El último ataque de ransomware que se ha producido recientemente con el gusano informático Wannacry es un buen ejemplo del daño que se consigue cuando un problema de seguridad afecta a las organizaciones y cómo estas se ven completamente indefensas ante estas amenazas, sobre todo cuando además son incapaces de dar una respuesta adecuada. La tecnología Blockchain ofrece una visión de futuro sobre como ofrece potenciales soluciones más seguras descentralizadas.
Santiago Márquez Solis es consultor de proyectos tecnológicos especializado en Blockchain y Bitcoin y apasionado por las cuestiones de seguridad y los retos que ésta supone. Santiago es además uno de los co-autores de LibroBlockchain.com 'Blockchain: La revolución industrial de Internet' que publica Ediciones Gestión 2000 (Grupo Planeta) mañana, donde aborda las cuestiones de seguridad que se aplican sobre Blockchain y señala esta tecnología como necesaria para el avance de la Sociedad a nuevos niveles de prosperidad y desarrollo.
¿Cuales son las ventajas de la tecnología de Blockchain pública, privada o híbrida cuando hablamos de seguridad en comparación con otras tecnologías centralizadas?
Primeramente hablaría de las ventajas que aporta a nivel de arquitectura y aquí citaría probablemente dos: la primera ventaja cuando hablamos de una tecnología centralizada y la comparamos con una tecnología descentralizada es obvia, no existe un punto único de fallo. Un servidor centralizado siempre es una puerta de entrada al sistema que puede ser atacado y por ende es más fácil de colapsar. Es cierto que estos sistemas añaden servidores redundantes para balancear el tráfico y mejorar el rendimiento pero no dejan de convertirse en un cuello de botella y un punto de mira para cualquier ataque.
La segunda ventaja la tendríamos a nivel de escalabilidad, generalmente las arquitecturas centralizadas cuando quieren crecer tienen implicaciones tanto económicas como de infraestructura importantes, el coste de un servidor o de sistemas de almacenamiento, aunque tienden a ser cada vez menores, todavía son altos si los comparamos con las necesidades de los equipos que forman parte de una red no centralizada.
Es a partir de aquí cuando podemos comenzar a hablar de las blockchain públicas (permissionless) o privadas (permissioned), en donde la cosa se pone realmente interesante. En primer lugar en las blockchain públicas la ventaja es que no es necesario que nadie me autorice para poder unirme a ella, mientras que en las segundas sí que es necesario que alguien nos autorice. En las mixtas puede suceder que ciertas operaciones están permitidas para todos los nodos, como puede ser el acceso a la cadena, mientras que otras operaciones tengan que ser validadas y autorizadas previamente para poder realizarse por algún sistema de seguridad adicional.
Lo curioso es que esta forma de realizar la conexión, por si sola, nos hace que tengamos que replantearnos otras muchas cosas. Por ejemplo, una Blockchain pública en donde todos los nodos pueden establecer conexiones con todos los nodos, seguiría una arquitectura distribuida y por tanto todos los nodos son emisores y receptores, y se rige por un principio de interacción entre estos, es decir, la caída de un nodo no afecta al resto porque es capaz de establecer una nueva ruta para que todo siga funcionando.
En las privadas esto es más difícil de ver, porque generalmente su ámbito de operación está dentro de los límites de una organización o conjunto de organizaciones que cooperan entre sí y que permiten sólo a ciertos nodos que se conecten con otros, de modo que la malla que se produce en una red distribuida pura se desdibuja y da lugar a una red descentralizada. Aquí el principio que rige la red es el de participación (a veces también llamado adhesión) y que puede dar lugar a desconexiones de aquellos nodos que se conectan a la red si el nodo principal que tiene garantizado el acceso al resto de nodos sufre un fallo. Estos dos conceptos, descentralizado y distribuido, tienden a confundirse normalmente y se usan como sinónimos el uno del otro.
¿Cuáles piensas que son las ventajas o debilidades de seguridad de la tecnología Blockchain pública, privada o híbrida?
Para hacer esta comparación debemos partir como premisa de que todas las blockchain están almacenando un activo valioso y su historia de transacciones y que ésta historia no puede (debe) alterarse. Y parto de esta premisa porque están apareciendo soluciones que permiten crear cadenas de bloques que permiten alterar este pasado, algo que a mi juicio y forma de ver la Blockchain atenta contra su principio básico de operación.
Si consideramos la blockchain como un garante de la verdad y que lo que reside en ella es donde depositamos la confianza, flaco favor hacemos con puerta traseras que permitan (y me dan igual los condicionantes) alterar ese pasado. Así que estas son soluciones que personalmente hay que analizar y estudiar si aportan o no valor al negocio.
Suponiendo que estamos ante una solución íntegra, debemos definir como la blockchain más segura aquella que es capaz de generar la cadena más larga. Decimos que la cadena más larga es la más segura, porque es la que más poder de cómputo necesitó para ser creada y por tanto, es necesario tener al menos ese poder de cómputo más un poquito más (el famoso ataque del 51%) para poder alterarla.
Y aquí es donde podemos hacernos la siguiente pregunta ¿es más segura una cadena pública o una privada? ¿es mejor una u otra? La pregunta sería exactamente la misma que se hacía cuando se hablaba de Intranet o Internet, y la respuesta será que dependerá del ámbito del valor de lo que la Blockchain garantice. Tanto una pública como una privada (o mixta) aportan valor dentro de su nivel de definición y a priori no deberíamos preferir unas sobre otras o al menos no hacerlo a la ligera, y tendremos que ver cuales son las necesidades que perseguimos.
