Introducción a la Seguridad en la Blockchain

En pocas palabras, la blockchain es una lista digital de registros de datos en constante crecimiento. Esta lista se compone de muchos bloques de datos, que están organizados en orden cronológico y están vinculados y protegidos mediante pruebas criptográficas.

La blockchain ofrece transparencia (todos los participantes pueden ver la totalidad de la información contenida en la base de datos distribuida), compartición y descentralización (una misma copia de la base de datos en todos los nodos), irreversibilidad (una vez registrado un dato, no puede ser modificado o borrado) y desintermediación (sin árbitro central, los participantes toman las decisiones por consenso). La cadena de bloques enlaza la secuencia de transacciones e incorpora una marca de tiempo que da transparencia y trazabilidad a las operaciones sin por ello quebrantar a priori la privacidad de los usuarios (puede conocerse el camino2 y el contenido aunque no siempre sea factible inferir la identidad del usuario).

La blockchain emplea mecanismos criptográficos de seguridad para acceder, firmar y cifrar las transacciones, los bloques y su encadenado. Las claves privadas pueden estar vinculadas a la identidad de los usuarios o a elementos intermedios; por ejemplo, las carteras digitales con las que la plataforma ofrece el anonimato de las operaciones.

Determinados nodos de la red (nodos "mineros") se especializan en validar la transacción y escribirla cifrada en el bloque, encadenándolo a los preexistentes una vez completado. Antes de que un nuevo bloque pueda ser agregado a la cadena, su autenticidad ha de ser verificada por un proceso de validación por consenso. Los nodos mineros utilizan algoritmos matemáticos para convertir la información de un bloque en un código alfanumérico o hash que enlace al hash del bloque anterior y encadenar los bloques entre sí; una vez agregado un bloque, éste es inmutable.

La distribución en blockchain se refiere a la descentralización de la base de datos en lugar de una entidad central. En lugar de que un banco, una compañía o un gobierno mantenga la base de datos, en una blockchain la información es compartida entre múltiples nodos. Esto significa que no hay un punto único de falla y que la base de datos es más segura y resistente a la manipulación.

La distribución en blockchain también permite una mayor transparencia y eficiencia. Al ser un registro compartido y descentralizado, cualquier persona puede ver y verificar la información. Además, en algunos casos, las transacciones inclusive son procesadas mucho más rápido que en un sistema centralizado, lo que significa que los procesos son más eficientes y menos costosos.

En Blockchain un algoritmo de consenso es el mecanismo usado, por una red Blockchain, para seleccionar el estado correcto de un registro después de realizar una transacción. De esta manera lo que indique el algoritmo de consenso se convierte en la verdad que todos los nodos deben seguir.

Hay varias formas de implementar el protocolo de consenso, la más común de todas se denomina Proof of Work, o Prueba de Trabajo. En este modelo todos los nodos son pares iguales en la red, y todos compiten para sellar un bloque antes que el resto y poder conseguir criptomoneda a cambio. Para realizar esto, deben resolver un algoritmo complejo. El que primero logre hacerlo y pueda agregar un bloque a la cadena es el obtendrá esa recompensa (criptomoneda). Pero para realizar ese trabajo se necesita un alto nivel de procesamiento, lo que se termina traduciendo en un mayor costo energético.

En el modelo de Proof of Authority, o Prueba de Autoridad, solo hay una cantidad determinada de nodos que están autorizados a resolver el sellado de bloques. Este protocolo no está basado en la competencia, sino en el hecho de que ese grupo reducido que tiene permisos para agregar bloques a la cadena se turne para hacerlo. Como aquí no hay necesidad de resolver algoritmos complejos, la cantidad de procesamiento es mínima. Por eso se considera a estos modelos como livianos y más eficientes en relación a consumo energético. La otra gran característica es que generalmente en modelos de Prueba de Autoridad no hay circulación de criptomonedas con valor económico, ya que en realidad no es necesaria una recompensa por esa participación.

El protocolo de consenso Proof of Stake saltó a la palestra con la transición de Ethereum de PoW a PoS en 2022. En este caso, los mineros PoW son sustituidos por los stakers PoS. A diferencia de los mineros, los stakers no necesitan gastar energía para validar las transacciones. En su lugar, los participantes tienen que apostar capital (en forma de criptomonedas) como garantía para convertirse en validadores. Los validadores se seleccionan al azar para crear nuevos bloques. Tras la creación de un nuevo bloque, el validador es recompensado con nuevas criptomonedas. La garantía y las recompensas por bloque garantizan que los validadores sigan siendo honestos y cumplan sus obligaciones de validar transacciones, crear nuevos bloques y mantener la red en funcionamiento. Un validador se arriesga a la destrucción de su garantía en caso de que se comporte de forma maliciosa. Si no participa en la actividad de la red cuando se le solicita, los validadores perderán las recompensas de los bloques.

