Estudio: la mayoría de los intercambios cripto poseen medidas de seguridad deficientes

Una investigación reciente publicada el 2 de octubre, llevada a cabo por ICORating, un sitio especializado en realizar estudios independientes en el campo de las criptomonedas, encontró que un gran porcentaje de plataformas de intercambio presenta deficiencias considerables en lo referente a seguridad.

Los intercambios considerados en el estudio fueron aquellos que registraban al menos un volumen diario de operaciones por encima del millón de dólares. Fueron varios los criterios tomados en cuenta para la evaluación de las plataformas, incluido el nivel de protección del usuario y la confiabilidad del código.

Sorpresivamente, algunos de los intercambios más conocidos y considerados relevantes, Binance, Bitfinex y Bitstamp, no salieron muy bien parados en la evaluación. Binance, por ejemplo, obtuvo un puntaje general de 63/100. Bitstamp, por otro lado, apenas recibió 37/100.

Después de chequear los resultados, la recomendación de ICORating es que las plataformas tienen aún trabajo por hacer en lo concerniente al tema de seguridad.

Un riesgo asumido

La volatilidad de los mercados de criptomonedas ha creado, en algunos casos, fortunas de la noche a la mañana. El atractivo para los inversores y negociantes es muy alto, a pesar de las ocasionales noticias de ataques de piratas informáticos que logran llevarse importantes montos de criptomonedas en incursiones a las plataformas de intercambio.

Cantidades considerables de dinero se transan diariamente en estos sitios, sin que los participantes estén completamente conscientes del peligro al que están expuestos sus haberes en criptos. El riesgo se asume, porque, con un golpe de suerte, la recompensa puede ser inimaginable.

Según ICORating, los hackers han atacado con éxito a 31 intercambios durante los últimos 8 años. Los cálculos sugieren que el total extraído por los piratas es cercano a los US$ 1.300 millones. Ciertas plataformas corrieron con suerte y lograron recuperarse, otras quebraron, y están las que no aprendieron pronto la lección, sufriendo más de un ataque consecutivo, como el tristemente célebre intercambio japonés Mt. Gox.

Actualmente existen muchos sitios en donde invertir y negociar con criptomonedas, más de 200, que, aunque han implementado procedimientos de KYC (conoce a tu cliente) y anti-lavado de dinero, exigidos en algunas jurisdicciones, no están libres de las amenazas que representa la piratería.

Cien fueron llamados, y pocos los elegidos

Para la investigación, ICORating consideró a cien intercambios de monedas virtuales, en los que fueron evaluados los siguientes aspectos relacionados con el nivel de seguridad general de cada sitio:

• Fallas en la interfaz
• Configuración de las cuentas de usuario
• Seguridad de dominio y registrador
• Empleo de protocolos web adecuados
  

Fallas de la interfaz

Aunque no pueden ser considerados como errores críticos en todos los casos, las fallas en la interfaz de las plataformas pueden conducir a retrasos en las transacciones de los usuarios, que pueden ser aprovechadas para realizar ataques. La pérdida de datos puede ser también una consecuencia de estos errores. El informe halló que:

• El 49% de los intercambios no despliegan mensajes de advertencia ni error sobre este tipo de fallas
• El 68% no presenta errores de en este particular
• Intercambios con fallas en la interfaz, que impactan negativamente en su manejo: 32%

Seguridad de las cuentas de usuario

A fin de evaluar este criterio, se crearon cuentas nuevas en cada uno de los intercambios. Los siguientes parámetros fueron analizados:

1. La validez de contraseñas compuestas por menos de 8 caracteres
2. La creación de contraseñas que no incluyeran símbolos especiales
3. El envío inmediato de un correo electrónico al usuario después de la creación de la cuenta para fines de verificación
4. La disponibilidad de autentificación de 2 factores (2FA).

La evaluación acerca de la seguridad de las cuentas de usuario produjo los siguientes resultados:

• Porcentaje de intercambios que admite contraseñas con menos de 8 caracteres: 41%
• Porcentaje de sitios que no exigen la inclusión de símbolos especiales en las contraseñas: 37%
• Un 5% de los intercambios crea la cuenta sin necesidad de verificarla mediante el envío de un correo electrónico.
• 3% de los intercambios no disponen de 2FA.
• Porcentaje de intercambios que cumplen con los cuatro parámetros de seguridad: 46%

Registrador y seguridad de dominio

Para el análisis de este aspecto de seguridad en los intercambios, ICORating se apoyó en las herramientas de chequeo proporcionadas por Cloudflare. El sitio (https://www.cloudflare.com/domain-security-check) permite verificar una plataforma web y evaluar los siguientes elementos:

1. Bloqueo de registro (registry lock). Un bloqueo de registro proporciona el nivel más alto de protección para un nombre de dominio, evitando el secuestro del mismo. Para poder realizar cambios en un nombre de dominio con registro bloqueado, incluida la modificación de entradas en DNS, cambio de propiedad o transferencias de registradores, se debe pasar antes por un riguroso proceso de verificación.

2. Bloqueo de registrador (registrar lock). Este es una configuración de seguridad que previene que el dominio sea transferido a otro registrador de nombres. Este bloqueo no afecta el funcionamiento del dominio para mostrar la pagina web, solamente lo protege de traslados no autorizados. Además, los dominios que presenten alguno de estos estados: «registrar-hold», «redemption period» o «pending delete» tampoco pueden ser transferidos.

