Los desarrolladores de Bitcoin Core han introducido una nueva política destinada a mejorar la divulgación y el manejo de vulnerabilidades de seguridad dentro de la red Bitcoin.
Esta medida forma parte de un esfuerzo por mejorar la transparencia y la seguridad, abordando problemas de larga data en la forma en que se han comunicado las vulnerabilidades al público.
Antoine Poinsot, un destacado desarrollador de Bitcoin Core, ha destacado la importancia de esta nueva política. Según Poinsot, existe una peligrosa idea errónea entre los usuarios de Bitcoin de que Bitcoin Core, el software utilizado por los operadores de nodos para acceder a la red, Cadena de bloques de Bitcoinestá libre de errores.
“Esta percepción es peligrosa y, lamentablemente, no es precisa”. Poinsot afirmó que la nueva política tiene como objetivo abordar esta idea errónea al proporcionar una forma más estandarizada y transparente de revelar vulnerabilidades.
Históricamente, Bitcoin Core se ha enfrentado a críticas por su manejo de errores críticos para la seguridad. Poinsot y sus colegas lo reconocieron en Su comunicación a la lista de correo de desarrollo de Bitcoin el 3 de julio.
Destacaron que las vulnerabilidades informadas externamente y descubiertas internamente no siempre se hacían públicas, lo que generaba una falsa sensación de seguridad entre los usuarios. Poinsot señaló:
“Históricamente, el proyecto ha hecho un trabajo a la hora de divulgar públicamente errores críticos para la seguridad, ya sean informados externamente o descubiertos por los colaboradores”.
Se sugirió que permitir que más colaboradores accedan a información sobre errores de seguridad que podría ayudar a prevenir problemas futuros.
La política recientemente implementada clasifica las vulnerabilidades en cuatro niveles de gravedad: baja, media, alta y crítica. Esta clasificación está diseñada para ayudar a los usuarios y desarrolladores a comprender el impacto y la urgencia de cada error.
Los errores de baja gravedad son aquellos que son difíciles de explotar y tienen un impacto mínimo. Por ejemplo, un error de billetera que requiere acceso a la máquina de la víctima entraría en esta categoría. Estos errores se darán a conocer dos semanas después de que se publique una versión corregida.
Los errores de gravedad media tienen un impacto limitado, como las fallas remotas de la red local. Se darán a conocer un año después de que finalice la vida útil de la última versión del software afectado.
Los errores de alta gravedad pueden tener un impacto significativo y, de manera similar a los errores de gravedad media, también se revelarán un año después de que finalice la vida útil de la última versión afectada.
Los errores críticos representan una amenaza para la integridad de toda la red. Algunos ejemplos incluyen la manipulación de Bitcoin Core para inflar el suministro limitado de Bitcoin o cometer un «robo de monedas». La divulgación de errores críticos se manejará caso por caso debido a su grave naturaleza.
La política Se adoptará gradualmente en los próximos meses.
Poinsot señaló que todas las vulnerabilidades corregidas en las versiones 0.21.0 y anteriores de Bitcoin Core se han revelado a partir del 3 de julio. Las revelaciones para las versiones 0.22.0 y 0.23.0 están programadas para finales de este mes y en agosto. La última versión, Bitcoin Core 27.1, también seguirá las nuevas pautas de política.
Esta medida ha sido bien recibida dentro de la comunidad de Bitcoin. Eric Voskuil, otro desarrollador de Bitcoin Core, alabado La iniciativa que dice:
“Muchos otros proyectos han sido víctimas de esta percepción errónea, y de hecho ha causado daños materiales a la comunidad. No sé qué precipitó este cambio, pero les doy las gracias a todos por haber dado un paso adelante”.
Bitcoin Core es la columna vertebral de la red Bitcoin y desempeña un papel fundamental en la seguridad de los más de 1,1 billones de dólares bloqueados en la red. El software se utiliza para validar transacciones y crear bloques, lo que hace que su seguridad sea primordial.
La nueva política no sólo pretende mejorar la comunicación sobre los riesgos de utilizar versiones obsoletas, sino que también incentiva a los investigadores a encontrar y revelar vulnerabilidades de manera responsable.
Para ilustrar la importancia de la nueva política, Poinsot y su equipo señalaron vulnerabilidades pasadas que tuvieron impactos significativos.
Por ejemplo, CVE-2012-2459 permitió a los atacantes crear bloques no válidos que parecían válidos, mientras que CVE-2018-17144 Podría explotarse para crear nuevos bitcoins de la nada y socavar el límite máximo de 21 millones de monedas.
Poinsot espera que al poner los errores de seguridad a disposición de un grupo más amplio de contribuyentes, la política evita vulnerabilidades futuras.
Se espera que el proceso de divulgación estandarizado aliente a más investigadores a descubrir e informar errores de manera responsable, contribuyendo a la seguridad y estabilidad general de la red de Bitcoin.
El proceso de divulgación de seguridad generalmente implica varios pasos: detectar una vulnerabilidad, informarla confidencialmente, verificar la vulnerabilidad, solucionar el problema en futuras versiones y luego divulgarla públicamente.
Esta nueva política se alinea con este proceso, pero agrega plazos y procedimientos específicos según la gravedad de las vulnerabilidades. Su objetivo es corregir las deficiencias anteriores en la forma en que se comunicaban las vulnerabilidades y proporcionar un enfoque más estructurado para abordar los problemas de seguridad.
Uno de los aspectos clave de la nueva política es que ofrece más incentivos para que los investigadores encuentren y divulguen vulnerabilidades de manera responsable.
Al ofrecer un proceso de divulgación estandarizado y una mejor comunicación, es más probable que los investigadores interactúen con el proyecto Bitcoin Core y contribuyan a su seguridad.
A medida que se adopte gradualmente la nueva política, los usuarios y desarrolladores podrán contar con información más detallada y oportuna sobre las vulnerabilidades, lo que les ayudará a tomar decisiones informadas sobre el software. Ellos confían en y tomar las precauciones necesarias para proteger sus activos.
El compromiso del equipo de Bitcoin Core con la transparencia y la seguridad marca un hito importante para el proyecto. Demuestra su dedicación a mejorar la seguridad de la red y fomentar una cultura de divulgación responsable.