El director ejecutivo de HackenProof se sumerge en Web3 Tendencias de seguridad, eficacia de las recompensas por errores y el creciente papel de la I

Director General de A prueba de hackers , Dmytro Matviiv habló en el Conferencia Hack Seasons en Cannes el 3 de julio sobre las tendencias en Web3 seguridad, el panorama cambiante de amenazas y el papel de la IA en la ciberseguridad.

HackenProof colabora activamente con múltiples protocolos de Capa 1 y Capa 2, como la Fundación Ethereum, Sui, Aptos, Near y plataformas de intercambio de criptomonedas como Bybit y Gate, entre otras. Trabajan con la comunidad de seguridad para identificar vulnerabilidades y, tras la validación de los informes presentados, compensan a los investigadores de seguridad según corresponda. Este proceso opera bajo un modelo de seguridad colaborativo y de recompensas por errores.

Panorama de la ciberseguridad en evolución: creciente complejidad de los ataques, eficacia de las recompensas por errores y desafíos de seguridad en los ecosistemas emergentes.

Según Dmytro Matviiv, en HackenProof se lleva a cabo una investigación interna continua, con informes trimestrales publicados para seguir las tendencias en el panorama de la ciberseguridad. En los últimos dos años, el número de ataques informáticos denunciados ha disminuido, pero la complejidad de estos incidentes ha aumentado. Solo en el trimestre actual, se han desviado más de 2 millones de dólares mediante diversos ataques. Muchos de estos incidentes parecen ser premeditados, ya que algunas personas podrían haber trabajado en organizaciones durante largos periodos antes de crear puertas traseras y posteriormente ejecutar ataques coordinados. Una tendencia notable observada es la participación de actores patrocinados por Estados, en particular de Corea del Norte, lo que dificulta la aplicación de la ley y la extradición, incluso cuando se conoce la identidad de los autores.

Sin embargo, muchas empresas ofrecen programas competitivos de recompensas por errores. Para los actores maliciosos, puede ser más beneficioso reportar vulnerabilidades a través de los canales oficiales y recibir una compensación legal —que a veces asciende a cientos de miles o incluso millones de dólares— en lugar de explotarlas, según Dmytro Matviiv. Por el contrario, las estructuras de recompensas inadecuadas pueden desalentar la divulgación responsable. Por ejemplo, en un caso relacionado con Bybit, el pago máximo por una vulnerabilidad crítica en el sitio web de la empresa se fijó en 4,000 dólares. Un investigador explotó una vulnerabilidad y causó una pérdida de 1.3 millones de dólares. Esto plantea el argumento de que ofrecer una recompensa equivalente incluso al 10 % del daño potencial podría ser una medida preventiva más eficaz.

“Por lo tanto, si una empresa decide legalizar el sistema de recompensas por errores, las empresas y los investigadores seguramente enviarán informes para ayudar a descubrir estas vulnerabilidades”, destacó Dmytro Matviiv. 

Recientemente, se produjo otro incidente de seguridad relacionado con el protocolo Cetus, que opera dentro del ecosistema Sui. Las observaciones indican que el ecosistema Sui continúa experimentando diversos desafíos de seguridad, en parte debido a su rápido desarrollo y creciente actividad. El ecosistema cuenta con un equipo numeroso y comprometido, y ha demostrado un fuerte compromiso con la seguridad mediante frecuentes programas de recompensas por errores, concursos y auditorías. A pesar de la reciente brecha, Cetus está llevando a cabo una nueva iniciativa de recompensas por errores en colaboración con HackenProof, programada para la próxima semana. En general, el ecosistema Sui se mantiene activo y receptivo a la hora de abordar las vulnerabilidades.

Creo que Sui es uno de los ecosistemas aún bastante jóvenes. Cuentan con un nuevo lenguaje que combina Move y Rust, y existe una gran cantidad de código potencialmente riesgoso donde podrían encontrarse vulnerabilidades; por eso existen actualmente muchos problemas en el ecosistema Sui. Sin embargo, es un ecosistema muy prometedor, y muchas personas incluso están comprando sus tokens. Creemos que este ecosistema... defi“Lleva la seguridad al siguiente nivel definitivamente”.

Integración de agentes de IA en ciberseguridad: potenciando la automatización y gestionando riesgos

La IA y la descentralización son temas de amplio debate en los sectores de la tecnología y la ciberseguridad. HackenProof participa activamente en estos desarrollos como parte de su enfoque operativo. 

En algunos casos, los auditores de seguridad crean agentes de IA para realizar tareas que tradicionalmente realizaban humanos, como identificar problemas de seguridad en diversas plataformas de recompensas por errores. HackenProof apoya a estas empresas de seguridad, ayudándolas a validar los informes generados por estos agentes de IA.

“Por ejemplo, esos agentes de IA pueden escanear un repositorio y generar 200 informes, y los validamos para determinar si cada informe es válido”, ilustró Dmytro Matviiv.

Otro ejemplo es el uso de agentes de IA para ayudar a detectar y organizar los informes entrantes enviados a HackenProof. Estos agentes de IA contribuyen a la automatización de procesos; sin embargo, la calidad y la fiabilidad del resultado dependen en gran medida de la precisión de los datos de entrada.

“Supongamos que confías plenamente en el agente de IA y alguien introduce datos incorrectos, esto podría desencadenar una acción; por ejemplo, el agente de IA podría transferir dinero de una cuenta a otra, y así sucesivamente. Por lo tanto, es muy peligroso”, señaló Dmytro Matviiv. “Hay que aislar el entorno de IA y trabajar únicamente con los casos concretos que se comprenden, y asegurarse de que el agente de IA haya sido verificado públicamente como un agente de eficacia probada”, añadió. 

El año pasado se invirtió mucho en el desarrollo de IA, incluyendo la aparición de protocolos de IA de Capa 1. Actualmente, la IA se ha convertido en un componente importante para muchas empresas, y aquellas que no integren el desarrollo de IA en sus procesos podrían perder relevancia en el mercado u oportunidades de negocio en un plazo de seis meses o más.

“Sin duda, la IA debe formar parte de sus procesos de negocio y, como mínimo, ayudarle a comprender qué tipo de oportunidades de negocio podría perder. Además, es probable que la IA se convierta en una de las mayores amenazas de seguridad para todas las empresas”, concluyó Dmytro Matviiv.