A pesar de la volatilidad del mercado, la adopción de billeteras digitales para criptomonedas se ha disparado a medida que nuevos inversionistas son atraídos por la economía blockchain y se lanzan nuevas monedas, NFTs y tokens.
América Latina es una región clave para el ecosistema cripto, pues la confianza en los activos digitales sigue creciendo, ya que algunos países implementan regulaciones, y surgen nuevas startups y proyectos innovadores en la web3. Sin embargo, los fraudes y ciberataques contra las apps móviles de ewallets también han aumentado.
La firma financiera Finder estima que más de 12 millones de personas poseen criptomonedas en México. Uno de los principales usos son las transacciones desde EU como una nueva alternativa que tienen millones de personas para enviar ahorros a sus familias sin tener que pagar altas comisiones.
Por ejemplo, Bitso reportó el envío de más de 3 mil millones de dólares como remesas durante 2022.
Existen múltiples debates sobre el uso de billeteras digitales cripto con dos opciones: hot wallets y cold wallets. Se considera que las hot wallets ofrecen más comodidad, pero conllevan mayores riesgos de seguridad. Mientras que las cold wallets en apariencia son más seguras pero menos flexibles.
Sin embargo, un hacker de sombrero blanco puso a prueba la seguridad de 30 apps de grandes instituciones financieras y empresas de cripto, y descubrió que en el 99% podían recopilarse fácilmente las claves y tokens API codificados, los nombres de usuario y sus contraseñas.
El año pasado, fueron robados 3 mil 800 millones de dólares en criptomonedas, un récord mundial, según un reporte de Chainanalysis.
Tomando en cuenta este escenario de la economía digital y su estrecha relación con la ciberseguridad, Appdome y su vicepresidente de productos de seguridad, Alan Bavosa, explican cuáles son los 5 principales ataques dirigidos contra las aplicaciones móviles de ewallets y cómo resolverlos.
1. Robo de clave privada almacenada localmente
Tanto las billeteras calientes como las frías participan en una gran cantidad de operaciones con los datos de acceso. Desde una perspectiva de ciberseguridad, el riesgo es el mismo; sin importar el tipo de billetera que se utilice porque eventualmente se debe conectar para realizar las transacciones ingresando una contraseña, passphrase o claves. En caso de que haya malware en el dispositivo, éste podrá robar los datos de acceso.
La información sin cifrado en la memoria, en la zona de pruebas de la app, en la tarjeta SD o en áreas externas como el portapapeles, dan a los hackers la capacidad de recolectar los datos del usuario para fines maliciosos.
Para resolver esto, se recomienda a los desarrolladores implementar cifrado de datos en reposo como la forma mínima de proteger la información del usuario, sin importar dónde se aloje localmente.
2. Recolección de la contraseña o private key
Otra forma de robar la contraseña, passpharse o claves de una billetera cripto, es cuando el usuario ingresa sus datos en la aplicación móvil. Hay dos formas en que los hackers pueden lograrlo:
Una es por medio de malware de registro de teclas, que detecta las pulsaciones del usuario sobre el teclado mientras ingresa la passphrase o contraseña en la app móvil de su billetera cripto. ¡Todo esto desde su celular!
La segunda opción son ataques de superposición, otra forma de malware de identidad donde los hackers ponen una pantalla falsa para engañar al usuario y que éste ingrese sus datos de acceso en un campo de entrada malicioso dentro de la aplicación.
3. Ataques dinámicos contra aplicaciones cripto
Debido a la dependencia transaccional entre el cliente en su dispositivo móvil y la cadena de bloques por medio de las billeteras cripto, la integridad de la plataforma utilizada para ejecutar la app es extremadamente importante para proteger a los usuarios.
Los métodos de jailbreak y poderosas herramientas de ocultamiento de raíz se pueden usar solos o en combinación con malware para interferir la información entre la app y los servicios externos. Incluso las herramientas de prueba de penetración se pueden usar para intervenir funciones de una app con todo tipo de propósitos maliciosos, como obtener acceso a la dirección en la cadena de bloques, las contraseñas o hacerse pasar por el cliente.
Los desarrolladores pueden evitar que las ewallets móviles se ejecuten en un dispositivo rooteado o con jailbreak y protegerse contra herramientas de piratería dinámicas para cuidar a los usuarios y garantizar la integridad de las funciones críticas en la app. Las mejores prácticas también sugieren que el desarrollador use ofuscación de código integral para dificultar que el atacante examine la aplicación en primer lugar.
4. Ataques MiTM (man in the middle) en crypto wallets
La mayoría de las cadenas de bloques tienen plataformas de intercambio descentralizadas con aplicaciones móviles creadas por la comunidad, conocidas como dApps. ¿Qué sucede si la dApp es maliciosa o tiene vulnerabilidades que permitan acciones nocivas en las ewallets como las conexiones no seguras con la aplicación de destino?
La conexión entre el usuario y el servidor es susceptible a amenazas man in the middle, ataques de restablecimiento de TCP, ataques de troyanos y otros. Los datos en tránsito utilizados por las aplicaciones cripto son fundamentales para el valor de las monedas digitales en las ewallets. Toda la información, desde transacciones, montos, contraseñas y hasta datos del usuario, se incluyen en esa comunicación.
Para poder defenderse ante estas amenazas, los equipos de desarrollo deben considerar protecciones contra ataques Man-in-the-Middle.
5. Herramientas de desarrollo contra las apps de billeteras
Los piratas informáticos también pueden utilizar versiones modificadas de las ewallets con emuladores, simuladores o malware para crear cuentas falsas, realizar intercambios o transferir criptomonedas de una de billetera a otra.
Para protegerse contra este tipo de ataque, se recomienda implementar métodos de autoprotección de aplicaciones en tiempo de ejecución (RASP), protección contra la manipulación, la depuración y la prevención del emulador.