Entrevista de la revista Fortune con el director de seguridad de Kraken: ¿Por qué deberíamos contratar a un equipo de hackers para atacarnos a nosotros mismos?

Texto: Marco Quiroz-Gutiérrez

Entrevistado: Nick Percoco, director de seguridad de Kraken

编译:Luffy,Foresight News

! [Entrevista de la revista Fortune con el director de seguridad de Kraken: ¿Por qué deberíamos contratar a un equipo de hackers para atacarnos a nosotros mismos?] ](https://img-cdn.gateio.im/webp-social/ccb9d6d22de923ddc3727015b58fc508.webp)

Nick Percoco, director de seguridad de Kraken

En una carrera que abarca más de dos décadas, Nick Percoco ha ayudado a las empresas a establecer la ciberseguridad. Desde que Percoco asumió el cargo de director de seguridad de Kraken en 2018, ha sido fundamental para ayudar a formalizar su estrategia de seguridad. Ahora, supervisa la seguridad, la informática y el fraude en los exchanges de criptomonedas.

La revista Fortune entrevistó recientemente a Percoco para discutir en detalle por qué Kraken mejora la seguridad con la piratería amigable y por qué los estadounidenses son particularmente vulnerables a los ataques maliciosos.

¿Cómo empezaste en el mundo de las criptomonedas y cómo llegaste a Kraken?**

Tengo un laboratorio forense (SpiderLabs, fundado por Percoco y ahora parte de Trustwave) que tiene una gran cantidad de GPUs para descifrar contraseñas. Así que estamos en análisis forense, obtenemos archivos cifrados, estamos tratando de descifrar (tratando de encontrar contraseñas débiles en el entorno), pero la mayoría de las veces estas GPU están inactivas. Alrededor de 2011, 2012, algunas personas en nuestro laboratorio comenzaron a hablar sobre Bitcoin, como: “Oye, podemos minar algo de Bitcoin con estas GPU”. Me preguntaron si podían hacer eso, y en ese momento Bitcoin casi no valía nada, y dije: “Sí, por supuesto. Vamos a divertirnos”. Entonces todo el mundo crea billeteras, nos enviamos bitcoins, y en ese momento es como explorar el futuro del dinero.

En realidad, no se trata de ningún tipo de inversión o estrategia a largo plazo, es solo porque “es realmente genial”. Es esta tecnología sin permiso la que le permite enviar dinero a través de Internet sin tener que pasar por nadie, como una billetera a otra en la cadena de bloques". Hoy en día, se entiende que esta tecnología es interesante, pero hace diez años, era más como ciencia ficción. Así que estoy muy interesado en eso, pero realmente no he profundizado lo suficiente como para ser un entusiasta de Bitcoin. No dije: “Voy a minar cientos de bitcoins o miles de bitcoins, no seguí ese camino”. 」

He trabajado en la comunidad de seguridad y en la comunidad de hackers, y hay un poco de superposición entre la comunidad de criptomonedas y la comunidad de seguridad. Después de hacer algunos trabajos de seguridad para startups, Trustwave se vendió a Singtel, y luego trabajé en Rapid7, ayudándolas a salir a bolsa, que es otra empresa de ciberseguridad. Más tarde, me uní a una empresa de IA y fui responsable de su seguridad durante varios años. Un amigo mío y CEO de Kraken, Dave Ripley, se puso en contacto con nosotros. Kraken está contratando talento para determinar el programa de seguridad. Empecé a charlar con Dave (que era nuestro director de operaciones en ese momento) y me presentaron a Jesse Powell, el antiguo director general y fundador de Kraken. Fue entonces cuando me uní a Kraken en el otoño de 2018 como director de seguridad. Hoy en día, estoy aquí a cargo de la seguridad, la informática y el fraude.

¿Cómo es el trabajo típico de un director de seguridad? **

Lo he organizado un poco como una pila, con las cosas menos técnicas en la parte superior y las más técnicas en la parte inferior. En la parte superior de esta pila, las personas con las que trabajo están básicamente en lo que llamamos políticas de seguridad. Seguimos pensando: “¿A dónde tenemos que ir con nuestros programas de seguridad?, ¿qué vemos?, ¿qué tendencias vemos?, ¿de qué podemos aprender?”

La siguiente capa es básicamente nuestro grupo de gobernanza de seguridad de la información: políticas y procedimientos, requisitos normativos de seguridad, auditorías externas, auditorías de seguridad y diligencia debida de proveedores y diligencia debida del cliente.

El siguiente nivel es la función de operaciones de seguridad dentro de la empresa, que es nuestro equipo azul que monitorea la respuesta de detección de incidentes de seguridad, ya sean internos o externos a nuestra empresa. Este es un equipo 24/7/365 dentro de la empresa. Esto es muy importante para nosotros. Cuando algo sucede, necesitamos saberlo en segundos, no tres semanas después. Cuando sucede algo dentro o fuera de la empresa que nos preocupa, lo sabemos en cuestión de segundos.

También tenemos un equipo rojo, que es esencialmente un equipo de hackers que he reclutado para hackearnos de forma regular, desde fuera, desde dentro, ingeniería social, etc., porque los delincuentes no tienen ninguna regla y lo intentarán desde todos los ángulos posibles.

También tenemos un equipo de seguridad de aplicaciones que básicamente verifica cada línea de código, ya sea en nuestra aplicación móvil o en nuestro sitio web. Cada cambio se examina en cada línea de código, se examina cada dependencia que podamos introducir en esa base de código. Detectamos constantemente vulnerabilidades potenciales, vulnerabilidades reales y enviamos informes de recompensas por errores, que es un ciclo de identificación y corrección constantes.

