SlideShare une entreprise Scribd logo

#CibersegAnd18. La Ciberseguridad en Blockchain.

Télécharger en tant que PPTX, PDF
Ingeniería e Integración Avanzadas (Ingenia)
Ingeniería e Integración Avanzadas (Ingenia)

Oscar Lage, CISO de Tecnalia, realiza esta ponencia "Ciberseguridad en Blockchain", en el marco de las V Jornadas de Ciberseguridad de Andalucía celebradas el 13 de junio 2018.

Technologie
1  sur  26
La Ciberseguridad en Blockchain Oscar Lage Serrano CISO. Tecnalia
La Ciberseguridad en Blockchain Oscar Lage Serrano oscar.lage@tecnalia.com @Oscar_Lage
V Jornada de Ciberseguridad en Andalucía@Oscar_Lage Blockchain como Tecnología
V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 4 ▌ Arquitectura de ciberseguridad basada en algoritmos y tecnologías que en conjunto ofrecen por diseño: – No-repudio de las transacciones – Integridad de la información – Tamper Resistant Software – Alta Disponibilidad – Arquitectura descentralizada – Autenticación robusta Cuidado! Blockchain no ofrece confidencialidad por diseño Blockchain como Tecnología
V Jornada de Ciberseguridad en Andalucía@Oscar_Lage Visión Blockchain es una de las tecnologías más disruptivas de la actualidad, puede cambiar los procedimientos y negocios tal y como los conocemos a día de hoy. 5 ▌
V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 6 ▌ 1er Laboratorio blockchain industrial de europa
V Jornada de Ciberseguridad en Andalucía@Oscar_Lage Análisis de incidentes
V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 8 ▌ Clasificación por activos
V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 9 ▌ Clasificación por vector
V Jornada de Ciberseguridad en Andalucía@Oscar_Lage Retos de Ciberseguridad
V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 11 ▌ Retos Tradicionales
V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 12 ▌ Retos tradicionales de cualquier SW: Injection, Broken Authentication and Session Management, Cross-Site Scriptiong (XSS), Broken Access Control, Security Misconfiguration, Sensitive Data Exposure, Insufficient Attack Protection, Cross-Site Request Forgery (CSRF), Using Components with Known Vulnerabilities, Unprotected APIs, etc. Retos tradicionales
V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 13 ▌ Retos tradicionales Retos tradicionales asociados a la criptografía que aplican a la Blockchain: • Gestión de claves • Custodia • Gestión pérdida y robo • Generación de claves
V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 14 ▌ Retos Específicos de Blockchain
V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 15 ▌ Consensus hijack: • Ataque del 51% en blockchains basadas en prueba de trabajo • Un atacante podría: • Omitir/Alterar transacciones • Ejecutar el temido doble uso. • Crear cadenas alternativas con información manipulada Retos Específicos de Blockchain
V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 16 ▌ Sidechains (cadenas laterales) • Pueden tener un soporte menor (menor cómputo o menor interés de un gran número de usuarios por mantener la operación) • Gateways pueden suponer puntos de fallo o pérdida de activos por un bloqueo no válido en la cadena principal. • Exceso de transacciones si se cierra (resuelve) una sidechain o si está fuera de servicio Retos Específicos de Blockchain
V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 17 ▌ Blockchains privadas: • Pueden llegar a ser más vulnerables (menos puntos de ataque para lograr un Consensus Hijack) • En algunos casos la gestión de la identidad puede ser centralizada Distributed Denial of Service (DDoS) • En Marzo 2016 ya ocurrió el primer ataque DDoS en Bitcoin debido a una wallets enviando transacciones incorrectas con grandes fees asociados a las mismas. • Las cadenas privadas son menos vulnerables porque pueden bloquear o ignorar por consenso al atacante. Retos Específicos de Blockchain
V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 18 ▌ Vulnerabilidades de los Smart Contract: • Los contratos tienen acceso a la información y les delegamos el poder de realizar operaciones automáticamente. • Peter Vesseness encontró hace meses vulnerabilidades en numerosas plantillas de contratos para Ethereum. En su análisis de contratos más populares disponibles en https://dapps.ethercasts.com/ encontró un promedio de 100 bugs por cada 1000 líneas Retos Específicos de Blockchain
V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 19 ▌ Los fallos más comunes de los contratos: • Pérdida del control sobre los activos del contrato (bloqueo de bienes) • Posibilidad de sustracción de los fondos (robo de bienes) • Código que no realiza las funciones que deberían • Uso ineficiente del procesamiento (gasto de GAS) Retos Específicos de Blockchain
V Jornada de Ciberseguridad en Andalucía@Oscar_Lage Buenas Prácticas
V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 21 ▌ Gestión de claves • Almacenamiento seguro de claves (Elementos seguros, HW, cifrado, etc.) • Contemplar el uso de agentes/técnicas de recuperación de contraseñas • Implementación de sistemas multifirma para operaciones sensibles • Generación segura de claves y tamaño/cripto adecuada usando estándares y buenas prácticas tradicionales (IETF/RFC 4107 cryptographic key management guidelines) Buenas Prácticas
V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 22 ▌ Privacidad  Cifrado de las transacciones para que sólo terceros autorizados puedan acceder a la información  Uso de algoritmos de cifrado basado en atributos (Attribute- Based Encryption)  Técnicas de sharding (limitando los nodos que verifican ciertas transacciones)  Técnicas de pruning para eliminar el cuerpo de los mensajes en los bloques Buenas Prácticas
V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 23 ▌ Código  Implantar procedimientos de auditoría de código para las aplicaciones Blockchain y librerías asociadas o utilizar servicios de terceros y prácticas de desarrollo seguro de software  Analizar meticulosamente la custodia de claves de wallets y librerías cliente  Estandarización de funciones habituales en librerías Buenas Prácticas
V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 24 ▌ Red  Monitorización de incrementos de capacidad de cómputo de nodos y su posible aumento de resolución de bloques.  Restringir qué nodos pueden propagar nuevas transacciones para su validación  Creación de una buena y transparente política (criterios) para la aceptación de nuevos miembros, así como la revocación de los mismos (REDES PRIVADAS) Buenas Prácticas
V Jornada de Ciberseguridad en Andalucía@Oscar_Lage “Estar preparado es la mitad de la victoria” Miguel de Cervantes
V Jornada de Ciberseguridad en Andalucía@Oscar_Lage Oscar Lage Serrano oscar.lage@tecnalia.com @Oscar_Lage Muchas gracias por su atención