El Proof-of-Stake delegado es una variación del mecanismo de consenso PoS. En él, los usuarios de la red votan y eligen delegados para validar los bloques. dPoS es un modelo de mecanismo de consenso basado en la reputación. Los delegados son elegidos en función de su reputación de fiabilidad. Las redes dPoS tienen un menor número de validadores en comparación con las blockchains PoS, lo que permite a la red alcanzar un consenso más rápido. Sin embargo, los sistemas dPoS pueden ser vulnerables a ataques del 51%, ya que hay menos validadores en la red. También existe el riesgo de centralización del poder, ya que los validadores son pocos y la votación está sesgada por la reputación.

El consenso PoW/PoS híbrido es una mezcla de algoritmos de consenso proof of work y proof of stake. Este enfoque aúna la seguridad PoW y la gobernanza PoS. Un ejemplo de blockchain que utiliza un consenso híbrido PoW/PoS es Decred. Los mineros PoW en Decred desempeñan un papel similar al que desempeñan en la blockchain de Bitcoin, es decir, la verificación de transacciones y la creación de nuevos bloques. PoS en Decred está diseñado para la gobernanza. Los titulares de fichas DCR pueden apostar sus monedas para obtener boletos de votación. Los titulares de los boletos se seleccionan al azar para aprobar a los mineros PoW y votar las propuestas de cambio.

Proof of burn es un mecanismo de consenso que requiere que los mineros quemen monedas. Quemar es el proceso de retirar permanentemente monedas de la circulación enviándolas a una dirección irrecuperable. La quema de monedas es el coste necesario para participar en la actividad minera, es decir, verificar transacciones, crear nuevos bloques y recibir recompensas por bloque. Según Iain Stewart, creador del consenso PoB, cuantas más monedas queme un minero, mayor será su capacidad de minería. Como los mineros PoB queman monedas en lugar de gastar electricidad como hacen los mineros PoW, PoB consume mucha menos energía que PoW.

Las plataformas, servicios y redes comparten riesgos de seguridad con las tecnologías de la información, tales como los de confidencialidad, privacidad, gestión de claves, criptografía, identificación y parcheado de vulnerabilidades o concienciación ante amenazas de ingeniería social. Pero además ofrecen riesgos específicos: 

El ataque del 51% es una vulnerabilidad potencial en el diseño de la blockchain. Esta amenaza surge cuando un usuario o un grupo de usuarios en la red blockchain logra controlar más del 50% del poder de hash. El poder de hash, en términos simples, es la capacidad de cómputo dedicada a la red para validar transacciones y crear nuevos bloques.

Si un usuario controla la mayoría del poder de hash, puede monopolizar la creación de nuevos bloques y, por lo tanto, tener control sobre qué transacciones se registran en la cadena de bloques. Esto le daría a este usuario la capacidad de alterar o revertir transacciones registradas previamente en la cadena. Aunque estos ataques son poco comunes debido a su alto costo y complejidad, su posibilidad teórica plantea preocupaciones significativas en términos de la seguridad y la integridad de la blockchain.

El doble gasto significa que las mismas unidades de una criptomoneda podrían gastarse dos veces, por lo que es crucial eliminar tecnológicamente esta posibilidad.

El doble gasto destruiría básicamente el fundamento tecnológico en el que se basa una blockchain, una base de datos que no solo es a prueba de manipulaciones, sino que también registra todas las transacciones que han tenido lugar dentro de la red. Así pues, la posibilidad de realizar un doble gasto socavaría fundamentalmente la confianza en una criptomoneda como Bitcoin o cualquier otra base de datos de blockchains.

Cuando se trata de proteger las redes blockchain, existen varias prácticas recomendadas que se pueden implementar para mejorar la seguridad.

Controlar el acceso a la red blockchain es vital para evitar que usuarios no autorizados accedan. La implementación de mecanismos de autenticación sólidos, como la autenticación multifactor, puede ayudar a garantizar que solo las personas autorizadas puedan participar en la red.

La implementación de mecanismos sólidos de monitoreo y registro permite la detección y análisis de cualquier actividad sospechosa o anomalía dentro de la red blockchain. Esto ayuda a identificar posibles violaciones de seguridad y permite una respuesta y mitigación oportunas.

Mantener actualizado el software blockchain es esencial para abordar cualquier vulnerabilidad o error que pueda descubrirse. La aplicación periódica de parches y actualizaciones de seguridad ayuda a mitigar los riesgos potenciales y garantiza que la red permanezca segura.

La blockchain es una tecnología conceptualmente muy segura que se ve expuesta en el curso de su implementación a errores y vulnerabilidades propios de cualquier sistema de información, añadidos a los específicos de esta tecnología. A esto se suman los retos de seguridad, interoperabilidad y tecnológicos derivados de su progresiva madurez, complejidad, falta de estandarización y diversidad de protocolos, a los que se superponen las exigencias propias de un vibrante entorno competitivo. Afrontar estos retos exige la constitución de equipos multidisciplinares que cuenten con la participación desde el inicio del área jurídica/regulatoria, de ciberseguridad y de sistemas de información de las empresas.