Tecnología blockchain y ciberseguridad. Una visión crítica

La tecnología blockchain puede resumirse de manera simple: una cadena enlazada de bloques que facilita la verificación de los mismos de manera distribuida, dificultando en gran medida su modificación de manera maliciosa. La tecnología blockchain permite la creación de bases de datos distribuidas con propiedades robustas de almacenamiento, transmisión y verificación de la información.

La percepción sobre el futuro de esta tecnología desata opiniones encontradas. Desde ser el Santo Grial que puede aplicar y solucionar gran parte de los problemas tecnológicos actuales, hasta las personas más escépticas que rechazan cualquier cosa que incluya la palabra blockchain.

En este artículo que desde el Cybersecurity Lab de i4S publicamos ahora, y en una serie de posts que enlazamos para ampliar información, mantenemos una visión crítica de la tecnología blockchain, pero realzando que existen escenarios específicos, en sectores concretos para casos de usos particulares, en los que esta tecnología podría facilitar nuevos mecanismos de comunicación más seguros y flexibles, sobre todo en aquellos casos que se acerquen más a su naturaleza de uso: una base de datos distribuida fácilmente verificable y difícilmente modificable por actores maliciosos.

Por tanto, si la tecnología blockchain es útil o no dependerá del escenario concreto bajo estudio y del caso particular donde se desee aplicar. En nuestro caso, en este artículo intentamos aproximarnos a dar respuesta a una aparente sencilla pregunta: ¿es útil la tecnología de blockchain en el mundo de la ciberseguridad?

No es una pregunta baladí. En este artículo se quiere dar una respuesta parcial a esta cuestión desde un enfoque práctico. No vamos a analizar su futuro, sino su presente en base a las propuestas de criptomonedas/token existentes, y a partir de ellos intentar predecir o estimar el futuro de la tecnología blockchain en el campo específico bajo estudio. Propuestas que usan y se basan en blockchain y que aplican o pretenden aplicar de algún modo al mundo de la ciberseguridad. Lógicamente, no es un respuesta final pero nos permitirá entender mejor cómo están madurando las propuestas de blockchain aplicadas a ciertos escenarios típicos del mundo de la ciberseguridad y analizar si tienen o no recorrido.

Esta aproximación inicial comienza con una serie de inconvenientes no fáciles de superar (y que condicionarán parte de la información reflejada actualmente en nuestros artículos). La documentación de las propuestas/proyectos/criptomonedas bajo estudio a menudo es incompleta, las implementaciones deficientes o inexistentes y la definición de arquitectura, protocolos o propuestas criptográficas insuficiente y, por tanto, carentes de análisis rigurosos de seguridad y ataques sobre las mismas (no solo análisis de ataques criptográficos), así como de la posibilidad de efectuarlos en detalle.

En cualquier caso, y con el objetivo claro de arrojar más luz sobre la cuestión que nos ocupa en este artículo, en las últimas semanas nuestro esfuerzo se ha centrado en entender mejor las propuestas actuales. Muchas de ellas están centradas en cuatro ámbitos de acción: propuestas de servicios de autenticación basados en blockchain, propuestas de servicios de verificación de identidad digital basado en blockchain, propuestas de privacidad sobre blockchain y diversos mecanismos de seguridad informática y protocolos de comunicación usando blockchain. Aunque existen otros dominios interesantes de análisis en el trabajo actual destacamos estos cuatro por su interés destacado en ámbitos comerciales, corporativos y de impacto social.

Nuestro proceso de análisis actual puede resumirse muy bien en los siguientes gráficos que hemos creado:

infografía
Figura 1. Ecosistema de proyectos de ciberseguridad usando tecnología blockchain

En la Figura 1 puede observarse el interés actual en el campo de la ciberseguridad en estos cuatro escenarios concretos. En este ecosistema puede destacarse diferentes propuestas más o menos interesantes que intentan resolver de la mejor manera alguna problemática actual en el campo de la privacidad, autenticación, identidad digital o seguridad informática en general. Es significativo el impulso de desarrollo de estas tecnologías por países, destacando fundamentalmente EE.UU y China, así como es reseñable el interés creciente de los desarrolladores de estos proyectos en soluciones que faciliten privacidad, cubriendo posteriormente otros aspectos relacionados con autenticación, identidad y, finalmente, su aplicación a otros ámbitos del mundo de la seguridad informática.

Queda claro que blockchain debería ser visto como algo más allá de una cadena enlazada de bloques con un objetivo de uso concreto. Las propuestas para la validación y verificación de la información publicada en la cadena y la robustez de las mismas ante modificaciones maliciosas es enorme, tanto en variedad de algoritmos criptográficos, habitualmente algoritmos criptográficos de resumen (hash), como en los procedimientos de consenso para validar o insertar una información en la cadena. En la Figura 2, resumimos algunos de los más importantes para las criptomonedas/token que aplican al campo de la ciberseguridad.

Infografía
Figura 2. Algoritmos criptográficos y procedimientos de consenso para validación de información en proyectos de blockchain.

Una nota reseñable en las propuestas analizadas, y recogidas en la Figura 1, es su capacidad para desarrollar e implementar una nueva arquitectura o basarse en la de terceros. Es destacable como existen pocas propuestas que desarrollen nuevos esquemas basados en la filosofía de blockchain. La mayoría de los proyectos analizados en el campo de la ciberseguridad se apoyan en bitcoin o en el token ERC20 de Etherum.