3. Cuentas de rol. Son un tipo de cuentas de correo que no están asociadas a una persona en particular, sino a un equipo, compañía o sistema automatizado. Como medida de seguridad, las empresas las usan para registrar los nombres de dominio. Las cuentas de rol protegen a los individuos de recibir ataques mediante email.

4. Vencimiento. Este servicio impide que un nombre de dominio esté protegido para su venta a terceros en caso de que no haya sido renovado en el tiempo estipulado. El nombre de dominio puede quedar reservado hasta por un año. Para dominio de alto perfil, se recomienda un periodo de vencimiento de 6 meses.

5. Seguridad de DNS (DNSSEC). DNSSEC requiere que las solicitudes de nuevos registros en los servidores DNS estén debidamente firmadas por claves encriptadas, previniendo de esta forma la amenaza conocida como “envenenamiento de caché DNS”. Las solicitudes que no están firmadas no son admitidas.

Existen tres valores para la evaluación de estos factores en su conjunto:

1 = Todos los elementos han sido implementados y funcionan adecuadamente

0 = Ninguno funciona o no han sido implementados

0,5 = Se necesitan ajustes para alcanzar estatus 1

De acuerdo a los análisis de Cloudflare, se obtuvieron los siguientes datos:

• El bloqueo de registro se usa sólo en el 2% de los casos.
• Sólo el 10% de los intercambios implementaron seguridad de DNS (DNSSEC).
• Ninguna de las plataformas presentó problemas en todos los factores.
• Apenas el 4% de los intercambios usan las mejores prácticas en 4 de los factores analizados.

Seguridad de los Protocolos Web

ICORating también chequeó el código web de los intercambios, para verificar la existencia de encabezados que sirven de protección antes varios tipos de ataque. Para ello, se apoyaron en la herramienta de High-Tech Bridge (https://www.htbridge.com/websec/). Si el protocolo requerido se hallaba en el encabezado, se calificó al código con 1 (presente) o 0 (ausente). Los siguientes encabezados fueron buscados:

1. Strict-Transport-Security. HTTP-Strict-Transport-Security (HSTS) obliga a los navegadores a explorar el sitio web en el modo HTTPS, que emplea el protocolo SSL.
2. X-XSS-Protection. Este encabezado define cómo los navegadores deben aplicar la protección de scripts entre sitios.
3. Content-Security-Policy (CSP). El encabezado CSP habilita la definición de las fuentes permitidas para cada tipo de contenido, lo que ayuda a defenderse de los ataques XSS (inyección de código Javascript entre páginas). También permite habilitar varios comportamientos del navegador, como el empleo de un modo de pruebas (sandbox) y el valor que se enviará en el encabezado HTTP de referencia.
4. X-Frame-Options. Este encabezado define si a un navegador se le permite encuadrar una página web con etiquetas <frame>, <iframe> u <object>. Los ataques de clickjacking se previenen con este tipo de encabezados.
5. X-Content-Type-Options. Inhibe en los navegadores la capacidad de husmear en el contenido de la página, limitándolos sólo al tipo de contenido definido por esta instrucción. Así se protege al sitio de ataques de inyección Javascript (XXS) y semejantes. El encabezado XCTO fue introducido por Microsoft en la versión 8.0 de su navegador Internet Explorer, para que los webmasters pudieran bloquear el rastreo de contenidos.

El informe de ICORating señala que:

• Los cinco encabezados sólo están presentes en el 10% de los intercambios
• El 29% de los intercambios no tienen ninguno de los encabezados en su código web
• El encabezado CSP fue hallado solamente en 17 plataformas

Las contraseñas, una debilidad recurrente

A comienzos de 2018, Dashlane, una aplicación para administrar contraseñas y billeteras digitales, reportó que el 70% de intercambios analizados en una investigación propia dejaban a los usuarios expuestos a peligros de pérdidas financieras y fraude debido a “prácticas no seguras relativas a las contraseñas.

Esa vez, el estudio se realizó sobre una muestra de 35 de los más conocidos intercambios de criptomonedas del mundo, del 12 al 19 de marzo. Desafortunadamente, plataformas renombradas como Binance, Kraken y Bitfinex no fueron capaces de superar el test.

En su informe, Dashlane menciona estos hallazgos:

• El 43% de los intercambios dejaron a los usuarios crear contraseñas con siete caracteres o menos
• En el 34% de los casos no se exigieron caracteres especiales o números en la contraseña
• En algunas de las plataformas fue posible crear contraseñas sumamente elementales e inseguras, como la palabra “contraseña” y “12345”. Uno de los intercambios aceptó la contraseña “a”.
• El 50% de las plataformas analizadas no dispone de una herramienta de evaluación de seguridad para contraseñas al momento de configurar las cuentas de usuario.

Recomendaciones generales

Es imprescindible que el usuario active de inmediato la verificación de 2 factores (2FA) antes de comenzar a operar en un intercambio. Una plataforma que no disponga de esta figura de seguridad no merece ser considerada confiable.

En lo que respecta a las contraseñas de perfiles, billeteras y cuentas digitales, cumplir con los siguientes requerimientos mínimos le ayudará a incrementar su seguridad en línea:

• No use la misma contraseña en todas sus cuentas.
• Siempre genere contraseñas mayores a los 8 caracteres.
• Todas sus contraseñas deberían contener letras mayúsculas, minúsculas, caracteres especiales y números. Existen sitios web que generan contraseñas de este tipo gratuitamente.
• Si ingresa constantemente en muchos sitios utilizando un perfil, considere el empleo de un administrador de contraseñas.