Crédito:CC0 Public Domain
Un nuevo tipo de ciberataque que puede inutilizar la tecnología blockchain puede convertirse en un gran dolor de cabeza para las organizaciones que dependen de él.
Conocido como "envenenamiento de la privacidad", "el ataque implica cargar datos privados, como nombres, direcciones y números de tarjetas de crédito, o material ilegal, como la pornografía infantil, en una cadena de bloques, por lo tanto, poner la red en conflicto con las leyes locales. El resultado es que la cadena afectada con todos sus datos contenidos no se puede utilizar a menos que se tomen medidas costosas y que requieran mucho tiempo.
Blockchain es un libro de contabilidad digital de transacciones que se ejecutan en una red de computadoras sin una autoridad reguladora o de gobierno centralizada. Está dirigido por quienes lo usan. La tecnología está siendo explorada cada vez más por bancos y empresas de servicios financieros, gobiernos y empresas emergentes por su potencial para mejorar la eficacia de los sistemas de pago al tiempo que se reducen los costos.
Un factor en el aumento de la intoxicación por blockchain es la introducción de fuertes leyes de privacidad de datos, como el Reglamento General de Protección de Datos de la Unión Europea. o GDPR, y la Ley de Privacidad del Consumidor de California, o CCPA. Ambos permiten a los consumidores solicitar que los datos personales en poder de una empresa sean eliminados o borrados.
Este es un problema para los sistemas blockchain porque están diseñados para evitar cambios en transacciones pasadas, y no existe una autoridad central encargada de corregir los problemas. Las llamadas cadenas de bloques públicas, como las que sustentan las criptomonedas como bitcoin y ether, corren mayor riesgo porque cualquiera puede participar. Los participantes en blockchains privados deben ser invitados y validados por el iniciador de la red.
Bart Willemsen, analista de la firma de investigación Gartner Inc., dijo que el doble golpe del envenenamiento de la privacidad y las leyes de privacidad afectarán especialmente a las cadenas de bloques públicas.
Willemsen estimó que para 2022, tres de cada cuatro cadenas de bloques públicas sufrirán un envenenamiento de la privacidad:datos personales insertados que hacen que la cadena de bloques no cumpla con las leyes de privacidad. Las empresas que deseen implementar la tecnología deben determinar si alguno de los datos que se utilizan está sujeto a las leyes de privacidad. dijo en una entrevista.
Bajo GDPR, los derechos de privacidad individuales incluyen el "derecho al olvido, "lo que significa que cualquier dato personal que aparezca públicamente tendría que ser eliminado.
"Las organizaciones que implementan sistemas blockchain sin gestionar los problemas de privacidad por diseño correrán el riesgo de almacenar datos personales que no se pueden eliminar sin comprometer la integridad de la cadena, "según un informe de Gartner.
Willemsen citó una historia, que admitió que puede ser apócrifo, de una reunión de la Comisión Europea donde un participante pagó una pizza en bitcoin y los destinatarios pensaron que sería divertido inmortalizar el momento poniendo sus nombres en campos de texto que se pueden escribir en la blockchain de bitcoin.
"De hecho, siempre serías recordado, y ahí radica exactamente el problema, "Dijo Willemsen.
Estos campos de texto en cadenas de bloques públicas son indelebles. Willemsen señaló que lo que constituye información personal abarca muchas cosas, desde nombres hasta referencias únicas que se remontan a un individuo.
Willemsen dijo que los clientes de Gartner han tenido problemas similares, aunque se negó a discutir las circunstancias, citando acuerdos de confidencialidad.
Indeleble versus borrable Además de la ley de California, legislación similar, con fuertes protecciones de privacidad del consumidor, está pendiente en Nueva York, Nueva Jersey y Washington.
Las empresas que buscan utilizar blockchain como una solución segura pueden querer repensar, dijo Jenny Leung, un abogado con Blakemore, Caer sobre, García Rosini &Russo en Nueva York.
Ella señaló que el 1 de enero, 2020, la CCPA otorgará a los consumidores de California el "derecho a borrar", que es similar al derecho al olvido del GDPR, ya que permite a las personas solicitar a las empresas que eliminen cualquier dato personal que hayan almacenado. Pero la información almacenada en una cadena de bloques no se puede borrar, lo que puede provocar que las empresas tengan problemas con la ley si han lanzado u organizado el servicio basado en blockchain, ella dijo.
La única forma de eliminar los datos puede ser mediante un elaborado proceso de "reforma", que mueve toda la red a un nuevo conjunto de datos e invalida el conjunto anterior.
Las cadenas de bloques privadas son un poco más resistentes al envenenamiento de la privacidad, aunque puede ocurrir. En esos casos, cualquier empresa que todavía esté conectada al libro mayor puede obligar a todos los participantes a unirse en una "bifurcación dura" para borrar los datos infractores. O las cadenas de bloques privadas pueden obligarlos a dejar de operar o destruir todas las copias de claves privadas para hacer que los datos cifrados sean permanentemente inaccesibles. Dijo Leung.
Este proceso se vuelve demasiado caro y complicado para las cadenas de bloques públicas, ella dijo. Se pueden necesitar cientos de millones de dólares para alquilar suficientes equipos de minería criptográfica para alterar la red u orquestar una bifurcación dura convenciendo a la mayoría de que se mueva a una nueva cadena que no contenga los datos afectados.
"No es algo que quieras hacer cada vez que quieras eliminar algo, "Dijo Leung." Es costoso y requiere mucho tiempo ".
Además de los ataques maliciosos, Willemsen señaló que muchos casos probablemente serán causados por errores humanos y un mal diseño de procesos. No importa según el RGPD si una cadena de bloques expuso datos personales inocentemente a través de un error, él dijo.
Una vez que el envenenamiento de la privacidad se generalice, Willemsen dijo que espera que sucedan varias cosas. La primera es que las personas continuarán ignorando las prácticas de privacidad de la misma manera que lo hacen con otros tipos de ciberseguridad. Las herramientas de piratería automatizadas pueden surgir de ciertas comunidades en línea para apuntar a cadenas de bloques públicas expuestas o para inutilizar los sistemas de la competencia. él dijo.
Las empresas interesadas en utilizar un libro mayor público pueden optar por cadenas de bloques privadas, dijo Randi Eitzman, analista senior de búsqueda de amenazas con FireEye iSIGHT Intelligence, un servicio de investigación y análisis de amenazas de ciberseguridad.
Las cadenas de bloques son, en última instancia, "solo un costoso almacenamiento de datos centralizado, ", Dijo Eitzman en una respuesta enviada por correo electrónico a las preguntas." Las empresas que buscan un almacenamiento seguro de datos podrían evitar usarlos dependiendo de su análisis de costo-beneficio, but a simple solution would be to avoid storing any sensitive customer information on a blockchain."
Regarding attacks on public blockchains, Eitzman noted that easy-to-use tools that allow anyone to write and store data on-chain, such as Bitstagram, a mobile application that lets users upload their smartphone photos to a blockchain, ya existe. With such tools, it wouldn't take much for someone to upload illegal content, ella dijo.
"The benefit of a public ledger is that all transactions are easily viewable and can be tracked, " she said. "Anyone who stores sensitive or illegal content on-chain is doing so at their own risk."
©2019 CQ-Roll Call, C ª., Reservados todos los derechos
Distribuido por Tribune Content Agency, LLC.