El almacenamiento en blockchain ofrece seguridad, pero puede haber demasiada transparencia en los datos

0
98



En noviembre de 2019 Risk Based Security, la empresa de seguridad, calificó al 2019 como el “el año con peor registro” en cuanto a infracciones, con casi 8,000 millones de registros afectados. El control de terceros sobre los datos personales hace que la privacidad sea algo que ya no es posible.

El surgimiento de la tecnología blockchain parece haber anunciado una nueva era en la seguridad de datos. Sin embargo, a medida que la tecnología se ha vuelto más común en Internet, han surgido preguntas sobre su capacidad para almacenar datos de forma segura. La razón radica en que la completa transparencia puede no ser buena para la confidencialidad, como ha afirmado recientemente Chainalysis, la empresa de análisis de blockchain. 

Érase una vez algo llamado privacidad

A medida que la era digital se arraiga más en la vida de las personas, las cuestiones de la protección de datos y la privacidad se vuelven primordiales. Cualquier acción realizada en línea es tan valiosa como el oro para algunas empresas. Los datos se recogen y compilan en bases de datos para ser vendidos o subastados al mejor postor por los navegadores y los gigantes de los medios sociales. Johnny Ryan, jefe de política y relaciones con la industria de Brave Browser, dijo en una entrevista con Cointelegraph el 21 de febrero: 

“RTB [Real-time-bidding, una subasta de anuncios online] es la mayor filtración de datos del mundo. Los datos personales están siendo transmitidos a miles de empresas”.

Las palabras de Ryan resonaron con el creciente número de filtraciones de datos, destacando el hecho de que la mayoría de los modelos de negocio modernos se basan en la recolección y venta de datos personales de los usuarios, ya que los navegadores como Chrome y las redes sociales como Facebook venden los datos a quienes pagan por ellos. 

Facebook y Canva, la plataforma de diseño multimedia, se encuentran entre los más eminentes infractores de datos, con datos de 540 millones y 139 millones de usuarios afectados en 2019 respectivamente. Los principales empresarios y multimillonarios también se han visto afectados, por ejemplo, Jeff Bezos, el director general de Amazon, fue víctima de un hackeo en 2018, mientras utilizaba WhatsApp.

Se debe a la centralización

Las estadísticas muestran que las empresas centralizadas filtran la información de los usuarios más a menudo de lo que se piensa. La seguridad de los datos se suele descuidar por comodidad, ya que las empresas recurren a recursos de terceros como Dropbox y Google Docs, cuya seguridad se ha cuestionado con regularidad. 

La mayor parte de los datos reunidos por las empresas externas se encuentran en bases de datos centralizadas que se caracterizan por su capacidad de fallo tipo efecto dominó por un solo punto. Lo que es peor, las fallas de datos pasan inadvertidas o no se divulgan.

La forma más sencilla de comprobarlo es introducir un correo electrónico en el sitio web Have I Been Pwned, que ofrece estadísticas sobre el número de veces que se ha encontrado en línea la información de identificación personal de un usuario. El número total de cuentas filtradas ha alcanzado casi 9,500 millones según las estadísticas del sitio. 

¿La blockchain es la panacea de la privacidad del usuario?

Generalmente se considera que la blockchain está orientada a la confidencialidad y, por lo tanto, puede convertirse en una solución ideal para los problemas que surgen con los sistemas de almacenamiento tradicionales. Por ejemplo, las blockchains privadas pueden proporcionar un acceso estrictamente controlado a los datos basado en permisos.

Se ofrecen muchas soluciones, como el cifrado homomórfico, que permite realizar cálculos con datos cifrados sin desencriptación previa. Este método se utilizó inicialmente en la red Enigma del MIT, que divide los datos en partes, los codifica y los distribuye aleatoriamente por la red en pequeñas porciones. Ninguno de los nodos de la red puede leer estos datos, pero los usuarios pueden descifrarlos.

De este modo se preservan la seguridad y la privacidad, y solo se permite el acceso a los usuarios con claves de desencriptación coincidentes y credenciales adecuadas. Las técnicas criptográficas, como las pruebas de conocimiento cero y zk-SNARK, ya utilizan el cifrado homomórfico, y Zcash (ZEC) es un ejemplo que aplica esas técnicas.

La característica más importante de la tecnología blockchain es que anula la necesidad de recurrir a terceros, garantizando así un mayor grado de seguridad. La introducción de características como el control descentralizado de la identidad profetiza una reducción significativa del robo de identidad.

Por ejemplo, en mayo de 2019, Microsoft anunció su intención de utilizar la tecnología de registro distribuido para crear un sistema de identificación descentralizado llamado Decentralized ID, o DID, basado en la aplicación Microsoft Authenticator. Los desarrolladores creen que la tecnología blockchain es perfecta para almacenar información personal, ya que elimina la necesidad de dar consentimiento para utilizar datos privados. Como resultado, las identidades de los usuarios no serán duplicadas y distribuidas entre diferentes proveedores de servicios como compañías de redes sociales o tiendas en línea.

