La ciberseguridad es uno de los temas centrales en el mundo virtual: los agentes económicos -hogares, empresas, gobiernos- canalizan una parte de sus ingresos en la adquisición de recursos digitales dedicados a la protección de su información personal y sus actividades económicas en linea. Incluso, las entidades públicas y privadas van más allá, invirtiendo en la creación y operación de departamentos propios o en la contratación de servicios con compañías especializadas, con el fin de salvaguardar sus activos y transacciones. Asimismo, la adopción de alguna tecnología o el uso de cualquier plataforma/activo está, en gran medida, vinculada a su confianza en materia de seguridad: los usuarios no mostrarán interés por los recursos tecnológicos que sean vulnerados por criminales cibernéticos. Esta máxima también aplica para el caso particular de las monedas digitales emitidas por los Bancos Centrales, conocidas como CBDCs, por sus siglas en inglés.
En este sentido, diversos especialistas en ciberseguridad del sector privado, así como algunos representantes de los Bancos Centrales (BCs) han manifestado, en diversos foros, su inquietud sobre los posibles ataques y vulnerabilidades de los sistemas bajo los que operarían las CBDCs, que posiblemente desincentivaría su uso por las comunidades: muchos de estas voces los catalogan, incluso, como un riesgo importante rumbo a la emisión de estas monedas virtuales. Como parte de este universo de opiniones, el Foro Económico Mundial[1]¸ WEF por sus siglas en inglés, publicó un documento relacionado con la seguridad de las CBDCs denominado “4 key cibersecurity threats to new Central Bank Digital Currencies”, en noviembre de 2021, en el marco de su Reunión Anual en Ciberseguridad. De antemano, los participantes sugieren a los BCs que diseñen estrategias de seguridad robustas e inviertan en ellas. Asimismo, se destacan cuatro líneas de trabajo a tomarse en consideración para el desarrollo de sistemas seguros de las CBDCs: sigue la explicación de cada punto.
En primera instancia, el robo y pérdida de credenciales. ¿Qué es una credencial? Es la información requerida para acceder a una aplicación especifica, comúnmente el nombre de usuario y la contraseña. En el caso de las CBDCs, la posesión de dinero virtual se vería comprometida por diversos ataques cibernéticos, e incluso accidentes o desastres naturales no previstos: así pues, se debe crear un sistema de recuperación de credenciales. Si la CBDC se basa en cadenas de bloques[2], o blockchain, es posible seguir un proceso multi-sig[3], donde algunas partes de confianza tengan disponibles las credenciales en estos casos. Sin embargo, la recuperación en este proceso depende de la coordinación de estas partes, es decir, la intervención simultánea para reasignarlas: un ejemplo sencillo, que dos individuos giren la llave al mismo tiempo para abrir una puerta. Por tanto, se recomienda trabajar en un sistema cifrado, donde intervenga una autoridad privilegiada[4] para actualizar la base de datos con nuevas credenciales.
Segundo, el peligro en la asignación de privilegios y permisos. En linea con las regulaciones bancarias y judiciales, algunos miembros del sector público tienen potestad para actuar sobre los fondos de los individuos y entes sin su permiso, en caso de que ejerzan alguna actividad ilícita o cualquier otra que se contraponga a estas regulaciones. En este tenor, algunas de estas personas abusarían del sistema e introducirían vulnerabilidades. El proceso multi-sig podría ser una solución, con el inconveniente de la coordinación. Por otro lado, es necesario que el BC desarrolle sus nodos, con el fin de que los usuarios se conecten a ellos, y el BC pueda verificar y autorizar las transacciones. Aquí, es válido preguntarse, ¿Por qué existen nodos? Los nodos son elementos virtuales que permiten el envío, la recepción y la validación de la información. En el caso de las criptomonedas, se manda esta información a los nodos de todos los usuarios de la red, sin saber la identidad de ellos, solicitando su reconocimiento para ejecutar el movimiento: si la respuesta es favorable, se registra ese movimiento por todos los usuarios en bloque, se incorpora como parte de la cadena de bloques, y se procede a realizar la transacción. En el caso de las CBDCs, los expertos consideran que la información debe enviarse a los nodos del BC, ya que, si este proceso se le asigna a una entidad externa, habría posibilidad de que nodos manipulados afectaran el proceso de intercambio de activos por CBDCs.
En tercer término, los problemas relacionados con la invalidez y el double spending. En las cadenas de bloques, existen reglas particulares bajo las cuales se conectan los nodos y validan que el registro de una nueva transacción, conocidas como protocolos de consenso[5]. Aquí, los criminales cibernéticos, con pleno conocimiento del protocolo de consenso elegido para la CBDC, podrían intervenir en los nodos, bloqueándolos por medio de un código y, por tanto, inhabilitando los CBDCs. Esta “invalidez” para efectuar los procesos de intercambio también podrían ser aprovechadas por estos delincuentes como un mecanismo de extorsión. Con respecto al double spending, este término se refiere a la multiplicidad de transacciones con la misma CBDC: esto es gastar las mismas CBDCs en múltiples establecimientos, principalmente en un entorno fuera de linea. Al existir un proceso de validación exclusivo en linea, es factible que los ciberdelincuentes se salten algunos pasos para validar la transacción y se haga el intercambio. La solución seria imponer límites en el gasto y frecuencia en las transacciones. Además, podría implementarse un software de cumplimiento que sincronizará todas las transacciones offline, cuando retornara a su estatus en linea, y detectará las potenciales duplicidades.
