Site icon

Centralizar carteras SaaS: ¿matar la autonomía en aras de la comodidad?

Divulgación: Los puntos de vista y opiniones expresados ​​aquí pertenecen únicamente al autor y no representan los puntos de vista y opiniones del editorial de crypto.news.

Los custodios de computación multipartitas tradicionales basados ​​en software como servicio a menudo se consideran la solución “conveniente” en el universo criptográfico, ya que administran una porción asombrosa de activos descentralizados. Pero la realidad es que la conveniencia desaparece rápidamente, revelando una serie de limitaciones, riesgos inesperados y desafíos a medida que se profundiza en los aspectos tecnológicos de la protección de la moneda digital.

También te puede interesar: Cómo las criptomonedas pueden llegar a los próximos mil millones de usuarios | Opinión

Independientemente de su postura de descentralización versus centralización, es esencial reconocer que la apariencia de control de clave privada puede verse afectada por una falta de control en la gobernanza de políticas y la infraestructura que usted no administra.

El aumento y los riesgos de las carteras MPC basadas en SaaS

La aparición de carteras MPC basadas en SaaS ha tenido un impacto significativo en el panorama criptográfico, permitiendo a las empresas gestionar activos digitales con comodidad y seguridad percibida. Estas carteras suelen ser proporcionadas por empresas de tecnología que actualmente se están posicionando cada vez más como proveedores de servicios sin custodia. Sin embargo, a pesar de esta etiqueta, estas soluciones aún requieren que los usuarios confíen en una parte centralizada para coordinar la firma y la generación de claves de forma segura, lo que las coloca en un lugar alto en el espectro de custodia en términos de control sobre los activos.

Esta dependencia de un proveedor de servicios centralizado crea una situación en la que el control y la seguridad no están completamente en manos de la institución que utiliza el servicio. Si bien estos proveedores de tecnología no operan como custodios externos tradicionales, como BitGo o Anchorage (altamente regulados y ofrecen servicios de custodia totalmente administrados), aún introducen un punto central de control y vulnerabilidad potencial. Tal como la utilizan tanto los proveedores basados ​​en SaaS como los custodios tradicionales, la tecnología MPC implica dividir las claves criptográficas necesarias para las transacciones en múltiples partes distribuidas entre varias partes para mejorar la seguridad.

Sin embargo, en el caso de las soluciones basadas en SaaS, la centralización de estos servicios dentro de unos pocos actores dominantes introduce nuevos riesgos. Uno de ellos es que estos proveedores se convierten en objetivos atractivos para los piratas informáticos debido a su importante control sobre los activos de muchos clientes, creando una vulnerabilidad similar a la de los intercambios centralizados. En segundo lugar, la concentración del control en estos modelos basados ​​en SaaS no sólo aumenta los riesgos de seguridad sino que limita indirectamente la autonomía de las empresas criptográficas.

Al depender de un proveedor externo para gestionar aspectos críticos de la seguridad de los activos digitales, las instituciones pueden verse limitadas en la gestión de políticas, procedimientos y la gobernanza general de sus activos. Esta centralización contrasta con el espíritu descentralizado de la industria de la criptografía, donde la soberanía individual sobre los activos digitales es primordial.

Los desafíos de la dependencia y la confianza en los custodios de MPC

Si bien las billeteras MPC a menudo afirman que no tienen custodia porque la institución posee parte de la clave, la realidad es mucho más compleja: la fuerte dependencia de proveedores externos para las operaciones diarias, la seguridad y la disponibilidad del servicio introduce riesgos significativos. . A pesar de que la institución cliente posea una acción clave, todos los demás componentes que afectan el uso o posible mal uso de las acciones clave permanecen bajo el control del proveedor. Esta configuración crea vulnerabilidades en torno a la integridad de la firma de claves pero, lo que es aún más importante, introduce fricciones en la experiencia del cliente, un riesgo operativo que debe tenerse en cuenta. Por ejemplo, cualquier cambio de política puede tardar hasta algunas semanas si el proveedor no lo prioriza, lo que genera retrasos importantes e ineficiencias operativas.