Del mismo modo, SDS, la división de tecnología de Internet de Samsung, ha integrado recientemente la prueba de conocimiento cero de QEDIT en Nexledger, su blockchain orientada a la empresa. El equipo de SDS cree que la integración le permitirá proporcionar a las partes que emplean blockchain corporativas para registrar y validar transacciones en un registro distribuido compartido sin revelar datos confidenciales.

El principio de almacenar información personal para proteger los datos de los usuarios fue introducido por Jeff Pulver, el americano que fue pionero de VoIP. La Orden Pulver fue aprobada por la Comisión Federal de Comunicaciones el 12 de febrero de 2004, e hizo posible que la gente utilizara libremente aplicaciones de comunicación como WhatsApp.

En 2018, Pulver ofreció utilizar una red de comunicación habilitada para blockchain, basada en nuevas capas de autenticación y soluciones descentralizadas. Se dice que la nueva solución, llamada Debrief, es la red de comunicación empresarial más segura disponible para las llamadas de audio y vídeo entre pares, la mensajería y el almacenamiento descentralizado de archivos. La tecnología tiene por objeto no exponer la información confidencial de los usuarios, a diferencia de servicios como Facebook o Zoom.

El secreto radica en un sistema de almacenamiento descentralizado y en un protocolo de autenticación de blockchain seguro, que son impermeables a los hackers. Pulver afirma que los algoritmos de encriptación de datos de Debrief no permiten que los datos sean editados o manipulados una vez que se colocan en la red. 

Cada destinatario de la red recibe la misma información que se introduce en tiempo real. Por lo tanto, para que un hacker manipule o edite la información de la computadora de un destinatario, las demás computadoras de la red tendrían que validar el cambio, cosa que nunca harían. Pulver explicó en su momento que: “Absteniéndose del control centralizado, eliminaremos el eslabón débil de la ecuación: los terceros o actores externos”. 

MedRec, un proyecto lanzado por el MIT, persigue un objetivo similar pero en la industria de la salud. El proyecto utiliza tecnología blockchain para permitir el intercambio seguro de información sobre la atención de la salud entre los pacientes y los proveedores de servicios. Como resultado, los pacientes pueden mantener el control total de sus datos personales y conceder acceso a los proveedores de servicios en lugar de lo contrario. 

MedRec ya ha realizado una serie de pruebas piloto con socios de investigación y actualmente está trabajando en el perfeccionamiento del sistema. El uso de MedRec puede reducir las infracciones a los datos de atención de la salud y fomentar el desarrollo de nuevas soluciones de historiales médicos electrónicos que cumplan con la Ley de Portabilidad y Responsabilidad del Seguro Médico.

General Motors también apoya la tecnología blockchain. En 2018, la empresa registró una patente sobre automóviles autoconducidos que almacenan datos en un registro distribuido y pueden compartirlo con otros vehículos y entidades conectadas al sistema, lo que garantiza la seguridad del tráfico y el cumplimiento de las múltiples regulaciones de la industria del transporte.

La privacidad de los datos no concuerda con blockchain

Hablando con Cointelegraph sobre la tecnología blockchain y la seguridad de los datos, Vijay Rathour, socio del grupo de investigación y forense digital de Grant Thornton, comparó la tecnología con las bóvedas de los bancos hechas de cristal: “Son muy seguras. Son bóvedas de un solo sentido, es decir, puedes poner cosas preciosas en ellas pero no sacarlas. El contenido puede ser visto por el mundo”.

Sin embargo, según Rathour, incluso después de reconocer todas estas cualidades, las bóvedas de los bancos pueden ser utilizadas para guardar dinero manchado de sangre o bienes robados. En pocas palabras, la eficacia de las bóvedas no significa que lo que está dentro de ellas también sea bueno. Rathour lo explicó con más detalle:

“¿Están [los datos almacenados en blockchain] adecuadamente anonimizados? ¿Querría que mi pasaporte fuera visible para el mundo en una bóveda de cristal de un banco para que el mundo lo viera? No. Pero probablemente disfrutaría de los beneficios de una versión encriptada de mi pasaporte guardado en la ‘nube’ de forma segura en esta blockchain.” 

La blockchain tiene muchas ventajas inherentes que la convierten en un complemento perfecto en lo que respecta a la privacidad, y ofrece útiles funciones de protección de datos que le permiten cumplir con el Reglamento General de Protección de Datos. Mientras tanto, hay otros aspectos que la hacen inaplicable.

