OpiniónMundo digital

El caso del guardián de criptomonedas desaparecido

¿Qué ocurre en las compañías cuando el responsable de los sistemas de información desaparece de la noche a la mañana? Por Juanjo Galán, Business Strategy de All4Sec.

El fallecimiento de GeraldCotten, CEO de QuadrigaCX (compañía canadiense dedicada a la compraventa de criptomonedas) puso de manifiesto la debilidad a la que se enfrentan muchas organizaciones que tienen delegada en una única persona el control y administración de sus principales activos.

Junto al Sr. Cotten desaparecieron 190 millones de dólares que quedaron inaccesibles a sus depositantes. Activos que se encontraban almacenados en lo que se conoce como una cold storage wallet de criptomonedas y cuyo acceso solo conocía el fallecido y que ahora resultan irrecuperables.

Para los que no estén familiarizados con los conceptos de cold storage y hot crypto wallets en el mundo de las criptomonedas, un sencillo ejemplo les pondrá en contexto.Cold storage es un sistema de almacenamiento aislado, podría asociarse a la caja fuerte de los bancos donde se conservan los activos de sus depositantes. En términos tecnológicos, se trataría de un servidor de almacenamiento desconectado del sistema de intercambio telemático o un sencillo USB puede actuar de sistema offline y donde se guardarían los Bitcoins, Ethereum y demás criptomonedas con las que una entidad opera. Por su parte, el concepto de hot crypto wallet se asociaría a lo que conocemos como tarjetas monedero de prepago donde habitualmente se depositan ciertas cantidades de dinero que nos sirven para hacer compras o realizar las transacciones más habituales y que pueden ser gestionadas por el usuario y por el propio banco.

Pues bien, el CEO de QuadrigaCX era -según las investigaciones realizadas hasta el momento- el único que conocía la clave que gestionaba el cifrado de la ‘cold storage de su compañía”. El único que tenía las ‘llaves del reino’.

La gestión de los cold storages de las compañías dedicadas negociar con criptomonedas suele estar controlada por varios individuos

Muchas conjeturas se han producido hasta el momento respecto a la veracidad de los hechos narrados por la referida compañía respecto al fallecimiento. Algunos incluso sugieren que se trata de un “mal argumento de novela negra” con desapariciones inesperadas, pérdida de dinero e intervenciones gubernamentales. No en vano, el Canadian Imperial Bank of Commerce había bloqueado a principios de 2018 más 26 millones de dólares de QuadrigaCX tras encontrar que en torno a 67 millones de transacciones realizadas por la compañía presentaban ciertas irregularidades. Sea cual sea la verdad de los hechos, una pregunta surge en la cabeza de muchas personas: ¿Tan frágil es el sistema de intercambio de criptomonedas como para hacerlo depender de una única persona?

La respuesta obviamente es no. La gestión de los cold storages de las compañías dedicadas negociar con criptomonedas suele estar controlada por varios individuos y el acceso a su contenido requiere de una “mayoría cualificada” designada por la organización.

Así pues, es habitual que se mantengan ratios de 3 sobre 5, o 5 sobre 7, entre las personas debidamente autorizadas para poder acceder a los valores depositados en esas ‘tecno-cajas fuertes’. Es decir, siempre se dispone de un mecanismo federado de acceso a la información (activo, en términos económicos) de forma cualificada.

No es mi intención profundizar en lo robusto que pueden resultar los sistemas de intercambio de criptomonedas y las amenazas a las que se exponen en el mundo actual. Terminaría en un largo e intenso debate no exento de un buen número de razones demasiado serias como para tratar de resumirlas en unas cuantas líneas. Quizá, sin embargo, sí que nos interese plantear una pregunta alternativa que muchas compañías posiblemente no se han hecho hasta la fecha. Una pregunta sencilla y de cuya respuesta podría depender su futuro en algún momento: ¿Qué ocurriría en una organización si el responsable de sistemas de información o el poseedor de las ‘llaves del reino’ desaparece de la noche a la mañana?

A día de hoy, no son pocas las compañías que tienen depositadas en sus responsables de sistemas de información -incluso en el propio CEO- la gestión de gran parte de los activos intangibles de la organización. De alguna forma son los depositarios de esas ‘llaves’; no tanto porque controlen los activos financieros, sino porque actúan como responsables del centro neurálgico de su funcionamiento.

La mayor parte de las compañías disponen de mecanismos de recuperación ante desastres que llegado el caso les permiten retomar el control de los activos. Sin embargo, aún persisten numerosas organizaciones que tienen delegada esa responsabilidad -sin un plan alternativo de respuesta- en la confianza que depositan en una única persona. Y ahí reside el riesgo.

El uso de herramientas para llevar a cabo la gestión centralizada del almacenamiento de información confidencial compartida tales como contraseñas, documentos o identidades digitales de la compañía está proliferando en el mercado. Con ellas se pueden establecer políticas de gestión de claves o establecer controles de acceso para el restablecimiento de contraseñas o llevar un registro actividades.

Mercado de gestión de claves

Según un informe elaborado por Grand View Research, el mercado de la gestión de claves de acceso crecerá en los próximos cinco años a razón de un 20% anual. Precisamente se trata de un mercado de enorme relevancia para las organizaciones que no solo deberán velar por la seguridad de la información que manejan sino también por los mecanismos de recuperación de dicha información en caso de ser necesaria. Una sencilla forma de hacerlo consistiría en instalar una de estas herramientas y establecer los procedimientos de respaldo para la recuperación en caso de un incidente como el descrito.  Por ejemplo, definiendo una clave maestra cuya administración recaiga en una entidad externa accedida de forma federada por varios miembros de la organización.

Así pues, no podemos negar la evidencia de que si por algún motivo hemos depositado toda nuestra confianza en una única entidad o persona estaremos ante un riesgo para nuestra organización; un punto único de fallo que podría ser fatal para nuestro negocio. Y ahora, siendo sinceros, ¿cuántas compañías creen ustedes que se encuentran en esa situación?

Computing 782