Dónde está el dinero: la industria de las criptomonedas se enfrenta a los crecientes riesgos de ciberseguridad

Mientras la criptomoneda siga sin estar regulada en gran medida en los EE. UU. y en la mayor parte del resto del mundo (e incluso una vez que proliferen las regulaciones), la industria debe seguir siendo agresiva en la planificación de los ataques.

Todd Renner, Adriana Prado y Preston Fischer de FTI Consulting son coautores de este artículo.

El famoso ladrón de bancos Willie Sutton dijo "porque ahí es donde está el dinero" en respuesta a por qué robó bancos. [1] Hoy en día, muchos actores de amenazas ven las criptomonedas y otros activos digitales de la misma manera. La falta de regulación y controles de seguridad brinda oportunidades de ganancias lucrativas para los delincuentes, lo que resulta en un aumento de los ataques cibernéticos en los intercambios de criptomonedas y la infraestructura de apoyo. Este problema fue lo suficientemente importante como para atraer la atención del gobierno de los EE. UU.

El FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Departamento del Tesoro de EE. UU. publicaron un aviso conjunto en abril advirtiendo sobre amenazas cibernéticas relacionadas con criptomonedas de un grupo de amenazas patrocinado por un estado-nación. [2] Las observaciones del gobierno de los EE. UU. incluyen "actores cibernéticos que se dirigen a una variedad de organizaciones en la tecnología blockchain y la industria de las criptomonedas, incluidos los intercambios de criptomonedas".

Poniendo esta amenaza en números reales, en cuatro ataques cibernéticos separados desde diciembre de 2021 hasta junio de 2022, se robaron alrededor de $ 960 millones en criptomonedas. Entre el éxito de estos ataques y la gran cantidad de fondos que poseen y manejan los intercambios de criptomonedas, se ha vuelto imperativo que las organizaciones en el mercado de criptomonedas estén mejor preparadas para un posible ataque cibernético y la crisis resultante.

A diferencia de las organizaciones financieras tradicionales, los usuarios de criptomonedas generalmente no tienen la capacidad de recuperar sus fondos. En la mayoría de los casos, una vez que se han ido, se han ido. A su vez, a medida que toda la industria de las criptomonedas enfrenta un mayor escrutinio global, tanto desde el punto de vista regulatorio como de seguridad, la confiabilidad y la confianza se vuelven cada vez más importantes para los inversores y clientes. Al igual que en las industrias más amplias de servicios financieros y tecnología financiera, la resiliencia reputacional y competitiva ahora requiere una fuerte preparación cibernética para ayudar a las organizaciones a prevenir o recuperarse rápidamente de un incidente y los daños irreversibles posteriores. Dado que no existen estándares obligatorios de seguridad cibernética para combatir a los actores de amenazas y proteger los fondos y la privacidad de los clientes, adoptar un enfoque sólido y proactivo para la preparación cibernética puede convertirse en una ventaja competitiva.

Expansión mundial de criptomonedas

En septiembre de 2021, El Salvador se convirtió en el primer país en hacer de Bitcoin moneda de curso legal. En consecuencia, el gobierno lanzó una billetera nacional de Bitcoin, Chivo, para sus ciudadanos. La estrategia detrás de la decisión era que impulsaría la economía y el mercado laboral, pero hasta ahora los resultados no han sido los deseados. La mayoría de los usuarios de Chivo ya abandonaron la aplicación. [3] Para empeorar las cosas, el Fondo Monetario Internacional (FMI) está alentando a El Salvador a eliminar Bitcoin como moneda de curso legal debido al riesgo que presenta la criptomoneda y la dificultad que enfrentaría el país para obtener un préstamo del FMI. [4]

A pesar de este caso de prueba, en abril de 2022, la República Centroafricana (RCA) se convirtió en el siguiente país en adoptar Bitcoin como moneda de curso legal, "impulsado por la necesidad de resolver los desafíos de la moneda y el tipo de cambio". [5] Es demasiado pronto para determinar cómo afectará esta decisión a la economía de la República Centroafricana y si creará nuevas oportunidades para las empresas y sus ciudadanos. Independientemente, la seguridad cibernética debe ser una prioridad para el país, ya que los actores cibernéticos no están limitados por las fronteras o la política y aprovecharán una oportunidad si la ven.

Respuesta regulatoria

Aunque Brasil está en el proceso de "regular el mercado nacional de criptomonedas", [6] es posible que los líderes estén tomando un enfoque de esperar y ver antes de que este proyecto de ley se convierta en ley o finalmente se haga cumplir. En cambio, Brasil puede decidir ver cómo otros países, como los EE. UU., deciden manejar la regulación de criptomonedas y utilizar el resultado como base para la adopción en su propio país. A juzgar por las acciones recientes en los EE. UU., las criptomonedas y sus riesgos son una de las principales preocupaciones.

