Lectura 8:00 min
¿El ataque al Ethereum Classic pone en duda la invulnerabilidad del blockhain?
Ni los críticos ni los entusiastas de blockchain han tomado en cuenta la posibilidad de que esta tecnología sea vulnerable a ataques informáticos. Hasta ahora, tanto unos como otros parten del supuesto que la cadena de bloques garantiza plenamente la integridad de los datos.
En marzo pasado el Banco de México (Banxico) aplicó un freno a la comunidad blockchain en México. El banco central emitió la circular 04/2019 con la que limitó el uso de criptoactivos a las transacciones internas de las instituciones financieras, dejando fuera de la regulación las operaciones para el público en general, al considerar que éstos activos representan riesgos importantes. ¿La postura del Banxico es infundanda y debería entonces emitir una regulación mínima que permita el desarrollo de esta tecnología, como señalan los detractores de esta decisión?
Voces críticas como la de Agustín Carstens, director del Banco de Pagos Internacionales (BIS), están concentradas en señalar las desventajas de las criptomonedas frente al dinero convencional. El BIS publicó en noviembre de 2018 la transcripción de una conferencia que dictó Carstens en Singapur, en la que el banquero central arguyó que las criptomonedas son inestables, que su uso en la compras minoristas es mínimo, que son propicias para utilizarse para fines ilícitos, entre otras críticas.
Hasta aquí, las objeciones Carstens contra las criptomonedas tienen sentido, si se toma en cuenta cuál es la consigna teórica de blockchain, la plataforma sobre la que se basan. Los objetivos declarados de blockchain desde el whitepaper de Satoshi Nakamoto —documento inaugural de Bitcoin— y de sus ideólogos es que esta tecnología, al posibilitar la desintermediación de las relaciones económicas, permitirá prescindir de instituciones financieras como los bancos centrales.
Del lado de quienes apoyan blockchain se encuentran también quienes en el sector financiero han encontrado en esta tecnología nuevas formas de hacer negocios, como es el caso de los exchanges de criptoactivos y los sistemas de pagos basados en ellos.
Pero ni críticos ni entusiastas de blockchain han tomado en cuenta la posibilidad de que esta tecnología sea vulnerable a ataques informáticos. Hasta ahora, tanto unos como otros parten del supuesto que la cadena de bloques garantiza plenamente la integridad de los datos.
Blockchain permite que las personas compartan datos valiosos de forma segura y a prueba de manipulaciones sin la necesidad de un tercero que sancione estas transacciones. Las formas de lograr que el sistema no pueda ser manipulado son asociar a cada bloque de información que se integra a la cadena una huella digital criptográfica única y que la veracidad de la información contenida en todo nuevo bloque deba ser avalada por el consenso de todos los nodos que integran la red.
Así, la única forma de modificar los registros en la cadena de bloque es superando en poder de cómputo al resto de la red blockchain o que la mayoría de los nodos que la conforman acuerden hacerlo. Para modificar los registros de, por ejemplo, Bitcoin, sería necesario un poder de cómputo y una cantidad de energía tales que harían prácticamente imposible llevarlo a cabo. Todo en teoría.
Hasta no hace mucho, los ataques contra activos virtuales habían involucrado sólo a los mediadores, lo que confirmaba de facto la efectividad de la seguridad de blockchain.
Aprovechado vulnerabilidades en los sistemas y bases de datos de los exchanges, los ciberdelincuentes han sustraído criptoactivos de las wallets de los usuarios y de las cuentas de estos intermediarios especializados. Algunos de los casos más conocidos son el del exchange sudcoreano Youbit, que en diciembre de 2017 debió declararse en bancarrota tras el robo de bitcoins del que fue víctima, ataque en que los hackers sustrajeron 17% de sus tenencias de bitcoins; o el de Mt. Gox, que cayó en bancarrota en 2014 luego de que los ciberdelincuentes aprovecharan una vulnerabilidad en su sistema para robar 750,000 bitcoins pertenecientes a los usuarios y 100,000 propiedad del exchange, robo cuyo monto fue calculado en 500 millones de dólares.
Estos robos se presentaron en sistemas externos a la cadena de bloques. Como la integridad de blockchain no fue comprometida, estos hechos constituía la prueba empírica de su efectividad.