**¿Cómo apoya Kraken a los clientes afectados por la estafa? **

Muchas de las formas en que se engaña a los clientes son a través de sitios web de phishing, falsos o fraudulentos. Los clientes deambulan fuera de nuestro ecosistema e interactúan con estos sitios en un momento dado, por lo que tenemos personas dedicadas a cargo: en promedio, eliminamos de tres a cuatro sitios web, cuentas de redes sociales y otros sitios fraudulentos todos los días.

¿Cuáles son algunos ejemplos de estafas comunes de criptomonedas? **

Muchas veces, estas estafas son de muy baja tecnología. Se parecen más a la ingeniería social que a la piratería, como la gente los llama. En estos casos, lo que suele suceder es que alguien se hace amigo de ellos, los hace sentir confiables y comienza a decirles que hagan cosas que no entienden del todo, y luego les roban sus fondos. La cosa podría ser algo como: “Oh, va a haber un airdrop y estamos registrando una billetera para obtener tokens, así que tendrás que entrar en tu billetera y darnos la frase semilla. Luego lo inscribiremos y obtendrá tokens de lanzamiento aéreo por valor de USD 10,000”. Luego la gente hizo eso, y unos 10 minutos después, las billeteras fueron saqueadas y expulsados de Discord.

Hay otras estafas de baja tecnología que en realidad son solo estafas de inversión en las que las personas ven un sitio web de inversión de aspecto legítimo y terminan enviando dinero a esta empresa, que les roba el dinero.

**¿Puedes hablar sobre tu experiencia de rastrear una vulnerabilidad y cómo fue el proceso? **

He aquí un ejemplo: tenemos un cliente que tiene un problema con su cuenta. Afirman estar hablando con nuestro personal de soporte. Dicen que alguien inició sesión en su cuenta y retiró fondos de ella. En conversaciones con nuestro personal de soporte, mencionaron que la aplicación móvil que estaban usando y la forma en que describían la aplicación móvil no coincidía con nuestra experiencia móvil.

Entonces, el personal de soporte les pidió que enviaran algunas capturas de pantalla de la aplicación móvil. Efectivamente, esta no es nuestra aplicación móvil. Tiene el mismo nombre y tiene nuestro logo, pero no es nuestro. Esta es solo una aplicación Kraken muy rudimentaria. Luego les preguntamos de dónde descargaron la aplicación, y resultó que estaban usando una tienda donde se podía descargar la aplicación desde un lado. No es como Google Play o la App Store, donde hay muchas aplicaciones criptográficas.

¿En qué se diferencia la ciberseguridad en los EE. UU. del extranjero? **

Las pandillas criminales tienden a atacar a más ciudadanos estadounidenses. La razón principal es que en Estados Unidos es más fácil para las bandas criminales obtener la información de identidad de sus víctimas. Existe el concepto de un agregador de datos en los Estados Unidos, donde básicamente puede encontrar cualquier información sobre cualquier individuo por una tarifa. Puede encontrar todas sus direcciones anteriores, familiares, direcciones de correo electrónico, números de teléfono y otra información confidencial. En el extranjero, es un poco difícil debido a algunas leyes de privacidad.

Como delincuente, si quisiera dirigirme a personas activas en el espacio de las criptomonedas, probablemente las encontraría en las redes sociales. Pueden ser muy activos en el Twitter de criptomonedas. Puedo investigar un poco y determinar quiénes son, pero puede ser difícil si están fuera de los EE. UU. De hecho, como criminal, podría encontrar a alguien, pero no necesariamente tengo que apuntar a él, podría apuntar a miembros de la familia que viven en la misma casa y que pueden no ser tan expertos en seguridad. Una vez que entro en la computadora de ese miembro de la familia, estoy en la misma red que la persona a la que quiero rastrear.

¿Cómo afectará la IA a la ciberseguridad? **

La inteligencia artificial permite que el equipo azul escale. Por ejemplo, puede entrenar un modelo de IA para detectar actividades potencialmente maliciosas en conjuntos de datos más grandes. Con las herramientas tradicionales, a menudo hay que aplicar reglas más estáticas. Con la IA, estas reglas no tienen que ser tan estáticas, y pueden estar más en línea con la lógica humana, como si le pides a una persona que mire un archivo de registro y tal vez pueda determinar si algo parece sospechoso, en lugar de solo un simple conjunto de reglas. El conjunto de reglas puede pasarlo por alto, y un humano puede detectarlo, pero solo a cierta velocidad. No se pueden entregar mil millones de registros a un humano cada hora, pero se pueden entregar mil millones de registros a una IA cada hora. Creo que ayuda a la defensa.

Por el lado de los atacantes, la inteligencia artificial también está ayudando. Por ejemplo, videollamadas, deepfakes que cambian de voz. Desde el punto de vista del estafador, permite a la víctima quitarse las defensas. De hecho, eso es lo que hizo nuestro equipo rojo. Tomaron todos los videos que hice o partes de ellos y los introdujeron en la IA. Crearon mi voz para llamar a diferentes empleados y pedirles que hicieran algo y ver si el empleado realmente lo haría porque sonaba exactamente como yo. Cuando escucho estos sonidos simulados, suena un poco increíble. Me da un poco de vergüenza porque es como mi voz, pero no del todo.

¿Qué significa esto para el futuro de las finanzas?

Creo que el futuro de las finanzas es un mundo en el que eres libre de realizar transacciones con cualquier persona, sin permiso, en tu mundo, sin importar quién seas o dónde vivas, y esa es la promesa de la criptomoneda. Para eso estamos aquí, para que la gente pueda hacer eso. En este planeta, muchas personas están en desventaja y no pueden hacer estas cosas utilizando el sistema financiero tradicional, por lo que la promesa de las criptomonedas es permitir que las personas lo hagan.