Recommandé

Comunicaciones industriales opc
Comunicaciones industriales opcComunicaciones industriales opc
Comunicaciones industriales opcCarlos Benito
 
Logitek Comunicación segura OPC_JAI_2014
Logitek Comunicación segura OPC_JAI_2014Logitek Comunicación segura OPC_JAI_2014
Logitek Comunicación segura OPC_JAI_2014Logitek Solutions
 
Encriptacion
EncriptacionEncriptacion
EncriptacionESPE
 
blockchain e industria 4.0 (Vitoria)
blockchain e industria 4.0 (Vitoria)blockchain e industria 4.0 (Vitoria)
blockchain e industria 4.0 (Vitoria)Victor Martinez
 
Presentación sobre criptografía
Presentación sobre criptografíaPresentación sobre criptografía
Presentación sobre criptografíaMedialab en Matadero
 
Metodos de encriptacion
Metodos de encriptacionMetodos de encriptacion
Metodos de encriptacionESPE
 
Secure sockets layer (ssl)
Secure sockets layer (ssl)Secure sockets layer (ssl)
Secure sockets layer (ssl)Darwin Mejias
 
CryptoLock | Cifrado de Archivos
CryptoLock | Cifrado de Archivos CryptoLock | Cifrado de Archivos
CryptoLock | Cifrado de Archivos Realsec | Tecnología y sistemas de cifrado y firma digital
 

