Federico Fariola, CEO de Phemex, notó que 'demostrar que realmente eres tú se ha vuelto cada vez más difícil'. Así expresó una preocupación creciente que atraviesa la industria de criptomonedas - una preocupación que va mucho más allá de los contratos inteligentes o los errores de infraestructura.
Habló en un panel de discusión recientemente junto a Ian Rogers, Director de Experiencia del Cliente en Ledger, y Dmitry Budorin, cofundador y CEO de Hacken, una empresa de ciberseguridad, y explicó cómo las amenazas de seguridad en criptomonedas se manifiestan en la realidad. Las herramientas cambian debido a la inteligencia artificial, pero la vulnerabilidad sigue estando en las personas - en cómo se comunican entre sí, en sus decisiones rápidas y en a quién eligen confiar.
Gran parte de esto se debe a los comportamientos diarios. A través de plataformas y billeteras, prevalece un entendimiento común de que las rutinas formulan cómo ocurren los incidentes. Esto se traduce para Federico Fariola directamente en cómo las plataformas diseñan sus operaciones, introduciendo ciertos obstáculos y gestionando la interacción de las personas con las billeteras, las plataformas sociales y las identidades en la blockchain.
Más valor, objetivos más grandes
En el inicio de la discusión, Federico abordó una pregunta que la industria sigue planteando constantemente: ¿la vulnerabilidad de las criptomonedas aumenta en términos de seguridad, o simplemente los atacantes se han vuelto más hábiles?
Federico Fariola dijo que se puede afirmar que este año es el peor en la historia de los delitos cibernéticos, y que el próximo año será aún peor. Y explicó que la razón no es que hayamos vuelto menos eficientes en la seguridad, sino porque el valor ha aumentado. Y cuando hay un mayor valor, la recompensa se vuelve más grande, y cuanto más grande es la recompensa, mayor es el número de personas que intentan apoderarse de ese valor.
Explica que a medida que crece el sector de las criptomonedas, los incentivos para los atacantes aumentan. Fariola señaló que esto crea un estado de desequilibrio constante, donde las capacidades de los atacantes a menudo superan las defensas, especialmente en períodos de mercados alcistas.
Federico Fariola dijo que probablemente estamos viviendo un período de transición donde las capacidades ofensivas crecen más rápido que los medios de protección. Y en cada ola de aumentos de precios, surgen personas con una lógica convincente que justifican acortar los procedimientos de seguridad, o la laxitud en la protección de las claves privadas, o ambas, y siempre la historia termina con un resultado único.
Rogers compartió un ejemplo simple para ilustrar el punto. Incluso personas con mucha experiencia en criptomonedas, incluidos aquellos profundamente involucrados en el desarrollo de billeteras, han caído víctimas de enlaces convincentes compartidos a través de plataformas como Discord o a través de billeteras de navegador. Señaló que la experiencia ayuda, pero no elimina la necesidad de una permanente cautela.
Cuando la identidad se convierte en el punto débil
Fariola identificó que el mayor cambio que ve radica en cómo se llevan a cabo los ataques.
Federico Fariola dijo que estos atacantes reciben una buena financiación, y a veces con el apoyo de países, y se mueven a una velocidad difícil de igualar. Y explicó que al mismo tiempo, las herramientas que todos usamos, como la inteligencia artificial y la automatización, son una espada de doble filo. Si podemos usarlas, los atacantes también pueden usarlas. Los ataques sociales se han vuelto más complejos. Ha llegado al punto de hacer suplantación de identidad y usar su imagen en llamadas de video para intentar estafar a inversores o socios comerciales.
Ian Rogers reafirmó la misma idea desde la perspectiva de las billeteras de hardware, señalando que muchos ataques hoy en día se centran más en la psicología que en la tecnología. Para Fariola, esto coincide con lo que las plataformas están observando realmente: convencer a las personas a menudo es más fácil que hackear sistemas.
Rogers dijo en la sesión que cualquiera de nosotros puede caer en la trampa. Incluso dentro de equipos de trabajo experimentados en el mundo de las criptomonedas, a menudo la mezcla de familiaridad, urgencia y la ingeniería social diseñada cuidadosamente es suficiente para superar las prácticas de seguridad más rigurosas.
Realidad del intercambio: frío, caliente y humano
Federico separó cautelosamente entre garantías y suposiciones desde el punto de vista del intercambio.
Federico dijo que lo que garantizamos a los usuarios debe ser completamente inquebrantable, y esa es la billetera fría. Esto es algo no negociable. Las billeteras calientes, por definición, representan un riesgo inherente porque siempre están conectadas a Internet.
Estos riesgos aumentan durante períodos de alta actividad del mercado.
Federico dijo que cuando hay un mercado alcista, los usuarios esperan que las billeteras calientes estén llenas. Se mueven rápidamente, a menudo con grandes cantidades, especialmente en altcoins. Las exigencias de los usuarios son extremadamente urgentes.
