este sentido, donde se torna todavía más relevante trabajar sobre la identidad, la privacidad y la seguridad de las personas. Empresas como Meta, que se encuentra desarrollando la plataforma de Oculus, necesitan de perfiles que comprendan los riesgos a los que se puede enfrentar la compañía, ya que en este nuevo entorno las amenazas se pueden manifestar de múltiples maneras y podrían afectar a miles de millones de personas.
Figura 1. Oferta de trabajo de Facebook sobre amenazas emergentes.
Recuerdo la primera conferencia que impartí de seguridad con mi compañero Félix Brezo. Fue en 2015. En la RootedCON y trataba sobre seguridad en Bitcoin. De aquella, había mucho desconocimiento sobre su funcionamiento y nuestro único interés era entender la tecnología con el objetivo de conocer las limitaciones de seguridad. Llegamos a profundizar en uno de los grandes retos que tiene actualmente la web3.0: la generación de los wallets y el almacenamiento de las claves privadas por parte de los usuarios.
Hicimos un experimento que consistía en generar wallets a partir de palabras. No nos podíamos creer que ese tipo de funcionalidades pudieran existir aunque para el usuario final fuera una forma sencilla de generar su wallet en el caso de pérdida. Así que generamos un diccionario, generamos los wallets pertinentes y llegamos a validar que ese procedimiento tan inseguro era usado por cientos de usuarios de Bitcoin.
Años después, ese aprendizaje nos sirvió para comprender el riesgo al que se someten los usuarios con la gestión de sus wallets, así como, ya con la aparición de wallets como Metamask o Ronin, comprender cómo se comunican con las dApps y los potenciales riesgos que existen cuando se otorgan ciertos permisos.
Figura 2. Advertencia de seguridad por parte de Metamask a sus usuarios.
Asimismo, en 2017, Félix y yo presentamos en EuskalHack una idea que no nos parecía para nada muy descabellada. Nunca hemos sido analistas de malware, pero conocíamos las principales propiedades que tiene una cadena de bloques, por lo que no nos parecía que fuera a tardar mucho la aparición de aplicaciones maliciosas cuyo C&C se sirviera de la infraestructura de esta tecnología de cara a que los nodos infectados siempre tuvieran de forma permanente dónde acudir para recibir las órdenes a ejecutar. Años después, no nos sorprendió la aparición de familias de malware como el ransomware Cerber y su manera de coordinarse con los nodos infectados.
Figura 3. Investigación académica de donde se explica este nuevo tipo de amenaza.
Y, por último, otra de las investigaciones que nos hizo reflexionar sobre esta tecnología fue durante el incidente de Wannacry. Apenas unos días después de que se cerraran las ediciones de 2017 de Blackhat USA y Defcon, el 3 de agosto se produjeron los primeros movimientos desde las direcciones del cibercriminal. Así es como comenzaba un proceso de “persecución” digital donde pocos cayeron en la cuenta de la importancia de un evento para el ecosistema de Bitcoin: el hard fork de Bitcoin Cash. Los analistas que por aquel entonces estábamos pendientes, nos dimos cuenta de que el siete de noviembre de 2017, los autores realizaron una única transacción en la que juntaron todo el saldo en Bitcoin Cash. Este tipo de experiencias nos ayudó a aprender sobre el anonimato o pseudo-anonimato de las transacciones y, por consiguiente, sobre el concepto de fungibilidad donde todas las monedas no tiene porqué valer lo mismo si previamente, por ejemplo, han estado relacionadas con el cibercrimen. ¿Acaso aceptarías a precio de mercado un pago con monedas procedentes de algún tipo de extorsión?
La seguridad es una forma de aproximarse a la tecnología. Para saber cómo hackearla previamente se tiene que haber interiorizado sus fundamentos. Todo este tiempo nos ha servido para aprender sobre unos riesgos existentes en web1.0 y web2.0. Sin embargo, muchos a los que nos someteremos en el entorno del Metaverso ni siquiera somos todavía conscientes. No tengo ninguna duda que los security researchers tendrán un papel relevante ayudándonos a crear estos nuevos mundos donde prevalezca la seguridad y la privacidad desde el diseño.