Recommandé

Comunicaciones industriales opc
Comunicaciones industriales opcComunicaciones industriales opc
Comunicaciones industriales opcCarlos Benito
 
Logitek Comunicación segura OPC_JAI_2014
Logitek Comunicación segura OPC_JAI_2014Logitek Comunicación segura OPC_JAI_2014
Logitek Comunicación segura OPC_JAI_2014Logitek Solutions
 
Encriptacion
EncriptacionEncriptacion
EncriptacionESPE
 
blockchain e industria 4.0 (Vitoria)
blockchain e industria 4.0 (Vitoria)blockchain e industria 4.0 (Vitoria)
blockchain e industria 4.0 (Vitoria)Victor Martinez
 
Presentación sobre criptografía
Presentación sobre criptografíaPresentación sobre criptografía
Presentación sobre criptografíaMedialab en Matadero
 
Metodos de encriptacion
Metodos de encriptacionMetodos de encriptacion
Metodos de encriptacionESPE
 
Secure sockets layer (ssl)
Secure sockets layer (ssl)Secure sockets layer (ssl)
Secure sockets layer (ssl)Darwin Mejias
 
CryptoLock | Cifrado de Archivos
CryptoLock | Cifrado de Archivos CryptoLock | Cifrado de Archivos
CryptoLock | Cifrado de Archivos Realsec | Tecnología y sistemas de cifrado y firma digital
 
Criptografia
CriptografiaCriptografia
Criptografianadproa
 
Tecnologias de seguridad aplicadas al comercio electrónico
Tecnologias de seguridad aplicadas al comercio electrónicoTecnologias de seguridad aplicadas al comercio electrónico
Tecnologias de seguridad aplicadas al comercio electrónicocri5tian
 
Félix Barrio_Ciberseg14
Félix Barrio_Ciberseg14Félix Barrio_Ciberseg14
Félix Barrio_Ciberseg14Ingeniería e Integración Avanzadas (Ingenia)
 
RAN Security
RAN SecurityRAN Security
RAN SecurityAndrés Mellizo
 
Encriptacion Y Metodos
Encriptacion Y MetodosEncriptacion Y Metodos
Encriptacion Y Metodosguestded4eb
 
Seguridad de las comunicaciones
Seguridad de las comunicacionesSeguridad de las comunicaciones
Seguridad de las comunicacionesIsaias Celestino Sanchez Gomez
 
Criptografía en Webs 2.0
Criptografía en Webs 2.0Criptografía en Webs 2.0
Criptografía en Webs 2.0Dedalo-SB
 
Métodos de cifrado
Métodos de cifrado Métodos de cifrado
Métodos de cifrado Victor Manuel Ramirez Chacon
 
La nueva privacidad en internet y sus consecuencias
La nueva privacidad en internet y sus consecuenciasLa nueva privacidad en internet y sus consecuencias
La nueva privacidad en internet y sus consecuenciasFundación Proydesa
 
Criptografia
CriptografiaCriptografia
CriptografiaBrayan Becerril Perez
 
Principios de analisis forense
Principios de analisis forensePrincipios de analisis forense
Principios de analisis forenseAndres Pozo
 
Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...
Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...
Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...Jose Manuel Ortega Candel
 
Seguridad de información para criptoactivos
Seguridad de información para criptoactivosSeguridad de información para criptoactivos
Seguridad de información para criptoactivosEudy Zerpa
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...TGS
 
Blockchain y sector asegurador
Blockchain y sector aseguradorBlockchain y sector asegurador
Blockchain y sector aseguradorCARLOS III UNIVERSITY OF MADRID
 
#avanttic_webinar: Seguridad en Oracle Cloud Infrastructure
#avanttic_webinar: Seguridad en Oracle Cloud Infrastructure#avanttic_webinar: Seguridad en Oracle Cloud Infrastructure
#avanttic_webinar: Seguridad en Oracle Cloud Infrastructureavanttic Consultoría Tecnológica
 