Analice más a fondo este posible impacto. Las billeteras MPC pueden tener tiempos de transacción más prolongados y su dependencia de los proveedores para los cambios y el mantenimiento rutinarios de las cuentas puede ser problemático. Si un miembro del equipo se va, la revocación de su acceso se realiza según el ritmo del proveedor. Puede llevar un tiempo considerable, lo que resulta en un período en el que la seguridad de los activos puede verse comprometida. Además, los tiempos de inactividad del servicio por mantenimiento durante el horario comercial pueden interrumpir las operaciones. Además, en escenarios de desastre, la recuperación de activos puede tardar hasta 48 horas, un período demasiado largo para cualquier organización que se ocupe de transacciones de alto valor. Estas dependencias operativas pueden resultar muy inconvenientes. En última instancia, plantean riesgos de seguridad que contradicen lo que significa la descentralización, es decir, ejecutar su propia infraestructura de billetera.

Para las instituciones financieras reguladas o las empresas con estrictos requisitos de seguridad, estas dependencias son un factor decisivo. Esto se debe a que los riesgos operativos y los costos asociados con la dependencia de soluciones de billetera MPC de terceros a menudo son inaceptables para los equipos de riesgo internos. Estos equipos no pueden sentirse cómodos con las incertidumbres inherentes y el potencial de retrasos en los tiempos de respuesta que implican estos productos. En consecuencia, muchas soluciones de billetera MPC no pasan el riguroso escrutinio de las evaluaciones de riesgos, lo que impide que sean adoptadas por instituciones que requieren los más altos niveles de seguridad y control operativo.

Un nuevo paradigma para la custodia criptográfica

Si las actuales soluciones SaaS representan el modelo “confíe en nosotros”, la solución ideal debería pasar a un enfoque de “confiar pero verificar” y, en última instancia, a un modelo de “nunca confiar, siempre verificar”. Este cambio permite a los clientes alojar parcial o totalmente el software, otorgándoles control y propiedad de la infraestructura de TI crítica. Al eliminar las operaciones opacas inherentes a las soluciones SaaS de caja negra, las instituciones no solo mitigan los riesgos operativos ocultos en la fricción de operar en el sandbox de un tercero, sino que también permiten una gestión de infraestructura más ágil y flexible.

Este control mejorado respalda una mejor gestión de riesgos y permite a las instituciones adaptarse rápidamente a las demandas del mercado, lo que en última instancia impulsa el crecimiento de los ingresos y tiene un impacto positivo en los resultados.

Una solución práctica integra controles críticos de gestión y políticas en una plataforma integral, lo que permite a las instituciones gestionar sus activos digitales dentro de un marco de seguridad de confianza cero. Esta arquitectura valida continuamente cada interacción, eliminando la confianza implícita y mejorando la seguridad. Al adoptar una arquitectura orientada a servicios, las instituciones pueden adaptar el sistema a sus requisitos únicos, garantizando escalabilidad, alto rendimiento y seguridad sólida.

Las ofertas actuales del mercado, que dependen enteramente de carteras MPC basadas en SaaS, depositan una confianza indebida en los proveedores que controlan todos los componentes, incluidos los procesos criptográficos, las claves, las políticas y los datos de las transacciones. Al avanzar hacia soluciones que permitan a las instituciones poseer y controlar partes críticas de su infraestructura de activos digitales, la industria puede mitigar los riesgos y reducir las vulnerabilidades mientras opera más estrechamente con los principios de descentralización. Esta transformación es esencial para fomentar la confianza y la seguridad en el panorama criptográfico en rápida evolución.

Ahora es el momento de que las instituciones tomen el control de sus políticas. Al adoptar modelos que proporcionen un control parcial o total sobre la gestión clave y la aplicación de políticas, las instituciones pueden alinearse mejor con el tratamiento y la supervisión correctos de los proveedores de servicios o los acuerdos de subcontratación. Este cambio de paradigma es esencial para el futuro de la industria, y es algo que está preparado para salvaguardar los valores fundamentales de las criptomonedas y al mismo tiempo allanar el camino para una innovación y confianza continuas.

Leer más: La propiedad de todo: Сentralización versus descentralización | Opinión

patricio haden

patricio haden es el director de operaciones comerciales de Cordial Systems, un proveedor de software de autocustodia de nivel institucional que utiliza un modelo de seguridad de confianza cero. Haden tiene experiencia ejecutiva en liderazgo de equipos, ingeniería y educación proveniente de su carrera de 24 años como oficial naval. Después de cofundar SoloKeys, la primera empresa de claves de seguridad de código abierto, gestionó proyectos que conectaban web3 con las finanzas tradicionales en una empresa de comercio de criptomonedas antes de unirse a Cordial Systems.

Source link

Exit mobile version