Criptomonedas, Minería de Criptodivisas y Seguridad de la Información

Durante el último tiempo, la fiebre por las llamadas criptomonedas, tales como Bitcoin, Ethereum o la chilena Chaucha, han generado la atención de muchas personas, empresas e incluso gobiernos (como Venezuela que en marzo pretende liberar la criptomoneda “petro”). Sin embargo, tan atractivo como participar en este mundo a través de compra y venta de criptomonedas y obtener rentabilidad con esta diferencia, está siendo llamativa la minería de criptomonedas. Por otro lado, esta nueva tecnología está generando cada vez más desafíos respecto a la seguridad de la información.

Para explicar esta relación, iremos por parte.

En palabras sencillas, la mayoría de estas monedas se basan en la tecnología Blockchain (cadena de bloques), que fue tomado como base el año 2008 por Satoshi Nakamoto (que dicho sea de paso, no existe certeza de su existencia real) para crear el bitcoin.

Para dar anonimato e independencia de las transacciones, se diseñó la existencia de un libro de contabilidad público y que no está controlado por ningún banco central, empresa o individuo. Para ello existen los llamados nodos que permiten dar certeza y seguridad respecto a las transacciones realizadas y validar su autenticidad a través de bloques. Este proceso de consenso descentralizado que se produce en la red p2p con el objeto de validar las transacciones de los usuarios y evitar que las de doble gasto se incluyan en la cadena de bloques, se ha diseñado para que existan nodos de la red y que éstos sean recompensados con bloques de monedas digitales, surgiendo así los mineros de criptomonedas. Es decir, se ponen a disposición (y utilizan un programa en equipos conectados a internet) para validar, pero al mismo tiempo, pueden recibir una compensación por este hecho.

Para determinar cuál será el monto de recomensa de criptomoneda en la que participa el minero, el nodo debe cerrar este bloque y para ello está obligado a conseguir un número arbitrario único o nonce que resuelve exitosamente un proceso matemático o acertijo hash (hash puzzle). La resolución del mismo acertijo depende de varios factores, tanto como equipo utilizado (recursos exclusivos este proceso matemático), número de mineros y el cálculo de dificultad para cerrar el bloque que dependerá de cada moneda virtual, entre otros.

Sin embargo, la evolución de esta “minería de criptomonedas”, del cómo ser minero y obtener más criptomonedas en un tiempo determinado, ha mutado en el tiempo.

  • En un principio, un minero se conectaba desde su propio computador utilizando sus propios recursos, pero hoy es muy dificil sólo con esta única vía obtener una recompensa. A pesar de ellos, muchos ya han comenzado a comprar equipos “reacondicionados” especialmente para minar criptomonedas, incluso existe mercado de hardware en este sentido.
  • Posteriormente se ha comenzado a crear las denominadas “granjas de minería” que pueden ser cientos o miles de procesadores unidos con la exclusiva misión de minar criptomonedas (los que incluso han llamado la atención por el efecto que puede producir esto en el calentamiento global por el uso de energía para este fin).
  • Existen también los “Pools” o piscinas, que son grupos coordinados de personas que minan en común (una suerte de cooperativa minera) y en caso de que alguno de ellos logra la recompensa, se distribuye entre todos.
  • Surge incluso hoy el arriendo de servidores en la nube, empresas que arriendan servidores con el único fin de minar y cobran un precio por cantidad de recursos requeridos. El minero sólo debe indicar qué tipo de criptomoneda intentará minar, tiempo y recursos utilizados y paga el valor. Si tiene éxito o no en este proceso no dependerá de la empresa que facilita los recursos.

Sin embargo, cuando surge esta lógica de tener que contar con más recursos para minar es que debemos observar con detalle la seguridad de la información.