Introducción a la Tecnología Blockchain
Introducción a la Tecnología BlockchainIntroducción a la Tecnología Blockchain
Introducción a la Tecnología BlockchainSolangel Eloisa Araujo Frechi
 
La nube, el nuevo sol: Retos y Soluciones en Arquitecturas de Telecontrol en ...
La nube, el nuevo sol: Retos y Soluciones en Arquitecturas de Telecontrol en ...La nube, el nuevo sol: Retos y Soluciones en Arquitecturas de Telecontrol en ...
La nube, el nuevo sol: Retos y Soluciones en Arquitecturas de Telecontrol en ...Logitek Solutions
 
20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral3calabera
 
Blockchain: la revolución industrial de internet - Oscar Lage
Blockchain: la revolución industrial de internet - Oscar LageBlockchain: la revolución industrial de internet - Oscar Lage
Blockchain: la revolución industrial de internet - Oscar Lagebetabeers
 
Protocolo de redes ssl
Protocolo de redes sslProtocolo de redes ssl
Protocolo de redes sslNANO-06
 
Curso de blockchain
Curso de blockchain Curso de blockchain
Curso de blockchain 101 Blockchains Latin America
 

Contenu connexe

Tendances

Criptografia
CriptografiaCriptografia
Criptografianadproa
 
Tecnologias de seguridad aplicadas al comercio electrónico
Tecnologias de seguridad aplicadas al comercio electrónicoTecnologias de seguridad aplicadas al comercio electrónico
Tecnologias de seguridad aplicadas al comercio electrónicocri5tian
 
Encriptacion Y Metodos
Encriptacion Y MetodosEncriptacion Y Metodos
Encriptacion Y Metodosguestded4eb
 
Criptografía en Webs 2.0
Criptografía en Webs 2.0Criptografía en Webs 2.0
Criptografía en Webs 2.0Dedalo-SB
 
La nueva privacidad en internet y sus consecuencias
La nueva privacidad en internet y sus consecuenciasLa nueva privacidad en internet y sus consecuencias
La nueva privacidad en internet y sus consecuenciasFundación Proydesa
 
Principios de analisis forense
Principios de analisis forensePrincipios de analisis forense
Principios de analisis forenseAndres Pozo
 

Tendances (11)

Criptografia
CriptografiaCriptografia
Criptografia
 
Tecnologias de seguridad aplicadas al comercio electrónico
Tecnologias de seguridad aplicadas al comercio electrónicoTecnologias de seguridad aplicadas al comercio electrónico
Tecnologias de seguridad aplicadas al comercio electrónico
 
Félix Barrio_Ciberseg14
Félix Barrio_Ciberseg14Félix Barrio_Ciberseg14
Félix Barrio_Ciberseg14
 
RAN Security
RAN SecurityRAN Security
RAN Security
 
Encriptacion Y Metodos
Encriptacion Y MetodosEncriptacion Y Metodos
Encriptacion Y Metodos
 
Seguridad de las comunicaciones
Seguridad de las comunicacionesSeguridad de las comunicaciones
Seguridad de las comunicaciones
 
Criptografía en Webs 2.0
Criptografía en Webs 2.0Criptografía en Webs 2.0
Criptografía en Webs 2.0
 
Métodos de cifrado
Métodos de cifrado Métodos de cifrado
Métodos de cifrado
 
La nueva privacidad en internet y sus consecuencias
La nueva privacidad en internet y sus consecuenciasLa nueva privacidad en internet y sus consecuencias
La nueva privacidad en internet y sus consecuencias
 
Criptografia
CriptografiaCriptografia
Criptografia
 
Principios de analisis forense
Principios de analisis forensePrincipios de analisis forense
Principios de analisis forense
 

Similaire à #CibersegAnd18. La Ciberseguridad en Blockchain.

Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...
Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...
Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...Jose Manuel Ortega Candel
 
Seguridad de información para criptoactivos
Seguridad de información para criptoactivosSeguridad de información para criptoactivos
Seguridad de información para criptoactivosEudy Zerpa
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...TGS
 
La nube, el nuevo sol: Retos y Soluciones en Arquitecturas de Telecontrol en ...
La nube, el nuevo sol: Retos y Soluciones en Arquitecturas de Telecontrol en ...La nube, el nuevo sol: Retos y Soluciones en Arquitecturas de Telecontrol en ...
La nube, el nuevo sol: Retos y Soluciones en Arquitecturas de Telecontrol en ...Logitek Solutions
 
20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral3calabera
 
Blockchain: la revolución industrial de internet - Oscar Lage
Blockchain: la revolución industrial de internet - Oscar LageBlockchain: la revolución industrial de internet - Oscar Lage
Blockchain: la revolución industrial de internet - Oscar Lagebetabeers
 
Protocolo de redes ssl
Protocolo de redes sslProtocolo de redes ssl
Protocolo de redes sslNANO-06
 
El blockchain, origen, evolución, importancia y aplicación
El blockchain, origen, evolución, importancia y aplicaciónEl blockchain, origen, evolución, importancia y aplicación
El blockchain, origen, evolución, importancia y aplicaciónLzaroLpezErcilioFlor
 
Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6pacvslideshare
 
tecnología Blockchain
tecnología Blockchaintecnología Blockchain
tecnología BlockchainRafal Reyes
 
Seguridad en redes corporativas II (PRAXITEC)
Seguridad en redes corporativas II (PRAXITEC)Seguridad en redes corporativas II (PRAXITEC)
Seguridad en redes corporativas II (PRAXITEC)Jack Daniel Cáceres Meza
 

Similaire à #CibersegAnd18. La Ciberseguridad en Blockchain. (20)

Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...
Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...
Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...
 
Seguridad de información para criptoactivos
Seguridad de información para criptoactivosSeguridad de información para criptoactivos
Seguridad de información para criptoactivos
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
 
Blockchain y sector asegurador
Blockchain y sector aseguradorBlockchain y sector asegurador
Blockchain y sector asegurador
 
#avanttic_webinar: Seguridad en Oracle Cloud Infrastructure
#avanttic_webinar: Seguridad en Oracle Cloud Infrastructure#avanttic_webinar: Seguridad en Oracle Cloud Infrastructure
#avanttic_webinar: Seguridad en Oracle Cloud Infrastructure
 
Introducción a la Tecnología Blockchain
Introducción a la Tecnología BlockchainIntroducción a la Tecnología Blockchain
Introducción a la Tecnología Blockchain
 
La nube, el nuevo sol: Retos y Soluciones en Arquitecturas de Telecontrol en ...
La nube, el nuevo sol: Retos y Soluciones en Arquitecturas de Telecontrol en ...La nube, el nuevo sol: Retos y Soluciones en Arquitecturas de Telecontrol en ...
La nube, el nuevo sol: Retos y Soluciones en Arquitecturas de Telecontrol en ...
 
20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral
 
Blockchain: la revolución industrial de internet - Oscar Lage
Blockchain: la revolución industrial de internet - Oscar LageBlockchain: la revolución industrial de internet - Oscar Lage
Blockchain: la revolución industrial de internet - Oscar Lage
 
Protocolo de redes ssl
Protocolo de redes sslProtocolo de redes ssl
Protocolo de redes ssl
 
Curso de blockchain
Curso de blockchain Curso de blockchain
Curso de blockchain
 
Blockchain
BlockchainBlockchain
Blockchain
 
El blockchain, origen, evolución, importancia y aplicación
El blockchain, origen, evolución, importancia y aplicaciónEl blockchain, origen, evolución, importancia y aplicación
El blockchain, origen, evolución, importancia y aplicación
 
Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6
 
Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad4
Seguridad4Seguridad4
Seguridad4
 
tecnología Blockchain
tecnología Blockchaintecnología Blockchain
tecnología Blockchain
 
