EtherHiding y la paradoja de la seguridad en blockchain

Una de las propiedades más interesantes de la tecnología blockchain es la inmutabilidad, que a nivel tecnológico se asocia principalmente a soluciones de software, aunque también puede implicar infraestructuras tecnológicas físicas, y se refiere a la manera en la que los datos son procesados. La inmutabilidad, a nivel de software, funciona principalmente con datos; los datos son uno de los recursos más importantes para que cualquier tipo de software y tipo de configuración de red funcione. En este caso, los datos, una vez que son escritos, no pueden ser combinados o eliminados. 

La inmutabilidad a lo largo de la historia tecnológica ha cumplido un papel fundamental para integrar estrategías de protección de información y para asegurar una de las características de blockchain que  es la seguridad, que es una de las propiedades fundamentales de esta tecnología. 

Debido al tipo arquitectura de sistema distribuido la inmutabilidad permite que los datos que son almacenados y transaccionados en la red blockchain sean conservados con base a las características de gobernanza y trazabilidad del protocolo. En la mayoría de los casos se conservan los datos sin censura y por un periodo indefinido. Por “indefinido” me refiero a que pueden ser almacenados mientras el protocolo siga operativo, tenga la infraestructura adecuada para procesar y almacenar la información y continúe funcionando. 

La descentralización en blockchain atribuye a los protocolos transferencia de control y toma de decisiones en la arquitectura del sistema distribuido. Esto no significa que la red ese fuera de internet, si no que la manera en que se transmite información es distinta, en este caso, las configuraciones y características basadas en la gobernanza y la manera de gestión de la información en la blockchain dictan el principio de descentralización. 

Comprendiendo estas características, recientemente surgió una técnica de código malicioso conocida como EtherHiding, identificada por el equipo de Google Threat Intelligence Group (GTIG), cuyo objetivo principal es ocultar código malicioso dentro de transacciones o contratos inteligentes, sobre todo de blockchains públicas. 

Es interesante porque, a nivel de software, convierte la blockchain en un servidor de comando y control (C2). En un sistema centralizado, un servidor C2 funciona como un punto de comunicación entre infectados principalmente por malware; para que exista comunicación entre dispositivos, estos deben estar configurados en la misma red. En este caso, la técnica lo que hace es aprovechar que a nivel blockchain la estructura permite que esta función de C2 se distribuya de manera descentralizada. 

La adopción de EtherHiding demuestra que características y propiedades clave como la descentralización y la inmutabilidad, que además son las mayores fortalezas de la blockchain, pueden convertirse en una debilidad crítica cuando se utilizan como infraestructura C2. 

La técnica funciona a través de los contratos inteligentes: cuando un atacante escribe un código malicioso y lo integra  como datos en el contrato inteligente, posteriormente se usa una técnica de ingeniería social para distribuir un software o programa,obviamente disfrazado de algo seguro. Este programa se conecta a un servidor web tradicional, y esto es posible mediante las APIs públicas para leer los datos ocultos en el contrato inteligente. El código oculto se descarga, ensambla y ejecuta, instalando un malware que puede, por ejemplo, robar credenciales y criptomonedas. 

Los protocolos de capa 2 (L2), a través de los contratos inteligentes, constituyen una base  fundamental para para procesar transacciones y lógica de forma más rápida y económica. Sin embargo, es en esta capa donde las vulnerabilidades de código se convierten en un objetivo principal de los atacantes. Estas vulnerabilidades por sí mismas, ya son conocidas, y la adopción de técnicas como EtherHiding se debe a que permiten alcanzar una resiliencia extrema: puede resultar imposible eliminar o bloquear la vulnerabilidad, que permanecerá accesible mientras la blockchain continúe operativa,aprovechando el anonimato y la evasión de defensas convencionales inherentes a esta tecnología. 

EtherHiding no es un error en el código del smart contract, sino la explotación de la inmutabilidad y la descentralización de la blockchain para lograr resiliencia. Esto obliga a las organizaciones a cambiar el enfoque de la mitigación reforzando la detección y el bloqueo en el punto de entrada de la víctima.