 

Un ejemplo real de granja de minería

Han comenzado a surgir mineros, que para evitar el gasto en compra de equipamiento o de arriendo de espacios, comienzan a utilizar los recursos de terceros sin su autorización, a través de distintas formas:

  • Una conducta que se está observando, es que administradores de sitios web con alta visita de público, han comenzado a insertar códigos que son descargados cada vez que se ve el sitio y genera la minería de criptomonedas en segundo plano en dichos computadores (obviamente sin informar ni que se autorice a ello por los afectados) y beneficiando al administrador del sitio. Uno de los casos emblemáticos se dio en un sitio de intercambio de torrents como Pirata Bay (aunque luego explicaron que estaban experimentando), pero también se ha mencionado otros como en Argentina donde en una sucursal de Buenos Aires de Starbucks minaba criptomonedas infectando las computadoras de los clientes que se conectaban a su red de WiFi (starbucks explicó que sólo se dio en una sucursal) ; en España, en el sitio web de Movistar, también se incluyó por algunas horas un código malicioso (señalaron que accidentalmente se subió una web que estaba “en producción” y cuya finalidad era “testear” la seguridad de la misma); y sin ir más lejos, en Chile, en el sitio reclamos.cl insertó debileradamente un código con este fin para recaudar recursos (indicando que fue experimental y que lamentan no haber informado al público al respecto).
  • Otra forma que se ha generado es que hackers han comenzado a acceder a datacenter, grandes servidores y empresas de hosting, no con el fin de sabotear sistemas informáticos o robar información sino que para insertar trabajos de minería en su beneficio ocupando los recursos de los equipos. Incluso han derivado a que, cuando son detectados por ese inusual incremento de carga de trabajo de servidores, ahora realizan el mismo proceso, pero con cargas de trabajo menores para pasar desapercibidos.

Desde el punto de vista legal, y en relación a la seguridad de la información, hacen nacer varias dudas a resolver:

En caso de que un administrador de un sitio web inserta el código para utilizar los recursos de los visitantes, sin avisar de este hecho, la duda es determinar si existe alguna infracción legal. Personalmente creo que éticamente es un hecho reprochable (al intentar lucrarse con recursos de terceros), pero no existe infracción a la ley, porque el utilizar recursos es natural de un sistema. Así, es similar al caso de Facebook, respecto a su aplicación móvil, que durante un tiempo reproducía automáticamente los videos que aparecían en mensajes de usuarios, afectando el consumo de datos y recursos del celular, lo que posteriormente cambió por reclamos de usuarios a desactivar la reproducción automática e incluso en dejarla como opción para usuarios diferenciando si veían el sitio conectados a red wifi o vía red móvil.

Sin embargo, la duda se complejiza cuando una empresa externaliza el sistema de creación y/o administración de un sitio web y sea este tercero quien sin autorización de la empresa mandante inserta el código para su beneficio, afectando su reputación cuando usuarios detectan su uso. La duda : ¿Es responsable la empresa de diseño de web de este perjuicio frente a esta empresa?

Surgen más dudas cuando un trabajador de una empresa utiliza su computador o un informático al ver la capacidad de recursos de su empresa inserta códigos o utiliza estos recursos en beneficio suyo, ¿es posible despedir a este trabajador que realiza su trabajo, pero ocupa recursos de empresa sin su consentimiento?

Una arista similar ¿Qué sucede en caso de que sea un funcionario público utiliza recursos financiados por todos los chilenos, usa la red estatal por ejemplo o servicios dependientes de organismos públicos para estos fines, es posible iniciar algún procedimiento sancionatorio administrativo?.

Finalmente, si existe hackers que acceder a servidores de empresas o que prestan servicios a terceros (como datacenter) y utilizan estos recursos, ¿Es posible iniciar acciones legales contra ellos si no vulneran sistemas ni roban información de ningún tipo?

La respuesta se da caso a caso. Sin embargo la principal recomendación es dar valor a la seguridad de la información, ya sea como usuario individual o como entidad pública o privada.

Así, en caso individual existen formas básicas como tener actualizado antivirus, utilizar navegadores como opera (que en su última versión incluye opción de detectar y no permitir minado en segundo plano), utilizar extensiones para navegadores como chrome y firefox con el mismo fin y tener cuidado en sitios que se navega.

Por otro lado a empresas, actualizar sus políticas de seguridad de la información, tanto con visitantes a sitios o servicios, terceros que por vía contractual efectúen operaciones sobre recursos como servidores e incluso normativa laboral contractual y de seguridad de la redes para evitar los efectos de un minado indeseado.

 

.

Deja un comentario