Claves de ciberseguridad para estar seguros en la Web3 y el Metaverso

  • Actualidad

Web3

El mundo avanza hacia la Web3 y conceptos como el Metaverso pueden impulsar la transición hacia la tercera versión de Internet. Cisco Talos ha analizado el panorama actual de riesgos y amenazas en el nuevo espacio virtual, basadas tanto en técnicas de ingeniería social y phishing como en nuevos métodos de ataque.

Internet está evolucionando hacia la Web3, que promete una Internet más abierta, descentralizada y más centrada en el usuario, y que está siendo impulsada por los avances en criptomonedas, la tecnología blockchain y el almacenamiento descentralizado de archivos. Otro componente central de esta transición es la experiencia tridimensional conocida como Metaverso.

El Metaverso traerá toda una serie de riesgos porque, como explica Jaeson Schultz, jefe técnico en Cisco Talos, "la mayoría de los ciberdelincuentes tienen una gran motivación económica. El Metaverso les proporciona un espacio amplio y no regulado donde pueden estafar a los usuarios desprevenidos con sus criptomonedas y NFTs (Non Fungible Tokens),activos casi imposibles de recuperar si son robados".

Esta división de Cisco ha identificado las principales amenazas que habrá que sortear en este espacio digital, y las ha resumido en cuatro puntos:

- Dominios ENS-DNS para carteras de criptomonedas. El nombre ENS (Ethereum Name Service) elegido podría eliminar el anonimato, revelando la identidad del propietario de la dirección del monedero virtual. Es bastante común ver nombres ENS como 'DebbieSmith.eth' o encontrarlos en los perfiles de Twitter, con lo que se puede averiguar el saldo de dicha persona y atraer a los ciber-delincuentes. El 3,8% de las direcciones .eth encontradas por Talos contenían más de 100.000 dólares en Ethereum, mientras el 9% de las direcciones contenían más de 30.000 dólares.

- Ataques de ingeniería social, principalmente a través de redes sociales y destinados a clonación de carteras, estafas del soporte de Metamask y ataques a cuentas 'ballena' con gran cantidad de criptomonedas.

- Contratos inteligentes maliciosos. Los atacantes escriben su propio malware que se sitúa en la cadena de bloques en forma de código de contrato inteligente malicioso. Algunos ejemplos son 'sleepminting' (falsificación de la procedencia de NFT) y atacantes que engañan a los usuarios para que den acceso a sus monederos sin entregarles el activo digital.

- Ataques activos a las frases semilla y filtración intencionada de frases semilla de carteras.

Recomendaciones de seguridad
- Practicar los fundamentos básicos de seguridad. Elegir contraseñas sólidas, utilizar la autenticación multifactor, examinar las direcciones de los dominios ENS y de las criptocarteras en busca de errores tipográficos astutamente ocultos y nunca hacer clic en enlaces no solicitados a través de redes sociales o correo electrónico.

- Proteger la frase semilla. Cada vez más, las carteras de criptomonedas se utilizan para la identificación y personalización de los usuarios en el Metaverso. Nunca debe compartirse con nadie (especialmente en forma de código QR), pues al perder la frase semilla se pierde el control sobre la identidad y todas las pertenencias digitales personales.

- Utilizar un monedero de hardware. El uso de un monedero de hardware añade otra capa de seguridad a las criptodivisas/NFTs, ya que se debe conectar el dispositivo, validar con PIN y aprobar/rechazar cualquier transacción que implique la dirección del monedero.

- Investigar las compras. Antes de comprar/minar NFTs, buscar la dirección del contrato inteligente y mirar si el código fuente está publicado. Un código fuente no publicado es una bandera roja. También se recomienda utilizar una dirección de cartera recién generada que contenga sólo los fondos necesarios para la compra.