Twitter fue Hackeado con Tecnología Blockchain

La ley de Murphy dice: "Todo lo que pueda salir mal saldrá mal". Siempre sucede con los servicios centralizados. Hace un año, vimos como medio millón de cuentas de Facebook fueron filtradas en línea, exponiendo datos personales. Lo veremos muchas veces más con otros servicios. El reciente hackeo de Twitter subraya esto una vez más. Las cuentas de Elon Musk, Bill Gates, Jeff Bezos, Kanye West, Kim Kardashian, Mike Bloomberg, Joe Biden, Barack Obama, entre otros, fueron hackeadas para llevar a cabo una oferta fraudulenta con Bitcoin (BTC).

Escribiendo para la BBC, el comentarista de seguridad cibernética, Joe Tidy, opinó: "El hecho de que tantos usuarios diferentes hayan sido comprometidos al mismo tiempo implica que esto es un problema con la propia plataforma de Twitter". Todas las cuentas eran vulnerables; era sólo una cuestión de elección para los hackers: Usar celebridades es mejor para "respaldar" estafas.

El problema es que incluso si Twitter o cualquier otro servicio con una arquitectura similar continúa construyendo los muros de ciberseguridad alrededor de su sistema, se volverá más complicado y costoso, pero no más seguro. El paradigma actual de servicios centralizados no puede ofrecer una solución más segura para la autenticación de los usuarios.

Recientemente he escrito sobre nuevas tecnologías que podrían proteger los datos y la identidad digital, utilizando el ejemplo de Australia y la experiencia europea, y sobre la forma en la que los certificados de clave pública podrían protegerse con la tecnología blockchain contra la denegación de servicio distribuida y los ataques de intermediarios (man-in-the-middle). Aunque mi análisis fue bastante técnico y exhaustivo, tal vez sería mejor dar un paso atrás y examinar algunos detalles generales pero pertinentes que podrían mejorar la protección de los datos.

He aquí algunos términos que puedes utilizar cuando le pregunte a su proveedor de servicios, a su tienda en línea o a su gobierno si están protegiendo sus datos personales:

  • Identificadores descentralizadoso DID, es un marco general del W3C con varios métodos para crear y gestionar identificadores personales de forma descentralizada. En otras palabras, los desarrolladores de servicios en línea no necesitan crear algo nuevo si quieren utilizar el potencial de las tecnologías descentralizadas. Pueden utilizar estos métodos y protocolos.
  • El protocolo de revelación selectivao SDP, que fue presentado el año pasado en el EOS Hackathon por el cofundador de Vareger, Mykhailo Tiutin, y su equipo, es un método descentralizado para almacenar datos personales (utilizando DIDs) con protección criptográfica en una cadena de bloques. Con los DID, el usuario puede revelar piezas de información cuidadosamente seleccionadas en cualquier transacción particular.
  • La identidad autosoberana, o SSI, es un concepto que, en términos sencillos, permite a los usuarios ser los propietarios soberanos de sus datos personales y de su identidad, y no terceros. Implica que puede almacenar datos personales en su dispositivo, no en el servidor de Twitter o de cualquier otra persona. Para ilustrar el poder del concepto de SSI, piense en esta declaración: Es más fácil piratear un sistema centralizado que almacena millones de cuentas que piratear millones de dispositivos personales. Pero el tema es mucho más profundo. Si alguna vez nos enfrentamos a una dictadura digital, la raíz de este problema será la ausencia del derecho a controlar y prohibir a terceros (incluido el gobierno) que almacenen y operen sus datos personales. El terrible experimento con los uigures en China es un ejemplo de ello. Los ciudadanos no tienen el derecho legal de decir no al gobierno que recoge sus datos personales. Por supuesto, el gobierno chino creó cuentas sin su consentimiento para obtener registros de lo que considera un comportamiento inapropiado.

Para poner las cosas en perspectiva, pasemos a una situación hipotética.

Caso de uso: Alice y su identidad digital

Alice genera su par criptográfico: una clave privada y pública. La clave privada encripta las transacciones, utilizando una firma digital; la clave pública las descifra. La clave pública se usa para verificar si Alice inició sesión, firmó el contrato, firmó la transacción de blockchain, etc.

Para proteger la clave privada, la almacenará en un dispositivo de hardware seguro con protección PIN, por ejemplo, en una tarjeta inteligente, un token de autenticación USB o una billetera de criptomoneda de hardware. Sin embargo, una dirección de criptomoneda es una representación de una clave pública, lo que significa que Alice puede usarla como su billetera de monedas y tokens.

Aunque la clave pública es anónima, también puede crear una identidad digital verificada. Ella puede pedirle a Bob que certifique su identidad. Bob es una autoridad certificadora. Alice visitará a Bob y le mostrará su identificación. Bob creará un certificado y lo publicará en una cadena de bloques. "Certificado" es un archivo que anuncia al público en general: "La clave pública de Alice es válida". Bob no lo publicará en su servidor de la misma manera que otras autoridades certificadoras tradicionales lo hacen ahora. Si un servidor centralizado alguna vez es deshabilitado por un ataque DDoS, nadie podría confirmar si la identidad digital de Alice es válida o no, lo que podría hacer que alguien robe su certificado y falsifique su identidad. Esto sería imposible si el certificado o al menos su suma hash se publicaran en la cadena.

Con una identificación verificada, puede realizar transacciones oficiales, por ejemplo, registrar una empresa. Si Alice es emprendedora, puede publicar sus contactos, como un número de teléfono. Usar una cadena de bloques es una opción más segura porque cuando los datos se publican en las redes sociales, un pirata informático puede ingresar a una cuenta y reemplazarla para redirigir las llamadas a otro número. Nada de esto sería posible en una cadena de bloques.

Si Alice va a una licorería, puede usar su DID verificado. El vendedor, Dave, usará su aplicación para verificar y confirmar el DID de Alice en lugar de su identificación en papel. Alice no necesita revelar su nombre y fecha de nacimiento. Ella compartirá con la aplicación de Dave su identificador, que Bob certificó, su foto y un declaración "Por encima de 21 años"Dave confía en este registro porque Bob es una autoridad certificadora.

Alice puede crear varios seudónimos para compras en línea, redes sociales e exchanges de criptomonedas. Si pierde su clave privada, le pedirá a Bob que actualice su registro en la cadena de bloques para anunciar que "la clave pública de Alice no es válida". Por lo tanto, si alguien lo robó, todos los que interactúen con su clave pública sabrán que no deben creer las transacciones firmadas con esta clave.

Por supuesto, este es un escenario simplificado, pero no es poco realista. Además, algunos de estos procesos ya existen. Por ejemplo, la tarjeta de residencia electrónica de Estonia no es más que una tarjeta inteligente con la clave privada del usuario. Con esta tarjeta, puede registrar remotamente una empresa en Estonia o incluso firmar contratos. Al estar integradas en un mercado más grande, las firmas digitales de Estonia son reconocidas en toda la Unión Europea. Desafortunadamente, sus gobiernos aún no protegen los certificados en blockchains.

El conocimiento es poder. Los usuarios deben saber que su ciberseguridad no solo está en sus manos, como se podría decir. Los gigantes del software y las redes sociales deberían hacer el cambio para mejorar los estándares de seguridad, y los usuarios deberían exigirlo.

Compartir

Todas las marcas registradas son propiedad de la compañía respectiva o de Publinet Solutions. Se prohibe la reproducción total o parcial de cualquiera de los contenidos que aquí aparezca, así como su traducción a cuaquier idioma sin autorización escrita de su titular.