El presidente Joe Biden firmó una orden ejecutiva en marzo centrada en los activos digitales, con el objetivo de “abordar los riesgos y aprovechar los beneficios potenciales de los activos digitales y su tecnología subyacente”. [7] Más recientemente, la SEC anunció "la asignación de 20 puestos adicionales a la unidad responsable de proteger a los inversores en los criptomercados y de las amenazas cibernéticas". [8]

Estas decisiones, junto con la regulación, podrían ayudar a abordar un problema insostenible. Algunos intercambios a los que les robaron criptomonedas dependen de fondos de emergencia para pagar a sus clientes, pero estos recursos no son ilimitados, y es probable que aquellos que no tengan este plan de respaldo cierren. La regulación potencialmente ayuda con estos problemas, ya que las agencias gubernamentales y las fuerzas del orden tendrían una base legal más firme para rastrear a los ciberactores responsables y recuperar fondos. Además, la regulación ofrece el potencial para ayudar a abordar otras acciones delictivas, por ejemplo, el lavado de dinero, y reducir el riesgo de los inversores. Los controles existentes de Conozca a su cliente (KYC) [9] y contra el lavado de dinero (AML) en los principales intercambios de criptomonedas de EE. UU. han ayudado a frustrar el fraude y el delito cibernético, y la regulación se basaría en estos éxitos.

La preparación es clave

Antes de convertirse en el próximo intercambio de criptomonedas que sufra un ataque y le roben los fondos y, a su vez, genere una pérdida de confianza en la moneda, dañe la reputación de la marca, entre en insolvencia fiscal y enfrente multas regulatorias, las organizaciones de esta industria deben evaluar sus programas de ciberseguridad y protección de datos. inmediatamente. Esto incluye, entre otros, protocolos de seguridad, pilas de tecnología y políticas y procedimientos de gobierno de datos documentados. Este proceso también debe implicar el establecimiento de un plan sólido de respuesta a incidentes para proteger el negocio y la reputación en caso de un ataque cibernético.

El proceso de preparación debe incluir lo siguiente:

Evalúe las protecciones de la billetera, el proceso de la billetera, la revisión del código fuente, los protocolos de la cadena de bloques, los proveedores externos y la infraestructura de la cadena de bloques para mitigar el riesgo de la manipulación del código, las brechas de seguridad de los proveedores y las brechas en la interoperabilidad de la infraestructura para las transferencias de valor.

• Implemente protecciones contra el fraude para garantizar el cumplimiento de las regulaciones globales, incluidas AML y KYC.
• Identifique y evalúe la evidencia de actividades anómalas, sospechosas, fraudulentas o ilícitas asociadas con los activos de criptomonedas.
• Determinar si existen problemas de protección de datos transfronterizos.
• Almacene copias de seguridad y billeteras fuera de línea. El almacenamiento en frío, una billetera que no está conectada a Internet, ofrece una alternativa más segura al almacenamiento en caliente, que puede ser susceptible de robo.

Realice evaluaciones operativas y de hoja de ruta de productos para evaluar los riesgos potenciales introducidos a través de la innovación y el manejo de las transferencias de valor. ¿Hay brechas en los elementos operativos del producto o hoja de ruta comercial que no se alinearían bien con las nuevas tecnologías?

Asegúrese de que exista un plan sólido de preparación de comunicaciones, que incluya: auditoría de preparación organizacional; plan de respuesta y manual de preparación para la seguridad cibernética; y simulaciones de ataques cibernéticos y ejercicios de simulación.

Llevar a cabo evaluaciones de identidad digital y gestión de acceso para garantizar una sólida seguridad de los datos y un acceso limitado a los datos.

El futuro de las criptomonedas

Incluso si se aprueba la regulación de las criptomonedas, no debe verse como una solución completa al problema. El anonimato inherente de la criptomoneda significa que no hay garantía de que las organizaciones puedan recuperar la criptomoneda robada. Las organizaciones seguirán confiando en su reputación para atraer inversores y, mientras tanto, los clientes esperarán que el negocio continúe como de costumbre y exigirán la restauración de sus fondos robados. Sin los programas y protocolos de preparación adecuados implementados con anticipación, los intercambios de criptomonedas y las organizaciones en el ecosistema de activos digitales tendrán desafíos importantes que superar cuando ocurran problemas técnicos, o cuando los actores de amenazas y los estados-nación los apunten.

Fuente:corporatecomplianceinsights.com