La Inteligencia Artificial y la Seguridad en Criptomonedas
La inteligencia artificial (IA) ha proporcionado a los atacantes de criptomonedas herramientas equivalentes a las que utilizan los defensores, y los resultados están costando a la industria miles de millones, según expertos. Mitchell Amador, CEO de Immunefi, comentó a Decrypt durante el inicio de la semana Token2049 en Singapur que la IA ha transformado el descubrimiento de vulnerabilidades en una explotación casi instantánea.
«Si tenemos eso, ¿puede el grupo Lazarus de Corea del Norte construir herramientas similares? ¿Pueden los grupos de hackers rusos y ucranianos hacer lo mismo? La respuesta es que sí, pueden.»
El agente de auditoría de IA de Immunefi supera a la gran mayoría de las firmas de auditoría tradicionales, pero esa misma capacidad está al alcance de operaciones de hacking bien financiadas. Amador añadió que «las auditorías son excelentes, pero no son suficientes para mantenerse al día con la tasa de innovación y la mejora acumulativa de los atacantes».
Impacto de la IA en la Seguridad
Con más del 3% del valor total bloqueado robado en todo el ecosistema en 2024, Amador señaló que, aunque la seguridad ya no es un pensamiento secundario, los proyectos «luchan por saber cómo invertir y cómo asignar recursos de manera efectiva». La industria ha pasado de «un problema de priorización, que es algo maravilloso, a ser un problema de conocimiento y educación».
La IA también ha hecho que los ataques de ingeniería social sofisticados sean muy económicos. Amador comentó:
«¿Cuánto crees que cuesta esa llamada telefónica?»
refiriéndose a las llamadas de phishing generadas por IA que pueden suplantar a colegas con una precisión inquietante.
Desafíos y Soluciones en la Industria
El CEO de Immunefi mencionó que grupos como Lazarus probablemente emplean «al menos a unos pocos cientos de personas, si no miles, trabajando las 24 horas» en explotaciones de criptomonedas como una fuente importante de ingresos para la economía de Corea del Norte. Las presiones competitivas impulsan a los operativos a proteger activos individuales y ‘superar a sus colegas’ en lugar de coordinar mejoras de seguridad.
Amador destacó que «el problema con los ataques impulsados por IA es que acelera la tasa a la que algo puede pasar de descubrimiento a explotación». La respuesta de Immunefi ha sido integrar la IA directamente en los repositorios de GitHub de los desarrolladores y en las tuberías de CI/CD, capturando vulnerabilidades antes de que el código llegue a producción.
El Futuro de la Seguridad en Criptomonedas
Dmytro Matviiv, CEO de la plataforma de recompensas por errores Web3 HackenProof, comentó que «las auditorías manuales siempre tendrán un lugar, pero su papel cambiará». Las herramientas de IA son cada vez más efectivas para detectar vulnerabilidades de ‘fruta baja’, lo que reduce la necesidad de revisiones manuales a gran escala de errores comunes.
Immunefi ha facilitado más de $100 millones en pagos a hackers de sombrero blanco, pero Amador advirtió que la plataforma ha «alcanzado los límites» ya que no hay «suficientes ojos» para proporcionar la cobertura necesaria en toda la industria. Las recompensas por errores enfrentan un problema intrínseco de juego de suma cero que crea incentivos perversos para ambos lados.
Conclusiones sobre la Seguridad en Criptomonedas
A pesar de las mejoras en seguridad en áreas tradicionales, Amador señaló que la industria «no está tan bien» en seguridad multi-firma, spear phishing, medidas anti-estafa y protección comunitaria. Immunefi ha lanzado un producto de seguridad multi-firma que asigna a hackers de sombrero blanco de élite para revisar manualmente cada transacción significativa antes de su ejecución.
Amador concluyó que «la recompensa por errores es la segunda más costosa, siendo la más costosa el hackeo», describiendo una jerarquía de costos que aumenta drásticamente en cada etapa. La seguridad efectiva requiere detectar vulnerabilidades lo antes posible en el proceso de desarrollo.
«Aún no hemos llegado al punto en que podamos manejar billones y billones de activos. Simplemente no estamos allí en este momento.»