El Blockchain más allá del Bitcoin
El Blockchain más allá del BitcoinEl Blockchain más allá del Bitcoin
El Blockchain más allá del Bitcoin
 
Cryptosec-Lan
Cryptosec-LanCryptosec-Lan
Cryptosec-Lan
 
Seguridad en redes corporativas II (PRAXITEC)
Seguridad en redes corporativas II (PRAXITEC)Seguridad en redes corporativas II (PRAXITEC)
Seguridad en redes corporativas II (PRAXITEC)
 

Plus de Ingeniería e Integración Avanzadas (Ingenia)

Plus de Ingeniería e Integración Avanzadas (Ingenia) (20)

Disinformation 2.0 (Ingenia Cibersecurity. 2020 FIRST Symposium Regional Europe)
Disinformation 2.0 (Ingenia Cibersecurity. 2020 FIRST Symposium Regional Europe)Disinformation 2.0 (Ingenia Cibersecurity. 2020 FIRST Symposium Regional Europe)
Disinformation 2.0 (Ingenia Cibersecurity. 2020 FIRST Symposium Regional Europe)
 
Ingenia en #XIIIJORNADASCCNCERT: Desinformación 2.0
Ingenia en #XIIIJORNADASCCNCERT: Desinformación 2.0Ingenia en #XIIIJORNADASCCNCERT: Desinformación 2.0
Ingenia en #XIIIJORNADASCCNCERT: Desinformación 2.0
 
Ingenia en #XIIIJORNADASCCNCERT: El mito de la tecnología
Ingenia en #XIIIJORNADASCCNCERT: El mito de la tecnologíaIngenia en #XIIIJORNADASCCNCERT: El mito de la tecnología
Ingenia en #XIIIJORNADASCCNCERT: El mito de la tecnología
 
Ingenia en #XIIIJORNADASCCNCERT: Darwin y la ciberseguridad
Ingenia en #XIIIJORNADASCCNCERT: Darwin y la ciberseguridadIngenia en #XIIIJORNADASCCNCERT: Darwin y la ciberseguridad
Ingenia en #XIIIJORNADASCCNCERT: Darwin y la ciberseguridad
 
Estado actual del Cibercrimen (#CibersegAnd19)
Estado actual del Cibercrimen (#CibersegAnd19)Estado actual del Cibercrimen (#CibersegAnd19)
Estado actual del Cibercrimen (#CibersegAnd19)
 
Sin fronteras (#CibersegAnd19)
Sin fronteras (#CibersegAnd19)Sin fronteras (#CibersegAnd19)
Sin fronteras (#CibersegAnd19)
 
El entorno IoT y las amenazas (#CibersegAnd19)
El entorno IoT y las amenazas (#CibersegAnd19)El entorno IoT y las amenazas (#CibersegAnd19)
El entorno IoT y las amenazas (#CibersegAnd19)
 
Ciberseguridad Industrial (#CibersegAnd19)
Ciberseguridad Industrial (#CibersegAnd19)Ciberseguridad Industrial (#CibersegAnd19)
Ciberseguridad Industrial (#CibersegAnd19)
 
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
 
Ingenia, transformación digital en la Administración Pública
Ingenia, transformación digital en la Administración PúblicaIngenia, transformación digital en la Administración Pública
Ingenia, transformación digital en la Administración Pública
 
Ingenia, soluciones para el gobierno electrónico
Ingenia, soluciones para el gobierno electrónicoIngenia, soluciones para el gobierno electrónico
Ingenia, soluciones para el gobierno electrónico
 
Ingenia, transformación digital en la Administración Local
Ingenia, transformación digital en la Administración LocalIngenia, transformación digital en la Administración Local
Ingenia, transformación digital en la Administración Local
 
eSalux. Sistema Integral de Gestión de Servicios Médicos de Aseguradoras.
eSalux. Sistema Integral de Gestión de Servicios Médicos de Aseguradoras.eSalux. Sistema Integral de Gestión de Servicios Médicos de Aseguradoras.
eSalux. Sistema Integral de Gestión de Servicios Médicos de Aseguradoras.
 
