Desde el 2010, aproximadamente 1.300 millones de dólares han sido robados por piratas informáticos de casas de cambio de criptomonedas. Con una cifra tan alarmante, el razonamiento común llevaría a pensar que los intercambios cada día fortalecen y mejoran sus protocolos de seguridad para proteger el dinero de sus usuarios. Sin embargo, un reciente informe de ICO Rating reveló que la realidad dista bastante de esto.
ICO Rating es una agencia de investigación y análisis cuyo objetivo es desarrollar estándares de evaluación claros para las Ofertas Iniciales de Moneda (ICO, por sus siglas en inglés) y asignar clasificaciones basándose en una escala transparente y estandarizada.
En su último informe, esta organización decidió analizar a los exchanges de monedas digitales, encontrando que el 54% de ellos poseen medidas de seguridad por debajo del mínimo deseado. Esto quiere decir que solamente 46% de las casas de cambio en todo el mundo cumplen con los requisitos mínimos de seguridad para asegurar un óptimo funcionamiento.
Para la investigación, se tomó un grupo de muestra de 100 intercambios que tuviesen un volumen de transacción de, por lo menos, 1 millón de dólares cada 24 horas. Por lo tanto, se evaluaron a exchanges bastante populares entre la comunidad criptográfica; lo cual hace que las cifras anteriores sean aún más alarmantes.
El estudio tomó en cuenta cuatro aspectos fundamentales para evaluar a estas casas de cambio: errores de consola, seguridad de la cuenta del usuario, seguridad de Protocolos Web y registrador y seguridad de dominio.
Errores de consola
Aunque generalmente esto no es producto de ataques hechos por ciberdelincuentes, los errores de consola han ocasionado pérdida de datos de las casas de cambio de criptomonedas causados por problemas de codificación.
La investigación descubrió que 32% de los intercambios tienen errores de código que conducen a un mal funcionamiento operativo y son aprovechados por los piratas informáticos.
Seguridad de la cuenta del usuario
Este es, seguramente, el punto más importante para los clientes de estos exchanges, ya que está relacionado directamente con ellos y la seguridad de sus cuentas.
Para realizar el estudio, los investigadores de ICO Ratings crearon un usuario en cada una de las casas de cambio para examinar la seguridad de las contraseñas, la verificación por correo electrónico y medidas 2FA (autenticación de dos factores que solicita a los usuarios con un dispositivo separado su registro).
Los resultados fueron los siguientes: 41% permite crear una contraseña de menos de 8 caracteres, la cual es considerada insegura. El 37% deja que sus usuarios creen sus contraseñas utilizando solo letras o dígitos numéricos, sin exigir la combinación de ambos, lo cual también se considera como un error de seguridad.
Más preocupante aún, 5% de las casas de cambio permiten que sus clientes creen contraseñas sin verificación de correo electrónico; y 3% no poseen medidas 2FA, las cuales son consideradas como un aspecto fundamental para la protección de los fondos.
Seguridad de Protocolos Web
Para este punto, los investigadores de apoyaron en WebSec by HT Bridge y así poder examinar con mayor eficacia el nivel de seguridad de los Protocolos Web. Se probaron los encabezados HTTPS en URL, los encabezados de protección X-SXX, encabezados de opciones de fotograma x, encabezados de políticas de seguridad de contenido y encabezados de tipo x contenido.
El 29% de los intercambios no utilizó ninguna de las anteriores medidas de seguridad y solo 17% contaban con encabezado de política de seguridad de contenido. Nada más 10% de las casas de cambio estudiadas utilizaron las 5 medidas de seguridad recomendadas.
Registrador y seguridad de dominio
En este punto se consideran varios factores, como el bloqueo de registro que evita que cualquier persona que se comunique fuera de la banda con el registro realice algún cambio en el dominio, además del bloqueo del registrador que evita el secuestro del dominio, y la exigencia de más de un código de autorización para acceder al dominio.
Aunque se recomiendan que el período de caducidad de los dominios no sea mayor a 6 meses y que sean usados junto al DNSSEC, que autentica todas las consultas de DNS con firmas criptográficas para evitar corrupción del caché, los analistas descubrieron que solo 4% de los exchanges seguían todas las recomendaciones, mientras que 2% solamente usaban bloqueo de registro y 10% una DNSSEC. Sin embargo, la buena noticia es que ningún intercambió descuidó totalmente los 5 parámetros.
Los mejores y peores
Al final del informe, ICO Ratings expone una lista con los mejores y perores intercambios a nivel de seguridad. Los 3 mejores fueron Coinbase Pro, Kraken y BitMEX. Mientras que los últimos lugares fueron ocupados por Tidex, Allcoin y OKCoin.cn.