Aunque la inmutabilidad es buena para la privacidad de los datos, hay dos piedras de tropiezo: Primero, la inmutabilidad entra en conflicto con las leyes de almacenamiento de información. Segundo, los errores o inexactitudes en una blockchain no pueden ser corregidos. En una conversación con Cointelegraph, Thomas Stubbings, presidente de la Plataforma de Seguridad Cibernética del Gobierno Austriaco, sugirió:

“De hecho, la característica clave de una blockchain es proteger la integridad de los datos haciéndolos inmutables. Sin embargo, exactamente esa característica puede convertirse en un problema si los datos ya no son requeridos, deseados o correctos. Es virtualmente imposible eliminarla. Esto crea un nuevo tipo de problema de privacidad”.

Jonathan Levin, cofundador y jefe de estrategia de Chainalysis, la empresa de criptoanálisis, ha declarado recientemente que la plena transparencia tampoco es del todo una bendición, ya que la tecnología blockchain puede utilizarse para rastrear a los individuos y vincular la información personal con ellos. Levin le dijo a Cointelegraph:

“Los dos extremos del anonimato total y la transparencia completa son malos. El anonimato total abre la puerta a la actividad ilícita… Por otro lado, la transparencia completa significa que no hay privacidad en absoluto”.

Teemu Alexander Puutio, experto en cumplimiento e instructor adjunto de la Escuela de Servicios Profesionales de la Universidad de Nueva York, le dijo a Cointelegraph que hay varias maneras en que los datos pueden filtrarse de los registros distribuidos asegurados criptográficamente. Reiteró que Bitcoin (BTC) es un seudónimo, y, por lo tanto, sus usuarios pueden ser rastreados e identificados, añadiendo:

“Por ejemplo, el análisis del tráfico de red se ha utilizado recientemente para lograr una precisión de identificación del 95% y los métodos de observación teóricamente sencillos y el análisis probabilístico bayesiano han permitido a los investigadores identificar miles de cuentas en unos pocos meses. Estas preocupaciones se ven agravadas por el hecho de que los datos almacenados en las blockchains suelen ser inmutables y totalmente públicos, al menos para la red de verificadores”.

Puutio también se refirió a una encuesta publicada en enero de 2019 que reveló que solo una pequeña parte de las plataformas blockchain son capaces de lograr altos niveles de seguridad de los datos.

Una de las características básicas de la blockchain —la incapacidad de eliminar selectivamente la información— puede ser un arma de doble filo. Uno de sus aspectos negativos se relaciona con el hecho de que se necesita una mayoría del 51% de los nodos para editar los datos, lo que complica enormemente la aplicación de las disposiciones del artículo 17 del RGPD, que otorga el “derecho al olvido”. 

Stubbings le dijo a Cointelegraph que existe una nueva amenaza llamada “envenenamiento de la blockchain”, que se aprovecha de hacer que las blockchains sean incompatibles con el RGPD, insertando información personal identificable que nunca puede ser eliminada. Dijo que:

“En el peor de los casos, esto puede resultar en una blockchain que se vuelve inutilizable… El problema es bastante nuevo e incluso los expertos en privacidad de la UE no tienen claro cómo lidiar con eso, especialmente porque nadie posee blockchains públicas, es solo una cantidad de nodos. Entonces, ¿quién es responsable? ¿Nadie? ¿Todos los que tienen un nodo? Es una cuestión delicada, y podría obstaculizar la evolución —por lo demás muy prometedora— de la blockchain como un valioso instrumento de seguridad”.

Al final, la consistencia de los datos resulta ser la principal barrera que debe ser superada para que la tecnología blockchain se convierta en una solución viable desde el punto de vista del RGPD.

La tecnología blockchain es buena, pero…

El mundo sigue estando centralizado, y los datos pueden perderse mientras están bajo el control de algunos operadores. Los gobiernos están intensificando las reglamentaciones, pero éstas son insuficientes para garantizar la seguridad de los datos de los usuarios. Resumiendo el papel de la tecnología blockchain en la seguridad de los datos, Rathour dijo a Cointelegraph:

“Las blockchains son buenas, pero todavía hay arte y ciencia en poner, mantener y depurar los datos que contienen. Al igual que las bases de datos, las computadoras en nube y muchas otras opciones mecánicas disponibles para los responsables de mantener nuestros datos”.

Aunque una masa crítica de usuarios exigiendo el almacenamiento descentralizado de datos haría de la tecnología blockchain el medio de almacenamiento de facto, el factor de inmutabilidad no le permite cumplir los requisitos del RGPD. A la tecnología blockchain le queda un largo camino por recorrer antes de convertirse en la solución de almacenamiento de datos “todo en uno”. La completa inmutabilidad y transparencia son dos caras de la misma moneda, y la moneda sigue girando.

Al final, “el desarrollo de algoritmos criptográficos ligeros, así como otros métodos prácticos de seguridad y privacidad, será una tecnología clave que permitirá el desarrollo futuro de la blockchain y sus aplicaciones”, tal y como sugieren los autores de la encuesta Security and Privacy on Blockchain.

No dejes de leer: