Mientras el rumor del ‘Spyware’ de TikTok se esparce, la seguridad de las aplicaciones de criptomonedas está en el enfoque

En las últimas semanas, TikTok se ha encontrado con problemas de seguridad. Primero, fue cancelado en la India junto con 58 aplicaciones chinas por “robar y transmitir secretamente los datos de los usuarios de forma no autorizada”. Más tarde, se convirtió en un objetivo importante para la administración de Trump con el telón de fondo de la vacilante relación de Estados Unidos con China e incluso se prohibió para los empleados de Wells Fargo y Amazon, que más tarde se retractaron de la noticia diciendo que no tenían la intención de prohibir el uso de TikTok.

Mientras que la censura de los hábitos de recolección de datos de TikTok parece provenir principalmente de razones geopolíticas – sus críticos más severos acusan a la aplicación de ser un spyware para el Partido Comunista de China – algunas investigaciones sugieren que TikTok no es muy diferente de las aplicaciones occidentales en términos de privacidad y seguridad, siendo el escándalo de los datos de Facebook-Cambridge Analytica el ejemplo más claro.

Parece seguro decir que en este punto, los datos de los usuarios se han convertido en el principal producto para las principales aplicaciones, pero ¿cómo están las cosas con las populares aplicaciones de criptomonedas?

Cripto y ciberseguridad

La ciberseguridad sigue siendo un punto débil importante para las criptomonedas y la tecnologñia Blockchain. Cada año, los hackers consiguen extraer sumas cada vez mayores de dinero de los exchanges de criptomonedas e inversores ignorantes, mientras que la propia tecnología y la emergencia de las monedas de privacidad han permitido a los delincuentes permanecer relativamente anónimos.

La recolección de datos, sin embargo, es un asunto ligeramente diferente. A diferencia de los hackeos, cae en un área de regulación más gris. “Datos privados” es un término general bastante abstracto, y normalmente los usuarios consienten en la recopilación de datos cuando descargan una aplicación y aprueban sus términos y condiciones. Sin embargo, a menudo no se dan cuenta de qué tipo de datos han permitido que esta aplicación acceda – y a veces es mucho más que su dirección de correo electrónico y su ubicación aproximada.

“Las aplicaciones para móviles suelen ser muy ‘minuciosas’ en lo que se refiere a la publicidad dirigida”, dijo Hartej Sawhney, el director general y cofundador de la agencia de seguridad cibernética Zokyo Labs, en una conversación por correo electrónico con Cointelegraph. Continuó diciendo: “Muchas aplicaciones rastrean a los usuarios incluso cuando su aplicación móvil no está en uso. Además, incluso hay preocupación por las aplicaciones que acceden al micrófono de su teléfono”.

De hecho, una historia algo similar ocurrió con Binance recientemente. A principios de este mes, el usuario de Twitter Sherpa publicó una captura de pantalla de un emisor de certificados en un tuit, mostrando que los permisos solicitados por el principal exchange de criptomonedas en su aplicación para Android incluyen el acceso a la cámara y la capacidad de grabar audio. En ese momento, el jefe de seguridad de Binance le dijo a Cointelegraph que la cámara se utiliza durante el proceso de verificación KYC, subrayando que “el código desarrollado internamente en la aplicación de Binance definitivamente no utiliza el micrófono”.

Más tarde, el CEO de Binance, Changpeng Zhao, dijo que le pidió a su equipo que revisara el código, aclarando a Cointelegraph que Binance eligió eliminar el permiso de grabación de audio y “mantener los otros permisos requeridos al mínimo, para la paz mental de nuestros usuarios”.

CZ también compartió una lista de permisos de la versión actualizada de la aplicación, que parecía mucho más orientada a la privacidad en comparación con las capturas de pantalla publicadas por Sherpa. Además, Zhao subrayó que Binance no vende datos de usuario “de ningún tipo, como el empaquetado de datos KYC junto con análisis de la Blockchain“.

La recopilación de datos y las escasas ramificaciones de la seguridad

Como CZ le dijo anteriormente a Cointelegraph, las aplicaciones con acceso a los datos del usuario representan la mayor amenaza para la seguridad de los usuarios porque pueden robar potencialmente sus claves privadas. “La mayoría de las aplicaciones de criptomonedas que piden su llave privada pueden simplemente robar sus fondos, y usted confía en que no lo hagan“, confirmó a Cointelegraph Harry Halpin, el CEO la mixnet privada Nym Technologies, añadiendo: “Cualquier servicio de custodia puede obviamente robar su criptomoneda.”

