Un agradecimiento especial a Hudson Jameson, OfficerCIA y samczsun por sus comentarios y reseñas.

Durante la semana pasada, un artículo ha estado circulando sobre una empresa que perdió $ 25 millones cuando un trabajador de finanzas fue convencido de enviar una transferencia bancaria a un estafador que se hizo pasar por el director financiero. a través de lo que parece haber sido una videollamada deepfaked muy convincente.

Los deepfakes (p. ej. Audio y video falsos generados por IA) están apareciendo cada vez con más frecuencia tanto en el espacio de las criptomonedas como en otros lugares. En los últimos meses, los deepfakes míos se han utilizado para anunciar todo tipo de estafas, así como monedas para perros. La calidad de los deepfakes está mejorando rápidamente: mientras que los deepfakes de 2020 eran vergonzosamente obvios y malos, los de los últimos meses son cada vez más difíciles de distinguir. Alguien que me conozca bien aún podría identificar el reciente video de mí lanzando una moneda para perros como falso porque me hace decir "vamos ala",mientras que solo he usado "LFG" para significar "buscando grupo", pero las personas que solo han escuchado mi voz unas pocas veces podrían convencerse fácilmente.

Los expertos en seguridad a los que mencioné el robo de 25 millones de dólares confirman uniformemente que fue un fracaso excepcional y vergonzoso de la seguridad operativa de la empresa en múltiples niveles: la práctica estándar es requerir varios niveles de aprobación antes de que se pueda aprobar una transferencia cercana a ese tamaño. Pero aún así, el hecho es que, a partir de 2024, una transmisión de audio o incluso video de una persona ya no es una forma segura de autenticar quién es.

Esto plantea la pregunta: ¿qué es?

Los métodos criptográficos por sí solos no son la respuesta

Ser capaz de autenticar de forma segura a las personas es valioso para todo tipo de personas en todo tipo de situaciones: personas que recuperan sus billeteras de recuperación social o multifirma, empresas que aprueban transacciones comerciales, personas que aprueban grandes transacciones para uso personal (por ejemplo, para invertir en una startup, comprar una casa, enviar remesas) ya sea con criptomonedas o con dinero fiduciario, e incluso miembros de la familia que necesitan autenticarse entre sí en emergencias. Por lo tanto, es muy importante tener una buena solución que pueda sobrevivir a la próxima era de deepfakes relativamente fáciles.

Una respuesta a esta pregunta que escucho a menudo en los círculos criptográficos es: "puede autenticarse proporcionando una firma criptográfica desde una dirección adjunta a su ENS / perfil de prueba de humanidad / clave PGP pública". Esta es una respuesta atractiva. Sin embargo, pierde por completo el punto de por qué involucrar a otras personas al firmar transacciones es útil en primer lugar. Supongamos que usted es una persona con una billetera personal multifirma y está enviando una transacción que desea que aprueben algunos cofirmantes. ¿En qué circunstancias lo aprobarían? Si están seguros de que eres tú quien realmente quiere que se produzca la transferencia. Si es un hacker el que robó tu llave, o un secuestrador, no lo aprobarían. En un contexto empresarial, generalmente tiene más capas de defensa; Pero aún así, un atacante podría hacerse pasar por un gerente no solo para la solicitud final, sino también para las primeras etapas del proceso de aprobación. Incluso pueden secuestrar una solicitud legítima en curso al proporcionar la dirección incorrecta.

Y así, en muchos casos, el hecho de que los otros firmantes acepten que eres tú si firmas con tu clave mata todo el punto: convierte todo el contrato en un multifirma 1 de 1 en el que alguien solo necesita tomar el control de tu clave única para robar los fondos.

Aquí es donde llegamos a una respuesta que realmente tiene cierto sentido: las preguntas de seguridad.

Preguntas de seguridad

Supongamos que alguien te envía un mensaje de texto diciendo ser una persona en particular que es tu amigo. Están enviando mensajes de texto desde una cuenta que nunca antes había visto y afirman haber perdido todos sus dispositivos. ¿Cómo se determina si son quienes dicen ser?

Hay una respuesta obvia: pregúntales cosas que solo ellos sabrían sobre su vida. Estas deben ser cosas que:

1. Sabes
2. Esperas que recuerden
3. Internet no lo sabe
4. Son difíciles de adivinar
5. Idealmente, incluso alguien que ha hackeado bases de datos corporativas y gubernamentales no lo sabe

Lo natural es preguntarles sobre experiencias compartidas. Algunos ejemplos posibles son:

• La última vez que nos vimos, ¿en qué restaurante cenamos y qué comida tenías?
• ¿Quién de nuestros amigos hizo esa broma sobre un político antiguo? ¿Y qué político era?
• ¿Qué película vimos recientemente que no te gustó?
• ¿Sugeriste la semana pasada que hablara con ellos sobre la posibilidad de que nos ayudaran con la investigación?

Ejemplo real de una pregunta de seguridad que alguien usó recientemente para autenticarme.

