Los más de 400 millones de euros usurpados por los hackers no solo demuestran las debilidades de la propia entidad sino las de todo el sistema mundial de cadena de bloques del que dependen cada vez más servicios. El suceso podría estandarizar el uso de las direcciones de firma múltiples
El robo de más de 400 millones de euros en criptomonedas al operador japonés Coincheck, que tuvo lugar la semana pasada, es un ejemplo más de por qué la gente cada vez está más preocupada sobre la vulnerabilidad de las monedas digitales frente a los hackers.
También es un recuerdo (y uno muy caro) de que, al igual que muchos aspectos del mundo de las criptomonedas, las tecnologías de seguridad, las normas, las buenas prácticas y las reglas de uso no han hecho más que empezar a aparecer. Así que el hackeo de Coincheck podría convertirse en un punto de inflexión de ese proceso.
Los hackers no sólo le han robado dinero, también han puesto en evidencia la decisión de Coincheck de no implementar algunas medidas básicas de seguridad. Los ejecutivos de la compañía han dicho a los medios que las monedas robadas estaban almacenadas en una cartera "caliente", es decir, que estaba conectada a internet de alguna manera. Pero la forma más segura de almacenar el dinero es en una cartera "fría", es decir, en una sin conexión a la web, lo cual suele requerir un hardware especialmente diseñado para ello. Muchos operadores ya afirman en sus anuncios publicitarios que mantienen la gran mayoría de los fondos de sus usuarios fuera de la red. En el futuro, esto podría convertirse en una práctica estándar.
Pero además, hay otra pregunta más importante sobre la mesa. Cada dirección criptográfica pública está asociada a una clave privada; sin ella, el dinero no se puede mover desde esa dirección. Así que si alguien se hace con la clave privada de una cuenta, podrá mover el dinero que haya en ella. Eso es justo lo que sucedió en el atraco de Coincheck. Entonces, ¿qué hay que hacer para que los propietarios de claves criptográficas privadas accedan a su dinero de forma segura?
Una posible solución es la dirección de firma múltiple o "multisig". Es un concepto relativamente sencillo que requiere más de una clave criptográfica para ejecutar una transacción. Es parecido al proceso de autenticación multifactorial que se puede utilizar para acceder a una cuenta de correo electrónico. Por ejemplo, los interlocutores comerciales pueden utilizar esta tecnología multisig para crear una cartera que requiera que cada uno de ellos firme cada transacción. Eso dificultaría mucho que los hackers pudieran acceder a los fondos.
Por supuesto, la dirección de firma múltiple tampoco es 100% segura. Basta remontarse a 2016, cuando unos hackers derrotaron a un sistema de firma múltiple y robaron casi 55 millones de euros en Bitfinex, una de las bolsas más grandes del mundo. No está claro cómo lograron semejante hazaña, pero es posible que hubiera un fallo en la implementación específica.
¿Deberían los reguladores financieros exigir a los mercados que usen tecnología multisig para asegurar los fondos depositados en carteras calientes? Los funcionarios japoneses están llevando a cabo una revisión de seguridad de emergencia de los intercambios del país, y esa podría ser una medida a considerar.
En cualquier caso, el enorme debate sobre la seguridad de la tecnología blockchain no ha hecho más que empezar. Algunos dicen que las cadenas de bloques revolucionarán nuestra forma de rastrear una gran cantidad de activos más allá del dinero, como los títulos de propiedad (ver La fe en Bitcoin y su capacidad de obrar 'milagros' para toda la sociedad). Un sistema así tendría una estructura distinta a las cadenas de bloques con las que se ejecutan las criptomonedas actuales, pero seguiría dependiendo de claves criptográficas que podrían caer en las manos equivocadas. Las técnicas y procesos que adoptemos para protegerlos serán cruciales para evitar que los piratas informáticos se lleven cosas que no les pertenecen.