Ha habido un crecimiento significativo en las organizaciones que implementan tecnología blockchain privada. Pero a pesar de su reputación, es esencial no asumir que la cadena de bloques es segura solo porque depende de la criptografía. Se debe aplicar y revisar un diseño de seguridad apropiado con controles que aborden el riesgo aceptable de una organización antes de implementar blockchain en un entorno de producción.
He tenido varias conversaciones con personas en conferencias y eventos sobre esta tecnología, y muchos comienzan a hablar de Bitcoin o Ethereum de inmediato, pero estas no son cadenas de bloques privadas, son cadenas de bloques públicas. He observado que muchas personas no saben que las criptomonedas son solo una aplicación de la tecnología blockchain. Es esencial saber la diferencia entre los dos.
Una cadena de bloques pública no requiere permiso y cualquiera puede unirse a la red y participar en la cadena de bloques. La mayoría de las criptomonedas de las que escucha en las noticias o lee en las redes sociales son cadenas de bloques públicas y están abiertas para que otros las lean y escriban en ellas. Además, las transacciones completadas en una cadena de bloques pública suelen ser inmutables y están disponibles para que otros las vean.
Una cadena de bloques privada se basa en permisos y utiliza controles de acceso configurados para restringir quién puede participar en la red. Solo los miembros de la red sabrán acerca de otros participantes.
Con una cadena de bloques privada, cualquier organización podría implementar su cadena de bloques y controlar qué transacciones se agregan a la cadena. Por supuesto, debe ser un sistema seguro, pero seguirá estando basado en la confianza de la autoridad centralizada o el tercero que lo administra.
Adopción creciente de cadenas de bloques privadas
Muchas organizaciones de Fortune 500 están en proceso de planificar una implementación o han implementado una cadena de bloques privada dentro de su red. Según Fortune Business Insights, Se prevé que el mercado de la cadena de bloques crezca de 7180 millones de dólares estadounidenses en 2022 a 163 830 millones de dólares estadounidenses en 2029.
Las empresas se han dado cuenta de que las cadenas de bloques privadas son evolutivas y han implementado esta tecnología dentro de sus procesos comerciales. Muchas de estas empresas utilizan Hyperledger Fabric para desarrollar su cadena de bloques privada. Hyperledger Fabric es una plataforma/marco de código abierto para crear un libro mayor distribuido privado administrado por la Fundación Linux.
Hay una serie de casos de uso emergentes para blockchains privados en la actualidad. Muchas organizaciones de atención de la salud están comenzando a utilizar la tecnología blockchain privada para ayudar a los médicos, pacientes y proveedores de seguros a transferir información médica confidencial de forma segura mediante contratos inteligentes para definir los parámetros de intercambio.
En tecnología, la cadena de suministro de software puede mejorar los procesos de transacción de la cadena de suministro al aumentar la claridad y la trazabilidad de las transacciones con una cadena de bloques privada. Las empresas que tienen acceso al libro mayor pueden ver datos sobre las transacciones anteriores. Este hecho aumenta la responsabilidad y reduce el riesgo de transacciones falsificadas.
Una empresa de minería de diamantes usó una cadena de bloques privada para verificar la autenticidad de los diamantes y garantizar que no sean diamantes de sangre o que no provengan de fuentes sancionadas específicas.
En el futuro, espero ver más bancos asociados para desarrollar cadenas de bloques de consorcio para acelerar el tiempo de transacción y la verificación cuando los titulares de cuentas necesitan transferir fondos de un banco a otro. Es esencial tener en cuenta que esto no necesariamente involucraría criptomonedas, sino que podría involucrar la transferencia estándar de la moneda de una nación específica.
Vulnerabilidades de la cadena de bloques privada
Hay muchas ventajas en una cadena de bloques privada sobre una pública, como una velocidad de transacción más rápida, la capacidad de revertir transacciones y un menor consumo de energía y energía. Aún así, no tiene una ventaja cuando se trata de seguridad. Por lo general, es menos seguro y más propenso a ataques, filtraciones de datos y manipulación. Como resultado, es mucho más fácil para los malos actores poner en peligro toda la red.
Los operadores privados de blockchain deben decidir cómo resolver el problema de las credenciales de identificación perdidas, particularmente para los sistemas que administran activos físicos. Bitcoin y Ethereum no brindan ningún recurso para aquellos que han perdido sus claves privadas y, si se pierden, es casi imposible recuperarlas. En casos recientes, los inversores han perdido sus claves privadas y no pueden acceder a millones de dólares en ganancias de sus inversiones.
