¿ES NECESARIO AUDITAR UN ENTORNO BASADO EN BLOCKCHAIN?

Una de las ventajas del trabajo de un auditor informático como apoyo a la auditoría de cuentas anuales, es sin duda, que el auditor IT, tiene la oportunidad de visitar muchos clientes y conocer de primera mano, las inquietudes tecnológicas que preocupan a los responsables de los departamentos de informática. En este artículo, vamos a abordar uno de los asuntos, que me he venido encontrando durante el último año: ¿será necesario auditar entornos basados en blockchain?

Estoy segura que muchos de nuestros lectores, habrán oído el término blockchain o acompañado de la coletilla “blockchain la tecnología que está detrás del bitcoin”, pero para los que no han oído nada al respecto o para intentar aclarar un poco sobre la materia, vamos a empezar dando unas pequeñas definiciones.

Corría el año 2012 cuando el Banco Central Europeo (BCE) definía como moneda virtual a “un tipo de dinero no regulado, digital, que se emite y por lo general controlado por sus desarrolladores, y utilizado y aceptado entre los miembros de una comunidad virtual específica”.

Ahora bien, supongamos una moneda virtual que se crea y se almacena electrónicamente y está basada en criptografía. En este caso, estaríamos hablando de criptomonedas. Las criptomonedas son un medio digital de intercambio. La primera criptomoneda que empezó a operar fue el bitcoin en 2009, desde entonces, han aparecido muchas otras con diferentes características y protocolos como Ethereum, Litecoin, Ripple, Dogecoin, Dash o Monero.

Por lo tanto, bitcoin, es en esencia un nuevo tipo de dinero digital. Un dinero digital que presume de realizar pagos de forma segura, rápida y libre alrededor del planeta. Pero, ¿qué hace que sea seguro esa forma de pago? El blockchain.

Blockchain (o cadena de bloques), se podría definir como una base de datos compartida que funciona como un libro para el registro de operaciones de compra-venta o cualquier otra transacción. De esta forma, cualquier transacción se guarda en cada una de las máquinas conectadas a la red o que han tenido relación con la criptomoneda, para cada una de las transacciones se crea un contrato y éste se guarda para siempre y en cada nodo. En este registro, es donde residen los principales atractivos del blockchain:

  • Permite realizar transacciones de cualquier tipo de forma fiable y segura, sin necesidad de que haya un intermediario.
  • El registro es perpetuo.

Vamos a explicar la ventaja de la ausencia de intermediario, recurriendo aun ejemplo sencillo. Una persona decide hacer una transferencia bancaria de X euros a otra persona. El banco a través del que se hace la transferencia, actúa como intermediario de esa transacción. La idea es que el banco apuntará en la cuenta de la persona que hace la transferencia, la transacción, restando X euros en su cuenta y comunicará al banco de la persona que recibe el dinero, que debe añadir X euros en su cuenta. Durante esta sencilla gestión, no se ha necesitado de un intercambio de billetes de una cuenta a otra, sino que simplemente ha habido uno o dos bancos que se han encargado de hacer que el dinero pase de uno a otro, con un simple cambio en los balances de sus cuentas. Hasta aquí todo correcto, pero ni la persona que ordena la transferencia ni la que la recibe, tienen control alguno sobre el proceso. Ambas personas, dependen de sus bancos y de sus operativas (comisiones aparte) para completar la transacción. Es ahí donde entra blockchain, eliminando a los intermediarios y descentralizando toda la gestión. El control del proceso es de los usuarios, no de los bancos.

Y la otra gran ventaja, es que cada nueva transacción implica un nuevo registro, sin eliminar los anteriores, con lo que la transacción se valida, porque tiene guardadas todas las transacciones anteriormente realizadas.

En definitiva, ¿qué es entonces blockchain? es como un libro de asientos de contabilidad, en donde se registran las entradas y salidas de dinero, pero además, una vez introducidos los movimientos, esta información no puede ser borrada, sólo se pueden añadir nuevos registros y los nuevos no serán legitimados, a menos que la mayoría de los nodos (máquinas conectadas a la red), lo verifiquen.

Entonces, si tenemos un libro contable que se genera automáticamente, que es inmutable, perpetuo y global (las máquinas están repartidas por toda la geografía), ¿será necesaria la presencia de un auditor de sistemas para dar confianza en un entorno IT basado en blockchain?

La respuesta es SÍ, porque a pesar de todas las ventajas de un sistema basado en blockchain, y tal y como nos indica ISACA (Asociación de Auditoría y Control de Sistemas de Información), existen una serie de riesgos, que precisan la figura de un auditor para dar confianza en el entorno:

  • La plataforma software sobre la que se ejecuta blockchain afecta a la integridad de los datos, es decir, si la plataforma no es fiable, este hecho afecta directamente al blockchain.
  • Ningún software está exento de ataques y por lo tanto, la infraestructura que permite blockchain está sujeta a todas las amenazas y vulnerabilidades habituales. A lo largo de 2017, de los 41 casos registrados de ataques en blockchain, 14 correspondieron a vulnerabilidades en los servidores, bien por falta de configuración o fallos en su diseño.
  • Como en cualquier infraestructura, es necesario verificar el procedimiento de cambios y la segregación de función y privilegios en el acceso a los datos, ya que son controles que afectan directamente en la integridad de cualquier sistema.
  • Adicionalmente, y desde un punto de vista no tan técnico, también se debería de incluir una auditoría, para verificar los riesgos que conllevan cualquier tipo de operación no regulada.

Todo lo expuesto, pone de manifiesto la necesidad de crear estándares de seguridad o adopción de algunos ya existentes, dentro del área financiera tradicional y que un auditor revise el sistema, para ofrecer confianza en entornos de este tipo.

Artículo publicado por Elena García en El Economista.