Blockchain aplicado a ciberseguridad. Casos de estudio

Con toda esta información previa vamos a destacar un ejemplo concreto de proyecto (criptomoneda/token) que aplica a alguno de los cuatro escenarios que hemos analizado. Desde i4S Labs hemos elaborado una serie de artículos adicionales para ampliar el nivel de detalle. Su lectura es necesaria para comprender las conclusiones posteriores y la visión global que planteamos.

Conclusiones. El futuro de blockchain aplicado a la ciberseguridad

La percepción sobre el futuro de la tecnología blockchain desata opiniones encontradas. Nuestra percepción actual, que hemos intentado respaldar en este artículo a partir del análisis de casos específicos, destaca algo que debería ser evidente. La tecnología blockchain no es una solución mágica para cualquier problema, debe ser tratada y particularizada para escenarios específicos donde se permita evaluar y cuantificar sus ventajas reales frentes a propuestas previas y, lógicamente, esto puede limitar mucho su aplicación a usos reales.

Si la tecnología blockchain revoluciona o no sectores específicos es una cuestión que se observará en los próximos años. Por tanto, para conocer si su aplicación a un escenario concreto es posible se necesita de análisis de escenarios donde su aplicación práctica esté lo más avanzada posible. En este sentido, en este artículo, por la importancia del sector específico, se ha pretendido responder a una pregunta sencilla: ¿es útil la tecnología blockchain en el campo de la ciberseguridad? Después de nuestro análisis la respuesta es clara: con el entorno actual solo es posible encontrar una respuesta parcial que quizás pueda ayudarnos a entender un poco mejor el futuro de esta tecnología con una aplicación real “limitada”, aunque interesante en casos específicos.

Nuestro estudio, aun existiendo otras propuestas privadas y públicas que utilizan blockchain y que deberían ser abordadas, se ha centrado en criptomonedas por entenderlas como el mejor exponente de desarrollo colectivo y sobre todo de propuestas públicas que pueden hacer un uso más o menos extendido de tecnologías basadas en blockchain. Dado el sector de la ciberseguridad, hemos centrado el interés más específico en sectores de gran utilidad en el campo de la seguridad informática, como son los procesos de autenticación, verificación de identidad digital, privacidad y seguridad en protocolos de comunicación.

De nuestro análisis se puede destacar varias conclusiones reseñables:

1. Las principales propuestas analizadas que aplican al campo de la ciberseguridad están pocos desarrolladas, con ideas quizás prometedoras pero apoyadas en implementaciones vagas, carencia de información técnica de bajo nivel y análisis de seguridad que, derivado de lo anterior, son deficientes. Todo esto ha condicionado en gran medida la información recogida y expuesta en el presente artículo y permite afirmar que, al menos desde el foco de análisis empleado y su estado actual, su aplicación al campo de la ciberseguridad parece limitado.

2. La buena noticia es que se han detectado propuestas muy interesantes que pueden tener aplicación real, ejemplos como Civic o Emercoin, en ámbitos como la seguridad de protocolos de comunicación o la verificación de identidad digital. Siempre con dos factores en común. Por un lado, la tecnología blockchain se utiliza como elemento complementario, añadido a un sistema o arquitectura más global que típicamente estará basada en procedimientos más tradicionales.

Por otro lado, todos los ejemplos interesantes desde el punto de vista de la seguridad utilizan la tecnología blockchain como una base de datos que permite verificación distribuida, y este elemento es el fundamental. Si compensa o no este complemento frente a otras propuestas de bases de datos de acceso distribuido dependerá de las condiciones de seguridad previas que disponga en su acceso, modificación y verificación, así como la evaluación del coste y despliegue de las mismas. En cualquier caso, es una cuestión que debe ser analizada caso por caso y que puede justificar inversión de recursos en esta dirección.

3. El desarrollo de propuestas basadas en blockchain en su aplicación al campo de la ciberseguridad deja ventajas derivadas de efectos secundarios. La utilización de nuevos esquemas de validación de información (consenso de algoritmos) o nuevos esquemas con algoritmos criptográficos de hash o combinación de estos podrían ser aplicados a otras propuestas de ciberseguridad no relacionadas con blockchain. Esta ventaja indirecta, de por sí, es de gran interés.

La conclusión, por tanto, es clara. Las propuestas más realistas analizadas, aunque nos dan una visión parcial, al cubrir un subconjunto de criptomonedas, permite concluir que en el campo de la ciberseguridad, con la tecnología blockchain, existen ejemplos particulares que pueden tener una aplicación real que justifica seguir vigilando, desarrollando e investigando propuestas en esta dirección.

La cantidad de recursos dedicados en su avance y su utilidad final dependerá claramente de encontrar un caso de uso donde poder compararla con propuestas existentes y poder evaluar sus ventajas globales (técnicas y económicas) con análisis rigurosos en seguridad. Ejemplos como Civic o Emercoin, con las evoluciones y evaluaciones técnicas oportunas, muestran que, aunque minoritaria, la tecnología blockchain podría encontrar un hueco en el campo de la ciberseguridad.

Hasta entonces seguiremos atentos a los avances porque al final como diría Lao Tse: “Todo viaje, por largo que sea, siempre empieza por un solo paso” ;).

Para cualquier duda, comentario, corrección o para saber dónde enviarnos un café podéis contactar con nosotros en la dirección de email: labs@i4s.com o por Twitter en @i4ssecurity.

Este artículo está escrito por el Dr. Alfonso Muñoz – Head of Cybersecurity Lab (@mindcrypt)
I4S Security Lab – Blueindico- BBVA Group.

Imagen: Shutterstock