El robo de monedas es uno de los principales riesgos asociados a las aplicaciones de criptomonedas, y en particular a las wallets. Alex Heid, el jefe de investigación y desarrollo de la compañía de seguridad de la información SecurityScorecard, añadió en una conversación con Cointelegraph:

“Se ha sabido que los atacantes utilizan malware, repositorios de desarrolladores comprometidos e ingeniería social para obtener la wallet y las claves privadas de usuarios vulnerables. Ejemplos de ello han tenido lugar en el pasado, como con la actual plaga de aplicaciones fraudulentas en las tiendas de aplicaciones móviles, el ataque a las wallets de Copay a través de una biblioteca de JavaScript comprometida en 2018, y el ataque a los servidores de mensajería del nodo Electrum en 2019”.

¿Son las aplicaciones de criptomonedas generalmente más seguras?

¿Son las aplicaciones de criptomonedas diferentes del software convencional en lo que respecta a la recopilación de datos? Las opiniones de los expertos están divididas. “La naturaleza de las aplicaciones de criptomonedas es muy similar a la de otras aplicaciones financieras en muchos aspectos“, argumentaba Heid, explicando: “A menudo se pide a los usuarios que proporcionen información de identificación para el cumplimiento del KYC/AML. Ha habido casos en el pasado en que los datos KYC/AML han sido obtenidos por atacantes de hackeos exitosos contra servicios de criptomonedas“.

Matt Senter, cofundador y director de tecnología de la aplicación de recompensas con Bitcoin Lolli, dijo a Cointelegraph que “el incentivo para mentir, engañar y robar es mucho mayor en las aplicaciones de Bitcoin que en las aplicaciones tradicionales“, pero advirtió que “los usuarios deberían estar alerta para todo tipo de aplicaciones”.

Halpin dijo que se “sorprendería” si las aplicaciones de criptomonedas no tuvieran más malware y vigilancia que otras aplicaciones, dado que las criptomonedas tienen que lidiar con el dinero. “El envío de criptomonedas a un ledger público permite a cualquiera espiar su transacción“, añadió.

Brian Kerr, el director ejecutivo de la plataforma de préstamos Kava Labs, dijo a Cointelegraph que está “mucho más preocupado por los datos que se comparten desde aplicaciones de fintech como Robinhood y aplicaciones de comunicación empresarial como Zoom que por los datos de las aplicaciones de trading con criptomonedas“.

¿Cómo estar seguro?

Pero, ¿cómo puede uno mantenerse seguro cuando usa aplicaciones de criptomonedas? Senter cree que conocer los fundamentos de las criptomonedas es una necesidad cuando se trata de usar aplicaciones industriales o tratar con activos digitales en general. Senter se refirió al reciente hackeo de Twitter como un ejemplo:

“Los usuarios que no entienden cómo funciona Bitcoin están en peligro de perderlo todo. Vimos un ataque en Twitter recientemente donde la gente fue engañada para que entregara sus fondos a una dirección al azar. Aunque no es una aplicación de Bitcoin, el ataque a Twitter pone de manifiesto una falta de comprensión”.

Según Senter, las aplicaciones de criptomonedas que no tienen una interfaz fácil de usar para guiar a sus clientes a través de la verificación de transacciones “dejan a los no iniciados preguntándose si sus fondos están seguros“. También hay aplicaciones que lucen parecidas, advirtió, señalando que estas son amenazas “fácilmente mitigadas por la educación en Bitcoin y la buena seguridad operacional“.

Sin embargo, “es casi imposible para un usuario revisar la privacidad y seguridad de una aplicación“, argumentó Halpin de NYM Technologies, añadiendo: “Incluso los desarrolladores a menudo construyen tecnología que creen que es segura y privada, y lo estropean“. También es muy escéptico en cuanto a la suposición de que las aplicaciones descentralizadas ofrecen más seguridad en comparación con las soluciones desarrolladas por empresas centralizadas, al menos en su estado actual:

“¿Es más seguro confiar su aplicación a un grupo de personas al azar que a un solo tercero? Para que la descentralización funcione, necesitamos una mayor responsabilidad y una descentralización real. La mayor parte de lo que veo en el espacio Blockchain es el teatro de la descentralización”.

Como resultado, Halpin concluyó que es mejor tomar el consejo de “terceros de buena reputación” como académicos o empresas industriales que tienen un buen historial de encontrar y arreglar vulnerabilidades antes de que los fondos o datos personales de sus usuarios se vean comprometidos.

Sigue leyendo: