Internet evoluciona rápidamente y la world wide web (WWW o Web) está experimentando una transición a lo que muchos llaman “Web 3.0”, un término que aún es poco claro. Si pasas suficiente tiempo buscando en Google encontrarás muchas interpretaciones sobre qué es, sin embargo, muchas personas están de acuerdo con que la Web 3.0 está siendo impulsada por las criptomonedas, la tecnología de blockchain, aplicaciones descentralizadas y el almacenamiento descentralizado de archivos.
Las innovaciones de Web 3.0 incluyen la experiencia inmersiva de 3-D conocido como Metaverso o Metaverse, un ambiente de realidad virtual donde la gente puede explorar, comprar, jugar, pasar el tiempo con amigos que están lejos, asistir a un concierto o tener una reunión de negocios. El Metaverso es la siguiente red social a la que se acudirá continuamente, donde la identidad de los usuarios está directamente vinculada con las carteras de criptomonedas, que son usadas para conectarse, almacenar y administrar los activos digitales (criptomonedas, tokens, coleccionables, etc.). Dado que las criptomonedas tienen más de 300 millones de usuarios a nivel global y una capitalización de mercado de millones de millones de dólares, no es de extrañar que los ciberdelincuentes estén gravitando hacia el espacio de la Web 3.0.
Es por ello, que esta nueva versión de la red alberga una serie de desafíos y riesgos de seguridad únicos. Algunas de las amenazadas son simplemente nuevos giros de viejos ataques como nuevas formas de phishing o ingeniería social diseñada para separar a los usuarios del contenido de sus carteras de criptomonetas. Otros retos de seguridad son exclusivos de la tecnología que impulsa 3.0, como jugar trucos inteligentes en cómo se almacenan y perciben los datos del blockchain.
Cómo llegamos a la Web 3.0?
La web se ha convertido en la más grande y valiosa fuente de información en el mundo, aunque no empezó así. Para quienes conocimos la web original (Web 1.0) en la década de 1990, las páginas estaban en desarrollo y era común encontrar sitios con la leyenda “en construcción”. A principios del año 2000 pasamos a la Web 2.0, la web como plataforma, donde los usuarios interactúan con aplicaciones construidas desde la red y no dentro de la computadora, además de que vimos innovaciones como aplicaciones de redes sociales, sitios de subastas, blogs y otro tipo de espacios donde el usuario comparte información.
La Web 3.0 se funda en el blockchain
Uno de los avances tecnológicos principales que impulsaron la Web 3.0 ha sido la criptomoneda y su tecnología de blockchain. Una cadena de bloques funciona como un libro de registro público que tiene las anotaciones de las transacciones históricas. Teniendo un hash de la transacción o la dirección de una cartera de criptomonedas, cualquiera puede examinar las transacciones que se hayan realizado anteriormente.
Además de las direcciones de la cartera es posible que se encuentren direcciones de “contratos inteligentes”. Es decir, de un programa informático implementado en un blockchain. Una vez desplegado, el programa establece un estado inicial y los usuarios interactúan usando transacciones en blockchain. De esta forma, si alguien establece un contrato inteligente, por ejemplo a través de Etherium blockchain, se envía un código compilado en la transacción. Sin embargo, si al momento de escribir los códigos se comete un error tipográfico, esto generará un bug en el programa que puede ser usado por los atacantes para robar información y llevar a cabo su ciberataque. De hecho, algunas de las mayores pérdidas en el espacio de Web 3.0 han sido porque los hackers han aprovechado errores de los contratos inteligentes.
Preocupaciones de seguridad al entrar en la Web 3.0.
La nueva tecnología de Web 3.0 puede ser divertida y emocionante, donde se están invirtiendo grandes cantidades de recursos, lo que ha atraído la atención de desarrolladores, usuarios y cibercriminales por igual. En Talos nos hemos percatado de algunos problemas de seguridad que han llamado nuestra atención:
• Nombres de dominio que no pertenecen al dueño, por ejemplo bancos o marcas reconocidas, donde los usuarios caen en el engaño.
• Ataques de ingeniería social que llevan al robo de identidad o extorsión.
• Clonación de carteras.
• Apropiarse del seed phrase —la llave privada de un usuario que contiene entre 12 y 24 palabras— de otras personas a través de diversas artimañas.
• Estafar usando whale wallets, que son cuentas de alto perfil con muchas criptomonedas o valores NFT. Los pequeños inversionistas siguen los pasos realizados por los whale wallets y los cibercriminales los detectan a través de ingeniería social para realizar sus ataques.
• Contratos inteligentes maliciosos.
• Fingir la procedencia de una NFT.
• Engañar a los usuarios, por ejemplo, simulando una venta para solicitar acceso a la cartera de las personas.
Tips para mantenerse a seguro en la Web 3.0
A pesar de que la tecnología Web 3.0 no ha evolucionado aún para ofrecer un metaverso con todas las funciones, hay muchos desarrollos tecnológicos Web 3.0 en marcha. Algunos elementos a considerar de esta nueva tecnología son:
• Practique los buenos fundamentos de la seguridad. Elija contraseñas sólidas y use multifactores de autenticación (MFA) como Cisco Duo. Si le es práctico, utilice un administrador de contraseñas, segmente sus redes, registre la actividad de la red y revise esos registros. También asegúrese de examinar las direcciones de internet, dominios ENS y de la cartera de criptomoneda para buscar errores tipográficos ingeniosamente ocultos y nunca dé click a ligas que reciba a través de redes sociales o correo electrónico que no haya solicitado.
• Proteja su seed phrase o frase semilla. No la comparta con nadie, incluso como código QR. Las carteras de criptomonedas son cada vez más usadas para la identificación y personalización del contenido del metaverso, así que si pierde su seed phrase perderá el control de su identidad y de todas sus pertenencias digitales.
• Piense en utilizar una cartera en hardware. Un buen defensor le dirá que los sistemas de seguridad más robustos utilizan muchas y diferentes capas de seguridad. Usar una cartera en hardware añade otra capa de seguridad a su criptomoneda/NFT, ya que deberá conectar el dispositivo, ingresar el pin o contraseña y aprobar o rechazar cualquier transacción que involucre la dirección de su cartera.
• Investigue su compra. Si planea comprar o acuñar NFTs, busque la dirección del contrato inteligente y confirme si el código fuente está publicado. Un código no publicado es una señal de alerta. Busque información de los desarrolladores y asegúrese que está comprando el proyecto correcto en el blockchain correcto. Si tiene dudas, considere usar una dirección de cartera recién generada que tenga los fondos exactos para el activo digital que desea comprar, de esta forma, si algo malo sucede, no perderá todo el contenido de su billetera principal de criptomonedas.
Jaeson Shultz, Líder técnico del Grupo de Investigación e Inteligencia en Seguridad en Cisco Talos