El Reglamento UE 679/2016: ¿realidad o ficción?
El Reglamento UE 679/2016: ¿realidad o ficción?El Reglamento UE 679/2016: ¿realidad o ficción?
El Reglamento UE 679/2016: ¿realidad o ficción?
 
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
 
IV Jornadas de Ciberseguridad en Andalucía: El cumplimiento como base de la c...
IV Jornadas de Ciberseguridad en Andalucía: El cumplimiento como base de la c...IV Jornadas de Ciberseguridad en Andalucía: El cumplimiento como base de la c...
IV Jornadas de Ciberseguridad en Andalucía: El cumplimiento como base de la c...
 
IV Jornadas de Ciberseguridad en Andalucía: Ciberseguridad en la Universidad
IV Jornadas de Ciberseguridad en Andalucía: Ciberseguridad en la UniversidadIV Jornadas de Ciberseguridad en Andalucía: Ciberseguridad en la Universidad
IV Jornadas de Ciberseguridad en Andalucía: Ciberseguridad en la Universidad
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
 
IV Jornadas de Ciberseguridad en Andalucía: GDPR & PILAR
IV Jornadas de Ciberseguridad en Andalucía: GDPR & PILARIV Jornadas de Ciberseguridad en Andalucía: GDPR & PILAR
IV Jornadas de Ciberseguridad en Andalucía: GDPR & PILAR
 
IV Jornadas de Ciberseguridad en Andalucía: Seguridad en industria, infraestu...
IV Jornadas de Ciberseguridad en Andalucía: Seguridad en industria, infraestu...IV Jornadas de Ciberseguridad en Andalucía: Seguridad en industria, infraestu...
IV Jornadas de Ciberseguridad en Andalucía: Seguridad en industria, infraestu...
 

Dernier

Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 

Dernier (10)

Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 

#CibersegAnd18. La Ciberseguridad en Blockchain.