Cuarto, la computación cuántica. El desarrollo de las computadoras cuánticas[6] podría romper el cifrado, ya sea blockchain u otra tecnología, sin ser detectados. Con ellos, los servicios financieros se verían seriamente afectados, y las metodologías actuales de encriptación se volverían ineficientes en términos de seguridad. En la computación cuántica, el bit, que adopta un valor en cero o uno, se convierte en qubit, que adopta un valor en cero y uno simultáneamente y en diferente proporción, lo que hace su poder de procesamiento más elevado. Actualmente, las computadoras cuánticas se han desarrollado exclusivamente para los sectores de investigación y tecnológicos, y no se encuentran disponible en una versión más accesible al público ya que requiere de ciertas condiciones atmosféricas y de su entorno para funcionar. Sin embargo, existe el riesgo de que criminales adquieran estos recursos físicos de forma ilícita o que, en un futuro, tengan el acceso a estos recursos, con el propósito de vulnerar el sistema y desencriptar la tecnología de las CBDCs. Y hasta aquí terminan las consideraciones plasmadas en el documento del WEF.
Por otro lado, los BCs han formulado objetivos y lineamientos para atender una potencial problemática en materia de ciberseguridad. A manera de resumen, se presentan, a continuación, los principales elementos mencionados por algunos BCs al respecto.
- En Estados Unidos, la FED ha considerado los siguientes puntos: 1) Contribuir en un sistema de pagos robusto, que evite la interrupción del flujo de pagos o fraudes, 2) Generar confianza como un instrumento de pago, que sea visto como una moneda no susceptible a la falsificación, fraude, y double spending, 3) Proteger los activos y la información personal, al evitar daños a la población por robo y mal uso de éstos, 4) Prevenir el daño a la reputación del BC, y evitar a toda costa que la sociedad lo vea como un organismo incapaz de cumplir con sus responsabilidades y mandatos.
- En Canadá, el Banco de Canadá ha contemplado lo siguiente: 1) la exclusividad, donde el BC tenga la autoridad en materia de emisión y rescate, además de que garantice las condiciones de ciberseguridad óptimas, 2) la confidencialidad, al evitar la fuga de la información, y el almacenamiento de los datos sea eficaz, 3) la integridad, al proteger contra la falsificación y el double spending, 4) disponibilidad, al no interrumpir el acceso al sistema y la actualización del mismo que sea ocasionado por ciberataques a gran escala.
- En la zona euro, el Banco Central Europeo no ha dado mayor detalle sobre su visión en seguridad. En este sentido, este BC sólo menciona que se debe trabajar en la prevención de fraudes, extorsión, y daños a la propiedad y al valor de su moneda digital.
- En Japón, el Banco de Japón ha mencionado que una CBDC podría ser susceptible a ataques cibernéticos, específicamente falsificación y fraude: por lo tanto, se debe incorporar una tecnología que prevenga estas actividades ilícitas.
Para abrochar, se espera que haya más noticias relacionadas con la ciberseguridad de las CBCDs por parte de los diversos BCs, conforme se vaya intensificando la carrera rumbo al desarrollo y emisión de las CBDCs: como un ejemplo, las anotaciones de la FED dadas a conocer el 4 de febrero del presente año. En este sentido, se aprecia que los lineamientos presentados en el documento de la WEF están considerándose por los BCs y, probablemente, este tema vaya tomando forma conforme estos entes realicen los experimentos pertinentes en un entorno controlado.
Referencias:
https://www.weforum.org/agenda/2021/11/4-key-threats-central-bank-digital-currencies/
https://www3.weforum.org/docs/WEF_CBDC_Technology_Considerations_2021.pdf
https://www.federalreserve.gov/econres/notes/feds-notes/security-considerations-for-a-central-bank-digital-currency-20220203.htm
https://www.bankofcanada.ca/2020/06/staff-analytical-note-2020-11/#Topics-under-consideration
https://www.ecb.europa.eu/pub/pdf/other/Report_on_a_digital_euro~4d7268b458.en.pdf#page=4
https://www.boj.or.jp/en/announcements/release_2020/rel201009e.htm/
https://www.clasesordenador.com/que-son-las-carteras-con-multiples-firmas/
https://www.iberdrola.com/innovacion/que-es-computacion-cuantica
Notas a pie de página:
[1] Una organización privada sin fines de lucro donde participan lideres empresariales, políticos, intelectuales que emiten comentarios sobre temas económicos y sociales con el fin de influir en las agendas internacionales.
[2] Un conjunto de recursos tecnológicos que permiten el intercambio de un activo, sin necesidad de un intermediario o de manera descentralizada.
[3] Un proceso que requiere de dos o más claves para firmar y enviar la transacción: un ejemplo, la doble verificación, que es contraseña y código enviado a un número celular.
[4] Con permisos y facultado para ejecutar ciertas acciones.
[5] Para mayor detalle, consultar la siguiente liga: https://www.monederosmart.com/que-es-un-protocolo-de-consenso/
[6] Como dato curioso, un ordenador cuántico necesita una presión atmosférica casi inexistente, una temperatura ambiente próxima al cero absoluto (-273 °C) y aislarse del campo magnético terrestre para evitar que los átomos se muevan y colisionen entre sí, o interactúen con el entorno.
