Cripto para humanos: Lecciones del hackeo de Bybit

El reciente violación de seguridad por alrededor de $1.5 mil millones El incidente en Bybit, la segunda plataforma de intercambio de Criptomonedas más grande del mundo por volumen de operaciones, causó un gran revuelo en la comunidad de activos digitales. Con $20 mil millones en activos de clientes bajo custodia, Bybit se enfrentó a un desafío significativo cuando un atacante vulneró los controles de seguridad durante una transferencia rutinaria de una billetera "fría" fuera de línea a una billetera "caliente" utilizada para operaciones diarias.

Los informes iniciales sugieren que la vulnerabilidad involucraba una implementación Web3 desarrollada internamente que utilizaba Gnosis Safe, una billetera multifirma que emplea técnicas de escalado fuera de la cadena, cuenta con una arquitectura centralizada y actualizable, y una interfaz de usuario para firmar. El código malicioso implementado mediante la arquitectura actualizable transformó lo que parecía una transferencia rutinaria en un contrato alterado. El incidente generó alrededor de 350.000 solicitudes de retiro, ya que los usuarios se apresuraron a proteger sus fondos.

Si bien es considerable en términos absolutos, esta brecha —estimada en menos del 0,01 % de la capitalización total del mercado de Criptomonedas demuestra cómo lo que antes habría sido una crisis existencial se ha convertido en un incidente operativo manejable. La rápida garantía de Bybit de que todos los fondos no recuperados se cubrirán con sus reservas o préstamos de socios ejemplifica aún más su madurez.

Desde el inicio de las criptomonedas, el error Human —no las fallas técnicas en los protocolos de blockchain— ha sido consistentemente la principal vulnerabilidad. Investigación que examina Más de una década de importantes filtraciones de Criptomonedas demuestra que el factor Human siempre ha predominado. Solo en 2024, se robaron aproximadamente 2200 millones de dólares.

Lo sorprendente es que estas brechas siguen ocurriendo por razones similares: las organizaciones no protegen sus sistemas porque no reconocen explícitamente su responsabilidad o confían en soluciones personalizadas que mantienen la ilusión de que sus requisitos difieren de los marcos de seguridad establecidos. Este patrón de reinventar los enfoques de seguridad en lugar de adaptar metodologías probadas perpetúa las vulnerabilidades.

Si bien la cadena de bloques y las tecnologías criptográficas han demostrado ser criptográficamente robustas, el LINK más débil de la seguridad no es la Tecnología , sino el factor Human que interactúa con ella. Este patrón se ha mantenido notablemente constante desde los inicios de las criptomonedas hasta los sofisticados entornos institucionales actuales, y se hace eco de las preocupaciones sobre ciberseguridad en otros—más tradicional—dominios.

Estos errores Human incluyen la mala gestión de claves privadas, donde vencidoEl mal manejo o la exposición de claves privadas compromete la seguridad. Los ataques de ingeniería social siguen siendo una gran amenaza, ya que los hackers manipulan a las víctimas para que divulguen datos confidenciales mediante phishing, suplantación de identidad y engaños.

Soluciones de seguridad centradas en el ser humano

Las soluciones puramente técnicas no pueden resolver un problema fundamentalmente Human . Si bien la industria ha invertido miles de millones en medidas de seguridad tecnológica, se ha invertido relativamente poco en abordar los factores Human que constantemente propician las brechas de seguridad.

Una barrera para una seguridad eficaz es la reticencia a reconocer la propiedad y la responsabilidad de los sistemas vulnerables. Las organizaciones que no delimitan claramente lo que controlan, o que insisten en que su entorno es demasiado único para aplicar los principios de seguridad establecidos, crean puntos ciegos que los atacantes explotan fácilmente.

Esto refleja lo que el experto en seguridad Bruce Schneier ha denominado una ley de seguridad:Los sistemas diseñados de forma aislada por equipos convencidos de su singularidad casi invariablemente contienen vulnerabilidades críticas que las prácticas de seguridad establecidas habrían abordado.El sector de las Criptomonedas ha caído repetidamente en esta trampa, a menudo reconstruyendo los marcos de seguridad desde cero en lugar de adaptar enfoques probados de las Finanzas tradicionales y la seguridad de la información.

Es esencial un cambio de paradigma hacia un diseño de seguridad centrado en el ser humano. Irónicamente, mientras que las Finanzas tradicionales evolucionaron de la autenticación de un solo factor (contraseña) a la autenticación multifactor (MFA), las primeras Criptomonedas simplificaron la seguridad de vuelta a la autenticación de un solo factor mediante claves privadas o frases semilla, bajo el manto de la seguridad únicamente mediante cifrado. Esta simplificación excesiva fue peligrosa, y llevó a la industria a acelerar la detección de diversas vulnerabilidades y exploits. Miles de millones de dólares en pérdidas después, llegamos a los enfoques de seguridad más sofisticados que han adoptado las Finanzas tradicionales.