Sin embargo, al igual que sucede con los algoritmos básicos de seguridad, la fortaleza de estos no reside en que el algoritmo sea secreto, justo lo contrario, los mejores algoritmos se han demostrado que son los públicos donde todo el mundo puede participar y someterlos a las mayores pruebas de estrés para garantizar su confiabilidad. Por ejemplo, igual tiene sentido tener una cadena privada (y que funciona con un número de recursos más limitados puesto que son los que una organización pone a disposición de esta) y que exista un proceso que periódicamente almacene esta información o parte de la misma en una cadena pública que pueda tener más poder de cómputo y que actuaría como un elemento de seguridad adicional, sirviendo, además, para consolidar la información de las primeras.
Si me preguntan mi opinión personal, creo que a futuro lo que sucederá, es que habrá infinidad de diferentes Blockchain funcionando a diferentes niveles y regidas de manera autónoma por contratos inteligentes que dictarán los modos de operación de las mismas. Sin lugar a dudas será un momento verdaderamente emocionante para los que creemos que Blockchain es la disrupción tecnológica del siglo XXI.
¿En qué aspectos puede ayudar Blockchain en hacer nuestra comunicaciones más seguras?
Si vemos la Blockchain como una tecnología que se acabará convirtiendo en algo completamente transversal, funcionara a múltiples niveles o capas y esto es verdaderamente algo fascinante. Se ve muy bien con un ejemplo, pensemos en algo tan de moda como es la huella digital y la información que dejamos de nosotros en cada sitio web que visitamos, información que hace que seamos fácilmente identificables o que dificultad el derecho al olvido al tener el control de nuestros datos.
Una forma de hacer las comunicaciones más seguras sería evitar estar identificado dentro de la Red, de manera que las comunicaciones estuvieran gestionadas por capas de seguridad que llegarán en última instancia hasta mi. Mi yo virtual podría ser una combinación de hashes matemáticos y datos biométricos que servirán para identificar a los actores de las relaciones establecidas y también reguladas mediante contratos inteligentes, que van a convertirse en una herramienta básica en los próximos años.
¿Cuáles son los conocimientos mínimos de seguridad tecnológica que deberíamos conocer todos y por qué son importantes?
Buena pregunta y de las más complicadas de contestar, hay muchos matices que entran en juego. El último ataque de ransomware que se ha producido durante la semana pasada con el gusano Wannacry, es un buen ejemplo del daño que se consigue cuando un problema de seguridad afecta a las organizaciones y cómo estas se ven completamente indefensas ante estas amenazas y no son capaces de dar una respuesta adecuada. En general, los usuarios quieren que se les garantice una ?seguridad perfecta? y eso por mucho que se quiera, no es posible. Y no es posible porque la seguridad se rige por percepciones y niveles de confianza, que son conceptos que se escapan de lo tecnológico y pasa a formar parte del sustrato mental de las personas.
Si una persona tiene la percepción de que está suficientemente segura, aunque no lo esté, no tomará las medidas adecuadas y lo mismo sucede si el caso es el contrario, si no se siente seguro, cualquier medida será insuficiente. A los profesionales de la seguridad informática les toca lidiar con esto y tratar de casar ambas visiones y dar las respuestas adecuadas. Eso sin contar los vicios que traemos de casa, estamos tan acostumbrados a lo digital, que es difícil que un usuario que en su hogar no presta atención a las cuestiones de seguridad, al llegar al trabajo las tenga interiorizadas.
Hoy por hoy y me temo que por mucho tiempo, el eslabón más débil de la cadena (y valga la redundancia en este caso) lo tenemos en el ser humano, ese individuo que en la mayor parte de las ocasiones compromete su seguridad y la de las organizaciones por el simple gesto de hacer clic sobre un enlace o un archivo que no debió de abrir. Las medidas de seguridad siempre son consideradas como un estorbo, y solamente en los últimos años parece que existe una pequeña conciencia de lo importante que son. Sin embargo, esta conciencia se activa o desactiva (lo que decía de las percepciones anteriormente) en función de lo alarmante que resulten las noticias.
Claro ejemplo lo sucedido la semana pasada con Wannacry, hemos visto la aplicación de parches de seguridad en las organizaciones a una velocidad que supera lo que habitualmente suele ser lo normal, sin pensar si igual lo que se hace afecta o compromete otros aspectos de la red y la infraestructura de la empresa, no olvidemos que la razón principal por la cual las empresas suelen ser más vulnerables es precisamente este, los parches no se activan a la velocidad que se liberan, porque los sistemas operativos están personalizados a las organizaciones donde funcionan y no es tan sencillo como sucede con los ordenadores domésticos.
Con todo esto, las reglas básicas o conocimientos de seguridad suelen ser los de siempre: no abrir ficheros ni direcciones web desconocidas, mantener nuestro sistema actualizado con los últimos parches de seguridad, elegir contraseñas que sean seguras y que no estén a la vista, usar productos de seguridad de calidad como firewalls y que estos estén debidamente al día, tener copias de seguridad de nuestros archivos por si estos son dañados o inutilizables, no olvidar cerrar nuestras sesiones de trabajo cuando acabamos, cuidado con las redes públicas de cafeterías y centros comerciales... todo esto se puede resumir en una frase de sobra conocidad, tener un poco de sentido común, nos ahorrará más de un disgusto.
Santiago Márquez Solis, es coautor junto a Alex Preukschat del libro Blockchain: La revolución industrial de Internet que publicará Ediciones Gestión 2000 (Grupo Planeta) el 23 de mayo de 2017 ya disponible en Amazon.es. Las novedades se pueden seguir en @LibroBlockchain y LibroBlockchain.com.
