Lo que nos dicen $ 10 millones en robos diarios sobre la seguridad criptográfica

Si se encuentra entre el creciente número de personas interesadas en las criptomonedas, es posible que le interese saber que casi 7,000 personas perdieron más de $ 80 millones entre octubre de 2020 y marzo de 2021, un aumento del 1,000% con respecto al año anterior. según la Comisión Federal de Comercio.

Las estafas incluyen cambios de moneda falsos y sitios web de “inversión” falsos que venden la moneda. Más recientemente, más de Se robaron $ 10 millones en varias criptomonedas en los días previos a la aparición de Elon Musk en “Saturday Night Live”.

Y aquí está el problema: no tiene forma de proteger sus cuentas de ningún robo. En el mundo de las criptomonedas, no hay garantías. A diferencia del mundo bancario tradicional, no existe equivalente a la Corporación Federal de Seguros de Depósito para cubrir cualquier pérdida en su cuenta. Si le roban sus bienes, no tendrá suerte.

Permitir el acceso seguro a estos activos de criptomonedas es absolutamente fundamental para prevenir el robo, que, a fines de 2020, ascendía a poco más de $ 10 millones por día – y / o bloqueo de la fortuna potencial de uno.

Pero, ¿cómo puede asegurarse de que las personas siempre puedan acceder a sus cuentas? Eso depende de cómo se configuren inicialmente las cuentas, lo que generalmente significa que se trata de contraseñas u otra autenticación basada en el conocimiento (KBA). Desafortunadamente, las contraseñas simplemente no son adecuadas para proteger cuentas de alto valor porque pueden verse comprometidas fácilmente, ya sea a través de ataques de phishing o robo total.

Además, si tiene una billetera de criptomonedas menos utilizada, es posible que olvide su contraseña inicial y tenga problemas recuperación it – si hay incluso un mecanismo para realizar la recuperación. KBA también está plagada de problemas que van desde la falta de memoria (¿cuál es mi pasatiempo favorito de nuevo?) Hasta la amplia disponibilidad de información “personal” en la web (por unos pocos dólares, seguramente puedes encontrar el apellido de soltera de mi madre).

Se producen adquisiciones de cuentas de criptomonedas con frecuencia creciente; No ayuda que haya pocas relaciones de confianza preestablecidas entre los usuarios y el proveedor de intercambio o billetera y que casi todas las transacciones se finalicen en minutos y no sean fácilmente reversibles.

Lamentablemente, estas adquisiciones utilizan un patrón muy similar al que se ha observado durante años en el mundo bancario tradicional: un atacante primero intentará recolectar y luego rellenar las credenciales robadas. Si eso no funciona, digamos que un usuario ha protegido su cuenta al requerir un segundo factor de SMS, pasarán a técnicas populares para superar los SMS, como Intercambio de SIM o un Servicio de retransmisión de SMS por $ 16 que envía ese código SMS al teléfono inteligente del atacante, lo que conduce a una apropiación de la cuenta “exitosa”.

Incluso los tokens altamente seguros o las aplicaciones de autenticación dedicadas son vulnerables a los ataques de repetición de un pirata informático motivado, y con fortunas personales en juego, no hay falta de motivación.

Además, el gran crecimiento en la cantidad de usuarios de intercambio de criptomonedas, junto con esta necesidad de una ciberseguridad sólida, ha dado como resultado experiencias de soporte terribles en las que los usuarios tienen que esperar semanas o incluso meses para recuperar el acceso a sus propias cuentas, simplemente porque es muy difícil para para demostrar que son los propietarios legítimos.

Las mejores prácticas de autenticación pueden ayudar

Entonces, ¿cómo solucionamos esta situación? Con autenticación de usuario basada en estándares que ha demostrado ser resistente al phishing y adquisiciones de cuentas, y eso ya está integrado en miles de millones de dispositivos en todo el mundo y está disponible para casi cualquier usuario en un navegador moderno. Los protocolos de autenticación FIDO (Fast IDentity Online) fueron desarrollados por un quién es quién de TI, pagos y servicios al consumidor y garantizar que todas las credenciales criptográficas se almacenen en el dispositivo de un usuario, eliminando así incluso los ataques de máquina en el medio más avanzados.

El intercambio de cifrado Gemini fue uno de los primeros en adoptar FIDO tanto para su aplicación para teléfonos inteligentes como para los usuarios de navegadores, con un porcentaje creciente de sus usuarios que protegen sus cuentas con autenticación FIDO mediante la compra de claves de seguridad certificadas por FIDO. Ha habido una serie de otros intercambios que han agregado autenticación FIDO, como Coinbase, que también admite claves FIDO. Binance tiene FIDO para sus versiones web, pero aún no en sus aplicaciones para teléfonos inteligentes. Y STEX también tiene soporte para varios dispositivos y métodos FIDO. Finalmente, Soporte de carteras de hardware de libro mayor FIDO directamente en sus dispositivos.

Idealmente, sería mejor y más efectivo si hubiera una amplia aceptación por parte de la industria de las criptomonedas del enfoque de FIDO para la autenticación moderna y la adopción de varias mejores prácticas relacionadas, tales como:

Estandarice los flujos y las prácticas de autenticación en los intercambios de cifrado. Una mejor autenticación del usuario debería ser una práctica estándar para todos los intercambios, no un diferenciador competitivo. Si todos los intercambios líderes adoptaran las mejores prácticas de la industria para la creación, el inicio de sesión y la recuperación de cuentas, ayudaría a proteger a los clientes y a sus criptoactivos colectivos.

Exigir a los usuarios que inscriban múltiples autenticadores para ayudar con la recuperación de la cuenta para cada intercambio de criptomonedas., ya sean dos llaves de seguridad FIDO o una llave de seguridad FIDO y un autenticador biométrico. Tener varias claves de recuperación de cuenta para cada intercambio de criptomonedas ayudará a reducir las cargas de soporte y ayudará a los usuarios que pierden un dispositivo. También ofrecerá a los usuarios una selección de opciones de autenticación más sólidas.

Eliminando opciones de copia de seguridad y recuperación menos seguras, como el uso de SMS u otros factores de autenticación basados ​​en el conocimiento, también ayudará a mejorar la seguridad general, particularmente para la recuperación de cuentas.

La conclusión es que para que el mercado de las criptomonedas alcance su máximo potencial, sus intercambios deben lograr colectivamente un equilibrio entre el anonimato y la privacidad que hacen que las criptomonedas sean únicas con la seguridad de las cuentas y los activos. Seguir el ejemplo de los intercambios de cifrado como Gemini y permitir que los usuarios bloqueen sus cuentas es un gran paso para proteger a los usuarios contra el phishing y la apropiación de cuentas, manteniendo la privacidad y la conveniencia.

Andrew Shikiar es CMO y director ejecutivo de The FIDO Alliance, que promueve el desarrollo, el uso y el cumplimiento de los estándares de autenticación y certificación de dispositivos.