Enfoque en la protección de NFT´s desde el origen

Los esquemas de estafas van evolucionando, de acuerdo a los avances de la tecnología y la permisividad de las sociedades. Como reza el clásico refrán: “la oportunidad hace al delincuente”. Legislaciones anticuadas y baja educación digital contribuyen al “negocio de apropiarse de lo ajeno”.

Con este escenario, se entiende que la mayoría de los estafadores de NFT´s tienen como objetivo obtener acceso a la cuenta NFT de la víctima. Lo hacen utilizando una variedad de estafas de phishing (técnica de ciberdelincuencia que utiliza el fraude y el engaño para manipular a las víctimas con el fin de que hagan clic en enlaces maliciosos o revelen información personal confidencial), para que “el objetivo-víctima” entregue la clave de su billetera privada. Una vez que estos estafadores accedan a su cuenta, la vaciarán rápidamente antes de que el objetivo se dé cuenta de la estafa.

O, más atrevidos aún, los estafadores pueden obtener los datos de inicio de sesión de los titulares de NFT, creando un proyecto de NFT falso o sin valor y se aprovecharán del miedo de las personas a perderse algo y del atractivo de ganar dinero rápido, para hacerlos invertir. Una vez que el NFT cobra fuerza y ​​las inversiones llegan a entregar su dinero inocentemente, los estafadores desaparecen con los fondos, sin dejar rastro alguno.

Los NFT´s pueden desaparecer.

Para comprender cómo un NFT puede “desaparecer”, es necesario comprender mejor qué es un NFT y qué no es. La protección del NFT[7] comienza desde le mismo activo.

El concepto de NFT se refiere a tokens creados utilizando el estándar de token ERC721 de Ethereum[8], que otras cadenas de bloques han adoptado un estándar similar. Se trata de crear contratos inteligentes en la cadena de bloques Ethereum para lo que son esencialmente escrituras. Esos registros podrían representar propiedad física, como casas u obras de arte, o podrían representar objetos coleccionables virtuales, como cromos digitales o un videoclip de un momento destacado futbolista.

Recordemos que la escritura puede ser sobre algo físico. Por lo tanto, el NFT (en la mayoría de los casos) es en realidad solo el contrato inteligente; el contenido y los metadatos se almacenan por separado del objeto en sí, principalmente porque es demasiado grande o demasiado oneroso para almacenarlo en la cadena de bloques Ethereum u otra cadena de bloques.

El contrato es algo diferente a los datos y puede seguir existiendo incluso cuando los datos desaparecen. Si bien el sistema de archivos interplanetario (IPFS de Protocol Labs.) es una solución primaria para protegerse contra esto, se debe recordar cómo funciona IPFS, que simplemente establece que una vez que tenga el enlace, una vez que tenga el ID de contenido [CID], siempre se podrá encontrar los datos, si los datos están allí. Si no está en el IPFS, entonces no es tu NFT.

Luego, el IPFS, es un sistema para direccionar datos, pero no para almacenarlos.

“Visto lo visto”, una vez que compras un NFT, debes asegurarte de que “lo están cuidando”. Si, como se lee.

Un ejemplo práctico: si compras un cuadro en una galería, no esperarías que después de comprarlo, la galería también proporcione almacenamiento con clima controlado durante todo el tiempo.

Hay varias formas en que un NFT comprado podría perderse o modificarse. Para empezar, es posible que el token con el contrato inteligente no esté vinculado directamente al activo digital. O dicho activo podría estar en un proveedor centralizado como Cloudinary[9], que utiliza NiftyGateway[10], que eventualmente podría cerrarse. Entonces, el NFT podría simplemente vincularse a una URL, lo que significa que todo lo que se almacene en esa URL se puede cambiar. Si, como se lee.

Los expertos, como Ian Darrow de Filecoi[11]n, están de acuerdo en que es una mala práctica: “Es bastante irresponsable utilizar una URL HTTP como referencia canónica para un NFT”. Claro que es una pésima práctica.

Almacenar el activo como un hash IPFS es mejor, porque “al menos el hash actúa como una huella digital inmutable y con él se puede verificar la integridad de los metadatos”.

Pero, el archivo aún puede dejar de estar “disponible” si está almacenado en IPFS y el único nodo que lo almacena está desconectado de la red. El activo desaparece. Por eso, cuando se sube al IPFS no hay garantía de que los datos sean replicados. En principio, lo que sucede es que se le indica a otros nodos que se están almacenando datos en esta dirección, pero eso es todo. Solo si otros nodos están interesados ​​en esos datos habrá réplica”.