Las soluciones modernas y la Tecnología regulatoria deberían reconocer que el error Human es inevitable y diseñar sistemas que permanezcan seguros a pesar de estos errores en lugar de asumir un cumplimiento Human perfecto con los protocolos de seguridad. Es importante destacar que la Tecnología no cambia los incentivos fundamentales.Implementarlo implica costos directos y evitarlo corre el riesgo de dañar la reputación.

Los mecanismos de seguridad deben evolucionar más allá de la simple protección de los sistemas técnicos, para anticipar los errores Human y ser resilientes ante las vulnerabilidades comunes. Las credenciales estáticas, como las contraseñas y los tokens de autenticación, son insuficientes contra los atacantes que explotan el comportamiento Human predecible. Los sistemas de seguridad deben integrar la detección de anomalías de comportamiento para detectar actividades sospechosas.

Las claves privadas almacenadas en una única ubicación de fácil acceso representan un importante riesgo de seguridad. Dividir el almacenamiento de claves entre entornos en línea y fuera de línea mitiga la vulnerabilidad de la clave completa. Por ejemplo, almacenar parte de una clave en un módulo de seguridad de hardware mientras se mantiene otra parte fuera de línea mejora la seguridad al requerir múltiples verificaciones para el acceso completo, lo que reintroduce los principios de autenticación multifactor en la seguridad de las Criptomonedas .

Medidas prácticas para un enfoque de seguridad centrado en el ser humano

Un marco de seguridad integral centrado en el ser humano debe abordar las vulnerabilidades de las Criptomonedas en múltiples niveles, con enfoques coordinados en todo el ecosistema en lugar de soluciones aisladas.

Para los usuarios individuales, las soluciones de billetera de hardware siguen siendo el mejor estándar.Sin embargo, muchos usuarios prefieren la comodidad a la responsabilidad de la seguridad., por lo que la segunda mejor opción es que los exchanges implementen prácticas de las Finanzas tradicionales: períodos de espera predeterminados (pero ajustables) para transferencias grandes, sistemas de cuentas escalonados con diferentes niveles de autorización y educación sobre seguridad sensible al contexto que se active en puntos de decisión críticos.

Las bolsas y las instituciones deben pasar de asumir la conformidad total del usuario a diseñar sistemas que anticipen el error Human . Esto comienza por reconocer explícitamente qué componentes y procesos controlan y, por lo tanto, son responsables de proteger.

La negación o la ambigüedad sobre los límites de responsabilidad socavan directamente las iniciativas de seguridad. Una vez establecida esta responsabilidad, las organizaciones deben implementar análisis de comportamiento para detectar patrones anómalos, exigir la autorización de múltiples partes para transferencias de alto valor e implementar "disyuntores" automáticos que limiten los posibles daños en caso de vulneración.

Además, la complejidad de las herramientas Web3 crea grandes superficies de ataque. Simplificar y adoptar patrones de seguridad establecidos reduciría las vulnerabilidades sin sacrificar la funcionalidad.

A nivel industrial,Los reguladores y líderes pueden establecer requisitos estandarizados de factores Human en las certificaciones de seguridad, pero existen compensaciones. Entre innovación y seguridad. El incidente de Bybit ejemplifica cómo el ecosistema de las Criptomonedas ha evolucionado desde sus frágiles inicios hasta convertirse en una infraestructura financiera más resiliente. Si bien las brechas de seguridad persisten —y probablemente siempre lo harán—, su naturaleza ha cambiado: de amenazas existenciales que podrían destruir la confianza en las Criptomonedas como concepto, a desafíos operativos que requieren soluciones de ingeniería continuas.

El futuro de la criptoseguridad no reside en perseguir el objetivo imposible de eliminar todos los errores Human , sino en diseñar sistemas que se mantengan seguros a pesar de los inevitables errores Human . Esto requiere, en primer lugar, reconocer qué aspectos del sistema son responsabilidad de la organización, en lugar de mantener la ambigüedad que genera brechas de seguridad.

Al reconocer las limitaciones Human y construir sistemas que las tengan en cuenta, el ecosistema de Criptomonedas puede seguir evolucionando desde la curiosidad especulativa hacia una infraestructura financiera sólida en lugar de asumir un cumplimiento perfecto de los protocolos de seguridad.

La clave para una criptoseguridad eficaz en este mercado en desarrollo no reside en soluciones técnicas más complejas, sino en un diseño más reflexivo y centrado en el ser humano. Al priorizar arquitecturas de seguridad que consideren las realidades del comportamiento y las limitaciones Human , podemos construir un ecosistema financiero digital más resiliente que siga funcionando de forma segura cuando se produzcan errores Human , no si se producen.