Pero el 7 de enero se registró un ataque contra la blockchain de Ethereum Classic, actualmente la criptomoneda número 18 por su valor de mercado, que asciende a 680,628,229 dólares. El ataque consistió en la reescritura que 100 bloques de información, lo que permitió a los hackers hacer el doble gasto de 88,500, lo que equivale a 460,000 dólares a la cotización de entonces del Ethereum Classic.
Este tipo de ataque se conoce como "Ataque de 51%", y se realiza superando el poder de cómputo del resto de la red, algo que la teoría indicaba que no era probable. Un Ataque de 51% ocurre cuando un grupo de mineros controlan más de 50% de la potencia de cálculo para descifrar las claves criptográficas de los bloques. Los atacantes pueden entonces evitar que las nuevas transacciones obtengan confirmaciones, lo que les permite detener los pagos entre algunos o todos los usuarios, pudiendo también revertir las transacciones que se completaron mientras tengan el control de la red, posibilitando el doble gasto de criptomonedas, operación que consiste en enviar una transacción y luego revertirla, haciendo que parezca que todavía tienen la moneda que acaban de gastar.
El doble gasto es el equivalente digital de una falsificación perfecta y el obstáculo criptográfico básico que blockchain fue creado para superar, por lo que una red que permitiera el doble gasto sufriría rápidamente una pérdida de confianza.
Pero la naturaleza del ataque está en disputa. El asesor de desarrollo Ehereum Classic, Cody Burns, dijo en un correo enviado al exchange CoinDesk, que este ataque no podía ser etiquetado como un Ataque de 51%, sino más bien se trataba de uno del tipo "Minero egoísta". El “ Minero egoísta” consiste en un ataque contra la cadena de bloques obteniendo una ventaja injusta al engañar a otros nodos para que pierdan el tiempo en resolver los rompecabezas criptográficos —necesarios para integrar nuevos bloques a la red— que ya tienen solución, y que puede realizarse sin necesidad de superar en poder de cómputo al resto de los nodos.
Tanto si se trató de una u otra vulneración, lo cierto es que el ataque contra Ethereum Classic constituye la prueba de que blockchain no es invulnerable.
El ataque al blockchain de Ethereum Classic es relevante también dado que —según lo consigna la firma Endeavor en el estudio de 2018 titulado “Blockchain, ¿la promesa de una revolución?”— en América Latina 69% de las empresas que trabajan a través de blockchain lo hacen sobre la plataforma Ethereum. La actual Ethereum y la Ethereum Classic son bifurcaciones de la Ethereum original, luego de que ésta fuera objeto de un ciberataque en 2016. Un hacker encontró una vulnerabilidad en su código, misma que usó para desviar ethers —el token de Ethereum— a su cuenta. La comunidad decidió mayoritariamente hacer el hard fork —que es como se denomina la modificación de la cadena de bloques—, pero un grupo se negó a hacer el cambio en la cadena. Se dio entonces un cisma en la comunidad de Ethereum, y con ello una bifurcación en la blockchain, de la que surgieron Ethereum y Ethereum Classic.
Ante estos hechos, la postura conservadora del Banxico parece menos una resistencia al progreso y más un acto de prudencia necesario. En su circular del 8 de marzo, Banxico señaló que: “En razón de la complejidad de los procesos matemáticos y criptográficos que soportan los activos virtuales, se considera que el usuario puede desconocer alguna vulnerabilidad en dichos algoritmos que, de ser explotada, podría derivar en pérdida total de los recursos invertidos en tales activos”.
Roy Amara, científico y futurista estadounidense, advertía sobre el entusiasmo desbordado con las nuevas tecnologías lo siguiente: “Tendemos a sobrestimar los efectos de una tecnología en el corto plazo y a subestimar su efecto en el largo plazo”. La máxima bien puede aplicarse al caso del blockchain y los criptoactivos, tecnología que se ha desarrollado en los últimos 10 años. Para un sistema que nace con la pretensión declarada de desplazar a los bancos centrales, hecho que implicaría cambios importantes en la estructura económica actual, la idea de someterlo a un periodo de experimentación y prueba de mayor aliento al deseado por sus promotores no parece tan mala. El futuro puede esperar.