A pesar de que las vulnerabilidades informáticas abundan y siempre han existido dentro de la industria tecnológica, el sector incipiente que representa Blockchain y las criptomonedas es a menuda catalogado de ‘inseguro’ por parte de las autoridades cuando una nueva amenaza surge.

Muchos afirman que esto se debe a que las criptomonedas, las Ofertas Iniciales de Moneda (ICOs, por sus siglas en inglés) y Blockchain no están regulados, sin embargo, los fallos de seguridad son evidentes en cualquier plataforma, dispositivo o aplicación conectada a Internet.

Ahora, una firma de seguridad especializada en auditorías de ICOs llamada ‘Positive.com’, ha publicado un informe que revela cinco fallas de seguridad en cada ICO celebrada en 2017, donde sólo una de ellas no contenía vulnerabilidades críticas.

Según la empresa, la mayoría de las vulnerabilidades encontradas radican en los contratos inteligentes, es decir, la base de toda ICO. En este sentido, el informe asegura:

El 71 por ciento de los proyectos probados contenía vulnerabilidades en los contratos inteligentes, el corazón y el alma de una ICO (…) Una vez que se inicia una ICO, el contrato no puede cambiar y está abierto a todos, lo que significa que cualquiera puede verlo y buscar fallos.

Una de las revelaciones más alarmantes del informe de Positive tiene que ver con las apps móviles lanzadas durante algunas ICOs de 2017, y es que los investigadores afirman que todas contenían fallos de seguridad. De hecho, se identificaron más vulnerabilidades en las apps móviles de ICOs que en las plataformas web de estos proyectos.

Los expertos consideran que las consecuencias más graves de esto radican en el uso de métodos de transferencia de datos inseguros, el almacenamiento de datos de usuario en las copias de seguridad del móvil y la divulgación de los datos de inicio de sesión que un hacker podría robar y utilizar contra el usuario.

Sin embargo, las aplicaciones web de las ICOs de 2017 también contenían errores de seguridad de las mismas características que los de las apps, según los investigadores. En este sentido, se encontraron vulnerabilidades a ejecución remota de código, divulgación de información sensible del servidor, transferencia insegura de datos, etc.

Otro aspecto que toca el informe es la irresponsabilidad de los creadores de ICOs al no crear cuentas en redes sociales para sus proyectos o registrar todas las versiones del dominio web de sus ICOs, algo que expuso a los usuarios a ataques de ingeniería social y de phishing.