  • 2. La Ciberseguridad en Blockchain Oscar Lage Serrano oscar.lage@tecnalia.com @Oscar_Lage
  • 3. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage Blockchain como Tecnología
  • 4. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 4 ▌ Arquitectura de ciberseguridad basada en algoritmos y tecnologías que en conjunto ofrecen por diseño: – No-repudio de las transacciones – Integridad de la información – Tamper Resistant Software – Alta Disponibilidad – Arquitectura descentralizada – Autenticación robusta Cuidado! Blockchain no ofrece confidencialidad por diseño Blockchain como Tecnología
  • 5. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage Visión Blockchain es una de las tecnologías más disruptivas de la actualidad, puede cambiar los procedimientos y negocios tal y como los conocemos a día de hoy. 5 ▌
  • 6. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 6 ▌ 1er Laboratorio blockchain industrial de europa
  • 7. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage Análisis de incidentes
  • 8. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 8 ▌ Clasificación por activos
  • 9. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 9 ▌ Clasificación por vector
  • 10. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage Retos de Ciberseguridad
  • 11. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 11 ▌ Retos Tradicionales
  • 12. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 12 ▌ Retos tradicionales de cualquier SW: Injection, Broken Authentication and Session Management, Cross-Site Scriptiong (XSS), Broken Access Control, Security Misconfiguration, Sensitive Data Exposure, Insufficient Attack Protection, Cross-Site Request Forgery (CSRF), Using Components with Known Vulnerabilities, Unprotected APIs, etc. Retos tradicionales
  • 13. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 13 ▌ Retos tradicionales Retos tradicionales asociados a la criptografía que aplican a la Blockchain: • Gestión de claves • Custodia • Gestión pérdida y robo • Generación de claves
  • 14. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 14 ▌ Retos Específicos de Blockchain
  • 15. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 15 ▌ Consensus hijack: • Ataque del 51% en blockchains basadas en prueba de trabajo • Un atacante podría: • Omitir/Alterar transacciones • Ejecutar el temido doble uso. • Crear cadenas alternativas con información manipulada Retos Específicos de Blockchain
  • 16. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 16 ▌ Sidechains (cadenas laterales) • Pueden tener un soporte menor (menor cómputo o menor interés de un gran número de usuarios por mantener la operación) • Gateways pueden suponer puntos de fallo o pérdida de activos por un bloqueo no válido en la cadena principal. • Exceso de transacciones si se cierra (resuelve) una sidechain o si está fuera de servicio Retos Específicos de Blockchain
  • 17. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 17 ▌ Blockchains privadas: • Pueden llegar a ser más vulnerables (menos puntos de ataque para lograr un Consensus Hijack) • En algunos casos la gestión de la identidad puede ser centralizada Distributed Denial of Service (DDoS) • En Marzo 2016 ya ocurrió el primer ataque DDoS en Bitcoin debido a una wallets enviando transacciones incorrectas con grandes fees asociados a las mismas. • Las cadenas privadas son menos vulnerables porque pueden bloquear o ignorar por consenso al atacante. Retos Específicos de Blockchain
  • 18. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 18 ▌ Vulnerabilidades de los Smart Contract: • Los contratos tienen acceso a la información y les delegamos el poder de realizar operaciones automáticamente. • Peter Vesseness encontró hace meses vulnerabilidades en numerosas plantillas de contratos para Ethereum. En su análisis de contratos más populares disponibles en https://dapps.ethercasts.com/ encontró un promedio de 100 bugs por cada 1000 líneas Retos Específicos de Blockchain
  • 19. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 19 ▌ Los fallos más comunes de los contratos: • Pérdida del control sobre los activos del contrato (bloqueo de bienes) • Posibilidad de sustracción de los fondos (robo de bienes) • Código que no realiza las funciones que deberían • Uso ineficiente del procesamiento (gasto de GAS) Retos Específicos de Blockchain
  • 20. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage Buenas Prácticas
  • 21. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 21 ▌ Gestión de claves • Almacenamiento seguro de claves (Elementos seguros, HW, cifrado, etc.) • Contemplar el uso de agentes/técnicas de recuperación de contraseñas • Implementación de sistemas multifirma para operaciones sensibles • Generación segura de claves y tamaño/cripto adecuada usando estándares y buenas prácticas tradicionales (IETF/RFC 4107 cryptographic key management guidelines) Buenas Prácticas
  • 22. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 22 ▌ Privacidad  Cifrado de las transacciones para que sólo terceros autorizados puedan acceder a la información  Uso de algoritmos de cifrado basado en atributos (Attribute- Based Encryption)  Técnicas de sharding (limitando los nodos que verifican ciertas transacciones)  Técnicas de pruning para eliminar el cuerpo de los mensajes en los bloques Buenas Prácticas
  • 23. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 23 ▌ Código  Implantar procedimientos de auditoría de código para las aplicaciones Blockchain y librerías asociadas o utilizar servicios de terceros y prácticas de desarrollo seguro de software  Analizar meticulosamente la custodia de claves de wallets y librerías cliente  Estandarización de funciones habituales en librerías Buenas Prácticas
  • 24. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage 24 ▌ Red  Monitorización de incrementos de capacidad de cómputo de nodos y su posible aumento de resolución de bloques.  Restringir qué nodos pueden propagar nuevas transacciones para su validación  Creación de una buena y transparente política (criterios) para la aceptación de nuevos miembros, así como la revocación de los mismos (REDES PRIVADAS) Buenas Prácticas
  • 25. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage “Estar preparado es la mitad de la victoria” Miguel de Cervantes
  • 26. V Jornada de Ciberseguridad en Andalucía@Oscar_Lage Oscar Lage Serrano oscar.lage@tecnalia.com @Oscar_Lage Muchas gracias por su atención