CEO de Casa: extensiones de los navegadores pueden facilitar el robo de bitcoins

Durante la conferencia Baltic Honeybadger en Riga, realizada entre el 14 y 15 de septiembre, el CEO de Casa Jeremy Welch advirtió a la audiencia que las extensiones del navegador pueden ayudar a los estafadores a robar sus criptomonedas, al afirmar que estas «imponen riesgos importantes, y estos riesgos no se han discutido hasta este momento».

Las extensiones pueden reunir una gran cantidad de datos, que pueden ser filtrados, robados y utilizados por los estafadores. Un ejemplo es el historial del navegador, que puede exponer los hábitos en línea de los usuarios, incluidas las visitas al sitio relacionadas con las criptomonedas. De igual manera, Welch hizo la advertencia a los presentes: «asegúrese de no exponer sus direcciones de bitcoin en ningún lugar».

Para Welch, otra cosa a tener en cuenta es que algunas extensiones capturan la información KYC de los usuarios y pueden filtrarla a los estafadores. El único sistema multifirma importante que requiere KYC en este momento es el suministrado por Unchained Capital. Igualmente, advirtió contra el software de consumo de uso común que recopila datos de identidad.

Como ejemplo, Welch demostró cómo una extensión que proporciona fondos de pantalla con citas inspiradoras u otro contenido en realidad estaba robando datos a medida que completaba los formularios KYC. El software también extrae datos gráficos, como una foto de su licencia de conducir, que se captura como un código y luego se decodifica fácilmente, proporcionando una imagen real de su documento de identificación a los piratas informáticos.

Robo de datos silencioso

Todo esto sucede en segundo plano, sin que el usuario lo note. Tal como demostró Welch: «obtuviste una buena experiencia aquí y no te das cuenta de que tu navegador realmente está descargando datos».

La misma extensión de fondo de pantalla puede alterar una dirección de recepción cuando intentas enviar tus criptomonedas a otra persona (o a ti mismo), enviándola al monedero de un estafador. La ubicuidad y popularidad de las extensiones del navegador hace que la situación sea bastante peligrosa. «Es aterrador, ¿verdad? Todos estamos usando extensiones de navegador todo el tiempo», señaló Welch.

Incluso si un usuario es muy cuidadoso y selectivo en lo que está usando, el software se puede actualizar y obtener nuevas características inseguras sin que el consumidor lo note, agregó Welch.

Entre las aplicaciones señaladas por Welch, las cuales solicitan permisos suficientes para recopilar datos personales, destacan: los administradores de contraseñas, la aplicación de edición de texto Grammarly, la extensión Joule para transacciones de iluminación en el navegador, la propia extensión Sats de Casa y la extensión para ganar bitcoins de Lolli.

¿La solución? No hay ninguna fácil, dice Welch. Los desarrolladores solo pueden seguir creando mejores herramientas que harán que la experiencia de los usuarios sea más segura y mejor, y agregó: «todos tenemos que debatir más este tema, porque aún no estamos en la fase en la que se producirán ataques reales».

Welch agregó que Casa planea publicar pronto más investigaciones de seguridad y alentó a los desarrolladores y empresarios de bitcoin a acercarse a la empresa y compartir sus preocupaciones e ideas sobre cómo abordar los problemas de seguridad.

Versión traducida del artículo de Anna Baydakova, publicado en CoinDesk.