La figura 1 nos muestra el panorama dentro del cual se desarrolla el flujo de un NFT. Precisamente, entre el punto 2 y punto 3 se establece el riesgo. Entre la plataforma de mercado y la crypto billetera. Por lo tanto, son los lugares digitales donde se deben reforzar las medidas de seguridad. Por un lado, están las medidas de acceso a la plataforma y por otro la ubicación (dispositivo) de la crypto billetera, como así también las claves de acceso y las frases semilla.

Exactamente es aquí donde los estafadores quieren acceder, capturando las claves, por todos los medios posibles para ellos

Aparte de las claves de acceso, tanto a la billetera, como al marketplace de NFT´s, también existe el problema de “esfumar” al NFT, por la interrupción o borrado de los datos externos (características) del NFT. Para reducir los riesgos, se recomienda “fijar” los datos a IPFS. Es decir, se trata de tomar ese hash de contenido y seguir almacenando ese archivo, asegurando que esté disponible, cualquiera que pueda hablar conmigo en la red IPFS podrá obtener este archivo de mí.  Varios servicios hacen esto por el activo, como por ejemplo Pinata e Infura, reforzando la permanencia de los datos del NFT.

También, se podría utilizar el servicio de IPFS2Arweave.com[12], que fija el NFT y almacena los datos en Arweave, donde las personas pueden almacenar datos durante 200 años, por alrededor de USD 0,05 por megabyte y luego usar el interés que ganan para almacenamiento futuro. 

La práctica habitual para crear un NFT es acuñar el token en una cadena de bloques como Ethereum, Solana, Cardano, etc., y ese token luego apuntará al activo almacenado en otro lugar. Lo que la mayoría de la gente comúnmente llama NFT, ya sea consciente o inconscientemente, es en realidad solo el activo, no el NFT en sí. Si el activo se almacena en un servidor centralizado en la nube, esto obviamente representa un riesgo, ya que el activo podría eliminarse o editarse y el NFT esencialmente perdería su valor.

Por eso, la mayoría de los proyectos de NFT deberían utilizar el almacenamiento permanente, como el de Arweave (a través de Akord[13]), para garantizar que los activos de los NFT´s sean permanentes, al menos, reduciendo el riesgo que se pierdan o sean manipulados.

Este enfoque es un tema que se vincula con la calidad del NFT. Como activo, es necesario que se garantice que la permanencia de los  datos (características) está asegurada de por vida. De otro modo, el valor de la pieza se esfuma, perjudicando al coleccionista o inversionista.

Hemos visto que la prevención de riesgos para NFT´s es un tema complejo de aprender. No solo se trata del cuidado de la crypto billetera o las claves de acceso a un marketplace. También está la consideración de seguridad de los datos de un NFT desde el momento en que se acuña, para la ubicación de las características que definen a la pieza que se obtiene.

Es algo que va más allá del smart contract que se establece en la cadena de bloques determinada por el creador de contenido. Se trata de resguardar que kos datos que complementan la información del activo NFT esté responsablemente almacenado, de preferencia, con el respaldo de un servicio que si está dedicado a esta labor, como los que vimos en este artículo.

Como es una tecnología tan nueva, un mercado tan inmaduro, es posible que tome mucho tiempo hasta que los estándares de la industria de NFT´s se incrementen de manera que cumplan con las expectativas de responsabilidad que se necesitan para un mercado confiable, considerando los diversos tipo s de NFT´s que existen y, pensando en el futuro, los innovadores NFT´s que iremos conociendo.

Por ahora, como parte de un proceso de aprendizaje, es bueno que tanto los creadores, como los inversionistas y consumidores de NFT´s, vayan profundizando en la comprensión de los conceptos, para ir asimilando los pequeños grandes detalles que constituyen el fortalecimiento de una sociedad que irá adquiriendo mayor consideración hacia los NFT´s, como instrumentos multifuncionales para el normal desarrollo de actividades cotidianas. Desde los tickets para ir al estadio de fútbol o recibir el título profesional otorgado por una institución educativa.

Nuestro trabajo, como usuarios de esto activos, debe considerar la prevención como una actividad obligatoria, reduciendo los niveles de riesgos ante las amenazas que circundan al medio y que cada día se hacen más sofisticadas y presentes, tanto en los mismos dispositivos, como en los marketplaces y crypto billeteras.

Si bien, la cyber delincuencia no se podrá erradicar, al menos, se puede ver reducida en el ámbito de criminalidad. Eso depende de cada usuario.