Desde el repentino crecimiento y popularización de Bitcoin como sistema financiero factible, hemos sido testigos de innumerables ataques a diferentes servicios de intercambio, pudiendo nombrarse a Flexcoin, Poloniex y el gigante Mt. Gox como los primeros que sobrevienen la memoria. Ante las frecuentes fallas de implementación imposibles de pasar por alto, es que surgen interrogantes sobre las potenciales razones subyacentes que conducen a continuar construyendo sistemas susceptibles a ataques para el soporte de transacciones con esta moneda.
Si tomamos algunos minutos para repasar conceptos básicos de seguridad, entenderemos que la misma se encuentra cimentada sobre dos facetas complementarias: la prevención de la brecha y la reacción a la misma. Los sistemas de detección de intrusos y el diseño de planes de contingencia sólo nos ayudan a completar la mitad del trabajo. Sin embargo, es esa mitad del trabajo sobre la cual hoy en día reposa la arquitectura de los sistemas de seguridad.
Los procesos actuales de producción de código no son infalibles a la inclusión de vulnerabilidades y poco pueden hacer ante la naturaleza evolutiva del software. La prevención no es suficiente, y la mayor parte de las organizaciones invierten altas sumas en el desarrollo de estrategias de detección y mitigación robustas.
Es en este contexto que Bitcoin viene a romper el paradigma moderno. El marco legal que otorga confiabilidad a las instituciones bancarias que ofrecen servicios de e-commerce, con la posibilidad de revertir transacciones fraudulentas y la imposición de la ley sobre los atacantes, se quiebra ante Bitcoin haciendo de la prevención la piedra angular en su modelo de seguridad.
Si un atacante irrumpe un servidor con claves privadas, los bitcoins pueden ser robados inmediatamente, y más aún, irremediablemente. Además, un bitcoin robado continúa manteniendo su valor, y aunque han sido propuestas numerosas maneras de impedir su cobro mediante análisis de taint tracking, las mismas abren intrincados debates en cuanto sus implicaciones tanto técnicas como políticas.
Aquellos responsables por la manutención de este tipo de servicios parecieran subestimar el rol crítico que cumple la seguridad en Bitcoin, y así vemos, por ejemplo, implementaciones basadas en bases de datos NoSQL de primera generación con un pobre manejo de concurrencia y ninguna garantía ACID (atomicidad, coherencia, aislamiento y durabilidad).
La seguridad informática es un terreno que aún no se ha desarrollado lo suficiente como para poder asentarse únicamente en la implantación de medidas preventivas, por lo que es justo suponer otros muchos ataques a Bitcoin a corto y mediano plazo en manos de agresores persistentes y motivados por la posibilidad de lucro.
El desafío consistirá entonces en la creación de mecanismos que nos permitan la construcción de sistemas seguros desde su misma modelización, elevando quizás el nivel de seguridad en un mundo de interredes, mejorando las prácticas actuales y contribuyendo así al logro de un estado de seguridad superior.