Cuanto más única sea tu pregunta, mejor. Las preguntas que están justo en el límite en el que alguien tiene que pensar durante unos segundos e incluso podría olvidar la respuesta son buenas: pero si la persona a la que le estás preguntando afirma haberlo olvidado, asegúrate de hacerle tres preguntas más. Preguntar sobre los detalles "micro" (lo que le gustó o no le gustó a alguien, chistes específicos, etc.) suele ser mejor que los detalles "macro", porque los primeros son generalmente mucho más difíciles de desenterrar accidentalmente para terceros (p. ej. si incluso una persona publicó una foto de la cena en Instagram, los LLM modernos pueden ser lo suficientemente rápidos como para captarla y proporcionar la ubicación en tiempo real). Si tu pregunta es potencialmente adivinable (en el sentido de que solo hay unas pocas opciones potenciales que tienen sentido), acumula la entropía agregando otra pregunta.

Las personas a menudo dejarán de participar en prácticas de seguridad si son aburridas y aburridas, por lo que es saludable hacer que las preguntas de seguridad sean divertidas. Pueden ser una forma de recordar experiencias positivas compartidas. Y pueden ser un incentivo para tener esas experiencias en primer lugar.

Complementos a las preguntas de seguridad

Ninguna estrategia de seguridad es perfecta, por lo que siempre es mejor combinar varias técnicas.

• Palabras clave acordadas previamente: cuando estén juntos, acuerden intencionalmente una palabra clave compartida que luego puedan usar para autenticarse mutuamente.
• Tal vez incluso acuerden una clave de coacción: una palabra que puedas insertar inocentemente en una oración que le indique silenciosamente a la otra parte que estás siendo coaccionado o amenazado. Esta palabra debe ser lo suficientemente común como para que se sienta natural cuando la uses, pero lo suficientemente rara como para que no la insertes accidentalmente en tu discurso.
• Cuando alguien te envía una dirección ETH, pídele que la confirme en múltiples canales (p. ej. Signal y Twitter DM, en el sitio web de la empresa, o incluso a través de un conocido mutuo)
• Protéjase contra los ataques de intermediarios: Señale los "números de seguridad", los emojis de Telegram y características similares que es bueno entender y tener en cuenta.
• Límites y retrasos diarios: basta con imponer retrasos en acciones de gran trascendencia e irreversibles. Esto se puede hacer a nivel de política (acordar previamente con los firmantes que esperarán N horas o días antes de firmar) o a nivel de código (imponer límites y retrasos en el código del contrato inteligente)

Un posible ataque sofisticado en el que un atacante se hace pasar por un ejecutivo y un concesionario en varios pasos de un proceso de aprobación. Las preguntas de seguridad y los retrasos pueden protegerse contra esto; Probablemente sea mejor usar ambos.

Las preguntas de seguridad son buenas porque, a diferencia de muchas otras técnicas que fallan porque no son amigables para los humanos, las preguntas de seguridad se basan en información que los seres humanos son naturalmente buenos para recordar. He utilizado preguntas de seguridad durante años, y es un hábito que en realidad se siente muy natural y no incómodo, y vale la pena incluirlo en su flujo de trabajo, además de sus otras capas de protección.

Tenga en cuenta que las preguntas de seguridad "de individuo a individuo" como se describe anteriormente son un caso de uso muy diferente de las preguntas de seguridad de "empresa a individuo", como cuando llama a su banco para reactivar su tarjeta de crédito después de que se desactivó por 17ª vez después de viajar a un país diferente, y una vez que supera la cola de 40 minutos de música molesta, aparece un empleado del banco y le pregunta su nombre. su cumpleaños y tal vez sus últimas tres transacciones. Los tipos de preguntas para las que un individuo conoce las respuestas son muy diferentes de las que una empresa conoce las respuestas. Por lo tanto, vale la pena pensar en estos dos casos por separado.

La situación de cada persona es única, por lo que los tipos de información compartida única que tiene con las personas con las que podría necesitar autenticarse difieren para diferentes personas. Por lo general, es mejor adaptar la técnica a las personas, y no las personas a la técnica. No es necesario que una técnica sea perfecta para funcionar: el enfoque ideal es apilar varias técnicas al mismo tiempo y elegir las técnicas que mejor se adapten a ti. En un mundo post-deepfake, tenemos que adaptar nuestras estrategias a la nueva realidad de lo que ahora es fácil de falsificar y lo que sigue siendo difícil de falsificar, pero mientras lo hagamos, mantenernos seguros sigue siendo bastante posible.

Renuncia:

1. Este artículo es una reimpresión de [Vitalik Buterin], Todos los derechos de autor pertenecen al autor original [Vitalik Buterin]. Si hay objeciones a esta reimpresión, comuníquese con el equipo de Gate Learn y ellos lo manejarán de inmediato.
2. Descargo de responsabilidad: Los puntos de vista y opiniones expresados en este artículo son únicamente los del autor y no constituyen ningún consejo de inversión.
3. Las traducciones del artículo a otros idiomas son realizadas por el equipo de Gate Learn. A menos que se mencione, está prohibido copiar, distribuir o plagiar los artículos traducidos.