• Home /

  • /

  • Nuevo sello de calidad en ciberseguridad para empresas con tecnología blockchain

Ciberseguridad

Nuevo sello de calidad en ciberseguridad para empresas con tecnología blockchain

4 minutos

Blockchain

La compañía española de ciberseguridad S2 Grupo ha lanzado junto a Cryptonics un sello de calidad pionero en ciberseguridad en la tecnología blockchain de las empresas. Cryptonics es una Spin-off del mencionado grupo especializada en servicios y tecnología de la Información y ubicada en Valencia.

Bajo el nombre de Enterprise Blockchain Security Specification (EBSS), el objetivo es establecer una guía de buenas prácticas en este campo con el fin de implementar la seguridad en la tecnología Blockchain para ciberproteger adecuadamente sus negocios y organizaciones.

El EBSS se concentra en las pautas generales y las políticas operativas que deberían estar en vigor en una empresa que adopta la tecnología de ledger distribuida de la forma más segura posible.

Para ello, ambas compañías han anunciado la creación del Enterprise Blockchain Security Council (EBSec), una alianza abierta de empresas con un interés compartido en la adopción segura de sistemas blockchain y  DLT (Distributed Ledger Technology, registros de transacciones distribuidos).

Por el momento, forman parte de esta alianza empresas de referencia internacional en el sector como son Solidified, empresa de auditoría de contratos inteligentes y de una plataforma bug bounty (programa de recompensas) que se especializa en auditorías de contratos inteligentes, y PARSIQ, líder en análisis de blockchain y especializada en la monitorización en tiempo real de activos digitales implementados en esta tecnología. 

“Hasta ahora no existían estándares ni certificaciones de calidad en blockchain y cada vez son más las empresas que la utilizan. Esto dejaba un vacío en la ciberprotección de las empresas que hemos decidido cubrir con la creación de este sello de calidad pionero, que permitirá poder seguir una guía de buenas prácticas para la ciberprotección de blockchain”, ha explicado José Rosell, socio-director de S2 Grupo.

"Las blockchain están protegidas por criptografía avanzada que muchas veces se cree, erróneamente, que es irrompible con la tecnología actual. Esto significa que, en teoría, los activos digitales almacenados en libros de contabilidad distribuidos deberían ser extremadamente seguros. Sin embargo, hemos visto cómo los incidentes de ciberseguridad conducen al robo de activos de manera constante", ha declarado Miguel A. Juan, socio-director de S2 Grupo.

“Prácticamente, cada semana nos encontramos con incidentes importantes o se revelan nuevas vulnerabilidades. La aparente inseguridad del espacio público de las blockchain ha empezado a afectar la reputación de la tecnología de contabilidad distribuida y, por tanto, obstaculiza gravemente la adopción empresarial. Esto hace que empresas e industrias enteras no vean con claridad cómo utilizarla y, por tanto, es fundamental disponer de estándares que permitan hacerlo de forma cibersegura”, ha afirmado Stefan Beyer, CEO de Cryptonics.
 

Los tres puntos débiles en DLT

Los especialistas enciberseguridad de S2 Grupo y Cryptonics señalan los principales puntos débiles de ciberseguridad de la tecnología ledger:

1.- Cambio de paradigma: las empresas tienen que lidiar con nuevos paradigmas de seguridad a los que no están acostumbradas y carecen de directrices de buenas prácticas. Los sistemas descentralizados de blockchain se diferencian de los sistemas de TI tradicionales en que la seguridad de los activos ya no es un concepto centralizado, en el que los datos y otros recursos están encerrados en un servidor de caja negra en un escenario de tipo bóveda. Ahora, los activos están protegidos de forma transparente por protocolos criptográficos, claves criptográficas gestionadas por el usuario e incluso mediante reglas complejas en contratos inteligentes.

2.- Las malas prácticas: estas son muy frecuentes en todos los sistemas, pero el impacto es peor en sistemas transparentes y descentralizados que dependen de la seguridad de las claves privadas.

3.- Falta de seguridad de los sistemas de información convencionales: los libros de contabilidad distribuidos y los contratos inteligentes son solo una pequeña parte de las aplicaciones típicas de blockchain. Por lo general, hay varias capas de software convencionales, que incluyen interfaces web, API, el software de nodo y las bases de datos. En muchos incidentes, el sistema es atacado a través de vulnerabilidades de los software tradicionales, no a través de la tecnología blockchain. 

El EBBS creado por S2 Grupo y Cryptonics ha nacido por la necesidad de directrices generales de seguridad que las empresas puedan utilizar para aplicar un estándar mínimo de seguridad en sus operaciones. La especificación no pretende reemplazar las normas de seguridad existentes, como ISO / IEC 27001: 2013. Tampoco ofrece medidas de seguridad de bajo nivel para proporcionar código seguro, ya existen otras recomendaciones que cubren tecnologías específicas. Sin embargo, el EBSS se centra en las pautas generales y las políticas operativas que deberían estar en vigor en una empresa que desee adoptar la tecnología de ledger distribuida de forma cibersegura”, ha asegurado Stefan Beyer.

El ISO/IEC 27001 es un estándar para la seguridad de la información (Information technology - Security techniques - Information security management systems - Requirements) aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Comission. En el año 20123 sufrió algunas modificaciones, entre ellos la inclusión de un nuevo dominio sobre "Relaciones con el Proveedor" por las crecientes relaciones entre empresa y proveedor en la nube.