Esta presión genera tensión. Los usuarios demandan rapidez y comodidad. Pero la protección a menudo requiere la existencia de ciertos obstáculos.
Federico dijo que debes añadir capas de obstáculos para proteger los fondos, sin importar lo que los usuarios quieran. De alguna manera, terminas teniendo que resistir un poco los deseos de los usuarios.
Esto refleja una realidad incómoda para los intercambios, pero Federico cree que es algo inevitable si las plataformas están serias acerca de la protección a largo plazo más que de la satisfacción inmediata del usuario.
¿Qué te enseña la experiencia?
Durante la sesión, Fariola mencionó brevemente un incidente de seguridad que afectó a Phemex el año pasado.
Fariola dijo que una de las lecciones más importantes para nosotros fue darnos cuenta de que somos un objetivo más grande de lo que pensábamos.
Resume el punto más importante aprendido sobre las personas.
Fariola dijo que no valoramos lo extendidos que están los ataques de phishing y la ingeniería social, y cómo apuntan primero a los niveles más bajos de la estructura, como pasantes, diseñadores y personas que no se consideran el centro de la seguridad, y luego escalan a roles más importantes.
Dmitry Budorin explicó esto con una metáfora directa sobre cómo funcionan estos ataques, comparando el phishing con la pesca. Incluso si el pez no es lo suficientemente tonto como para caer en el anzuelo de plástico, explicó que los momentos de rutina o distracción a menudo son suficientes para que los atacantes tengan éxito. En sus palabras, el peligro radica en la inevitabilidad de caer.
Esta forma de pensar se alinea con cómo Fariola aborda la protección.
Fariola dijo que no es suficiente que los ingenieros o ejecutivos sean cautelosos, sino que cada persona en la organización debe comprender los riesgos a los que se enfrenta. Incluso el pasante más bajo debe estar completamente consciente de la situación.
Budorin fue más allá, argumentando que el objetivo principal en muchos casos no es el pequeño empleado, sino el ejecutivo mismo. Las figuras públicas, los fundadores y los ejecutivos a menudo son objeto de ataques directos debido a su visibilidad y autoridad en el sector.
Después del incidente, Phemex reforzó las medidas de seguridad en todos los niveles, pero el cambio más grande ocurrió internamente.
Las clases sociales y las clases financieras no se mezclan
Federico Fariola dijo que el cripto es una industria extremadamente social. Los tokens no fungibles, las redes sociales y Telegram – todas estas plataformas crean objetivos para los ataques.
Federico criticó particularmente cómo las personas manejan informalmente las interacciones sensibles en entornos que nunca fueron diseñados para ser seguros.
Fariola afirmó que Telegram, en particular, es una de las peores plataformas en términos de gestión de seguridad, pero que se considera el estándar para la forma en que se comunica la industria.
También expresó su incomodidad con las tendencias crecientes sobre el seguimiento de billeteras y la atribución pública.
Fariola aclaró que no le gusta esta tendencia de rastrear billeteras de personas específicas. Siente que esto va en contra del espíritu del cripto. Pero la realidad es que cuanto más exitoso seas en esta industria, más grande serás un objetivo, y deberás destinar más recursos para protegerte.
La descentralización cambia las economías de los ataques
Fariola mira hacia el futuro y ve que la descentralización y la custodia propia de las billeteras son parte de un cambio más amplio en cómo evoluciona la seguridad en el cripto.
Fariola afirmó que a medida que la descentralización se adopta como un estándar más, la carga de la seguridad se distribuye en más puntos vulnerables. Los hackers tendrán que atacar a los individuos uno a uno en lugar de encontrar solo un punto de falla.
Esto no elimina el riesgo. Más bien, lo redistribuye.
Fariola ve que las plataformas dex y las plataformas descentralizadas imponen sus propios desafíos. La regla es solo el código. No puedes detener la cadena. Nuevos riesgos surgirán. Pero cree que eso es en general un resultado positivo para la industria.
Esto requiere que los intercambios se adapten en lugar de resistirse.
Fariola enfatizó que las plataformas centralizadas no desaparecerán, pero debemos evolucionar. El modelo de seguridad también debe cambiar con el comportamiento de los usuarios.
Qué criptomonedas resistirán en cinco años
Federico Fariola mira hacia el futuro y no describe el desafío como un punto que el cripto puede simplemente 'resolver' y superar.
Fariola afirmó que la inteligencia artificial será el mayor desafío, y agregó que la computación cuántica añadirá otro nivel de peligro en el futuro.
Cuando se le preguntó si la inteligencia artificial ayudaría a los defensores tanto como a los atacantes, Fariola respondió claramente: lamentablemente, creo que mejora las capacidades de los atacantes más que la seguridad de los usuarios.
Fariola ve este período como un momento de madurez para la industria. El cripto atrae talentos técnicos fuertes, y la seguridad se convierte en parte de cómo las empresas operan y se comunican diariamente. En sistemas diseñados para reducir la dependencia de la confianza, el enfoque ahora se traslada a entender dónde reside la confianza y gestionarla conscientemente.