Kraken
Laboratorios de seguridad

Kraken es el exchange de activos digitales más seguro porque vivimos y respiramos seguridad. De hecho, contamos con varios equipos de primera clase dedicados a probar nuestros productos y servicios. 

 

Sin embargo, por seguros que seamos, sabemos que nuestro éxito está vinculado al éxito de otros miembros de la comunidad de criptomonedas.

Kraken Security Labs

Kraken
Laboratorios de seguridad

Por eso hemos creado Kraken Security Labs, un equipo de investigadores de seguridad de élite cuyo objetivo es proteger y hacer crecer el ecosistema de criptomonedas mediante:

Beaker

Probar productos y servicios comunes de terceros

Tools

Trabajar con proveedores para solucionar estos problemas

Loudspeaker

Informar al público sobre las mejores formas de protegerse

Un compromiso de divulgación responsable

Cuando un investigador de seguridad encuentra una vulnerabilidad, la práctica recomendada es ponerse en contacto con el proveedor para que este pueda solucionar el problema.

 

Aunque es simple en teoría, en la práctica pueden surgir muchos problemas:

 

¿Qué ocurre si el proveedor afectado no responde?

 

El proveedor podría no querer reconocer el problema o podría no tener un programa bug bounty.

 

 

¿Cuánto tiempo se debe dar al proveedor para solucionar el problema?

 

Algunos problemas de seguridad no son fáciles de solucionar y los proveedores suelen querer priorizar nuevas funciones en lugar de solucionar problemas.

 

 

¿Debería el investigador revelar el asunto al público y, en caso afirmativo, cuándo?

 

Cada hacker de sombrero blanco comprueba si el problema que ha encontrado ya es conocido y está siendo explotado por los malos. Cada segundo en que un vendedor no haya publicado una solución es un segundo en el que el público está a ciegas y no tiene el conocimiento para protegerse. La divulgación pública es la única ventaja que tienen los investigadores para presionar a un proveedor para que solucione el problema.

Kraken Security Labs

En pocas palabras, revelar las vulnerabilidades de forma responsable significa algo diferente para todos: es inherentemente difícil equilibrar las necesidades de proveedores y usuarios.

 

Creemos firmemente que es esencial que los equipos de investigación como nosotros se asocien con proveedores para solucionar problemas en sus productos y divulgarlos al público.

 

Para alcanzar ese objetivo, Kraken Security Labs ha revelado y trabajado con proveedores para solucionar problemas en una amplia gama de productos y servicios de criptomonedas. Los detalles de nuestra política de divulgación de vulnerabilidades se publican aquí

Carteras de hardware de criptomonedas

No creemos que deba almacenar todos sus fondos en ningún exchange, incluido el nuestro. 

 

Por eso, compramos y probamos regularmente productos que ofrecen a los clientes la capacidad de almacenar y autocustodiar sus criptoactivos. 

 

Hemos publicado problemas y avisos para los siguientes productos:

Servicios de criptomonedas

En Kraken, animamos a todos nuestros clientes a probar y verificar cualquier servicio de criptomonedas en el que decidan confiar sus fondos o datos.

 

Hemos publicado artículos y avisos para los siguientes servicios: 

Nuestra filosofía de divulgación

¿Ha oído informes contradictorios sobre una divulgación de Kraken Security Labs? 

 

Sepa que es común que vendedores e investigadores discrepen sobre la gravedad de un problema. 

 

En pocas palabras, los investigadores quieren que su trabajo tenga el máximo impacto, mientras que los proveedores normalmente quieren reducir el alcance del problema. 

 

 

Interpretar la gravedad

 

Las vulnerabilidades de seguridad suelen tener un rango de gravedad de Baja a Crítica, pero no todas las vulnerabilidades divulgadas por Kraken Security Labs u otros investigadores serán críticas. 

 

Sin embargo, creemos que es crucial que estos fallos sean expuestos.

 

Se podrían utilizar varias vulnerabilidades de gravedad baja, media y alta de forma coordinada para tener un gran impacto en el dispositivo de destino.

Ventajas compuestas

 

La publicación de estos hallazgos puede impulsar trabajo adicional. 

 

Es común que los investigadores de seguridad se basen en el trabajo de otros, liberen problemas que deberían solucionarse pero que no permitan un compromiso total y liberen investigaciones que el proveedor no cree que merezca la pena solucionar inmediatamente. 

 

Debido a esto, no sería responsable que un investigador de seguridad permanezca callado porque no encontró un problema de gravedad crítica. 

 

Nos esforzamos por publicar divulgaciones que sean lo más comprensibles y transparentes posibles para el público, de modo que pueda tomar decisiones informadas en cuanto a la gravedad del problema.

¡Síganos!

Para seguir nuestro trabajo y estar al día de nuestros anuncios, añada a favoritos nuestro blog oficial o introduzca su dirección de email para suscribirse y recibir notificaciones de nuevas publicaciones.