En una cadena de bloques privada, los propietarios pueden decidir si revertir una transacción verificada y en qué circunstancias, especialmente si esa transacción parece ser un robo. Además, solo una organización puede leer y escribir en el libro mayor. En muchos casos, pueden eliminar un bloque. Por esta razón, las cadenas de bloques privadas pueden ser más susceptibles a los ataques, mientras que en una cadena de bloques pública, ninguna autoridad puede eliminar los bloques ni revertir las transacciones.
Cómo proteger su red privada de cadena de bloques
Aquí hay seis pasos que las organizaciones deben considerar para asegurar su solución privada de blockchain.
- Utilice el concepto de privacidad por diseño en la fase inicial de diseño. Al utilizar este enfoque, tendrá en cuenta la gestión, retención y eliminación de datos en las primeras etapas del diseño. Tendrá en cuenta los requisitos reglamentarios, como el RGPD y otras leyes de privacidad relevantes para los datos. Es importante tener en cuenta que adoptar este enfoque puede afectar el tipo de datos que se pueden almacenar en la cadena debido a los requisitos reglamentarios. Aún así, cuanto antes pueda determinar esto, mejor, ya que puede asegurarse de tener un diseño óptimo para implementar en producción. Este enfoque identificará cualquier servicio fuera de la cadena en el que se basará su cadena de bloques privada y garantizará que se apliquen los controles apropiados para abordar cualquier riesgo. Por ejemplo, si utiliza un proveedor externo para la validación de datos y ese proveedor es pirateado, su cadena de bloques privada quedará expuesta.
- Complete una evaluación de riesgos antes de la implementación. Trabaje con unidades comerciales relevantes dentro y fuera de TI para asegurarse de haber identificado el riesgo aceptable de implementar una cadena de bloques privada dentro del entorno. Asegúrese de que existan controles para proteger los datos con un nivel de riesgo residual aceptable para el negocio. Es esencial obtener aportes de todas las partes interesadas.
- Realice periódicamente una revisión de riesgos de terceros de proveedores y usuarios en la cadena de bloques. No confíe en nadie que se conecte a su cadena de bloques y asegúrese de que sus requisitos de conectividad estén documentados y revisados periódicamente. Esto es muy importante en una cadena de bloques privada, ya que existe la posibilidad de que los datos se eliminen o modifiquen, y no desea que se conecten fuentes inseguras que puedan explotar esta vulnerabilidad.
- Contar con un sólido proceso de gestión de claves. La implementación de un proceso de administración de claves seguro, escalable y resistente es extremadamente importante. Esto incluiría la copia de seguridad de claves, la gestión/rotación automatizada de claves, los requisitos de gestión de claves exigidos y, posiblemente, el hardware para almacenarlos. La protección de estas claves es esencial para salvaguardar los datos y el entorno, y cualquier acceso no autorizado a las claves podría romper el cifrado. Esto podría causar problemas importantes si un atacante le robara la clave privada a la autoridad central.
- Continúe aplicando controles de seguridad de nivel de producción a su cadena de bloques privada. Por ejemplo, asegúrese de que la protección de firewall, la autenticación de dos factores, el monitoreo de integridad de archivos, los controles de seguridad de puntos finales, etc., se apliquen a su cadena de bloques privada. No asuma que, dado que está encriptado, los controles de seguridad estándar son innecesarios; Debido a que el entorno no es una cadena de bloques pública, debe evitar cualquier modificación no autorizada de los datos.
- Utilice un proveedor de ciberseguridad de confianza para auditar y revisar su diseño y controles. Esto incluye pruebas de penetración, evaluaciones de seguridad, auditorías de contratos inteligentes, revisiones de código fuente y auditorías de infraestructura de blockchain. Una organización confiable solo debe hacer esto con recursos experimentados. Sería mejor hacer esto antes de implementar una cadena de bloques privada en el entorno de producción. Esto se puede usar periódicamente para identificar cualquier brecha en el diseño y preparar la infraestructura para amenazas emergentes o agentes automatizados.
Seguir estos pasos puede aumentar el tiempo antes de implementar una aplicación de cadena de bloques privada. Aún así, vale la pena asegurarse de que sus datos estén protegidos mientras ayuda a evitar que una organización tenga que retrasar una implementación de producción debido a problemas de seguridad.
La aplicación de estas medidas de protección puede ayudar a reducir el costo gastado si la organización fuera pirateada o si los socios o clientes en la cadena de bloques privada perdieran la confianza en la red.
Artículos recientes por autor
