-
Lo sucedido recientemente con Coinomi y Bitmain representan casos de extorsión.
-
Una falla canalizada en Ledger sirvió para resguardar los fondos de millones de usuarios.
El hallazgo de vulnerabilidades en los códigos de programación es algo recurrente dentro de las startups que hacen vida en el ecosistema construido alrededor de los criptoactivos o de cualquier rama de la economía digital. Los desarrolladores muchas veces las detectan luego de realizar exhaustivas pruebas, pero también hay quienes las encuentran por casualidad.
Los errores en los proyectos relacionados con criptoactivos son de alto riesgo debido a que están en juego los fondos de millones de usuarios en monederos, casas de cambio o hasta en equipos de minería. La difusión responsable y canalizada de las fallas puede interpretarse como una acción de buena fe, en la que el programador alerta directamente a la empresa para que tome acciones lo antes posible.
Muchas de estas compañías promueven la búsqueda y detección de errores, entre los desarrolladores independientes, para mejorar sus productos o servicios. Como incentivo, los programadores son recompensados en caso de que la falla sea verídica y se haya canalizado de acuerdo al protocolo establecido.
Un caso reciente en el que un programador actuó de esta manera fue el de Sergey Lappo, quien encontró una falla en la cartera fría Ledger Nano S. El desarrollador halló el error en noviembre del 2018. Sin embargo, no fue sino hasta febrero cuando Lappo reveló detalles de su hallazgo. La empresa resolvió el problema en enero de este año y agradeció públicamente a Lappo por colaborar con la seguridad de su producto.
En este ejemplo hay que resaltar que el ingeniero de software no divulgó enseguida el hallazgo y alertó a Ledger sobre lo que estaba sucediendo. Es decir, colaboró para que el problema fuera solucionado, antes de generar una suerte de pánico colectivo si difundía el error por su cuenta y no directamente a Ledger.
Información restringida
En la otra orilla se ubican los desarrolladores que están movidos por otros intereses. Algunos de estos podrían ser: obtener reputación por descubrir fallas y difundirlas públicamente, hacerse con un nombre dentro el ecosistema y sacarle provecho económico.
Su comportamiento tiende a minimizar las consecuencias de publicar información restringida, o peor aún, exigir rescate por ella. Así ocurrió la semana pasada cuando el equipo de la cartera de multi-activos, Coinomi, emitió un comunicado en el que señaló que no negociaba con chantajistas.
La respuesta de Coinomi llegó luego que un usuario, identificado como Warith Al Maawali, reportara una supuesta falla en su servicio. La empresa afirmó que Al Maawali se negó a revelar más detalles sobre su hallazgo y amenazó con hacerlos públicos si no se cancelan 17 bitcoins.
Un caso similar, aunque sin exigir dinero, fue reportado en febrero cuando dos investigadores de seguridad encontraron una falla en el firmware de los Antminer S15 de Bitmain. En esta oportunidad los involucrados exigían que la empresa liberara el código del software para que otros usuarios pudiesen estudiar y modificar los mineros de forma independiente.
Generación de errores
Es importante acotar que muchas veces los errores se generan debido a que las compañías lanzan productos o servicios sin realizar las pruebas suficientes o sencillamente porque no fueron detectados por sus equipos de trabajo. Es ahí cuando entran en juego los programas de recompensas para que terceras partes reporten cualquier novedad que se presente.
Sea cual sea el motivo que mueva a los programadores, las decisiones que toman afectan directamente, para bien o para mal, a la comunidad que utiliza criptoactivos. Al estar relacionados con el tema de la seguridad y el manejo de fondos, hay un interés creciente para que los usuarios se sientan más seguros y que los programadores contribuyan a incentivar esta tranquilidad.
A pesar de que las compañías ensayan nuevas fórmulas para minimizar los hackeos y las fallas en general, hay que mencionar que todo sistema digital tiene diversos niveles de vulnerabilidad, ninguno en totalmente infalible. Las empresas están conscientes de ello, al igual que los desarrolladores, por tal motivo es usual que las corporaciones destinen grandes inversiones para blindar sus plataformas.
Descargo de responsabilidad: los puntos de vista y opiniones expresadas en este artículo pertenecen a su autor y no necesariamente reflejan aquellas de CriptoNoticias.
Imagen destacada por alphaspirit / stock.adobe.com
