Principales conclusiones

  • Al validar cada transacción a través de la intención, el dispositivo, la identidad, el comportamiento y la política, BitGo está construyendo un modelo de seguridad con visión de futuro diseñado para cómo se producen realmente los ataques modernos.

  • Las mejoras de BitGo Verify, como la atestación de dispositivos, la autenticación biométrica y el Video ID a petición, garantizan que las aprobaciones se realicen en dispositivos de confianza y en tiempo real, reduciendo la dependencia de entornos de navegación vulnerables.

  • Con las recomendaciones de políticas, la duplicación y las integraciones de webhooks, las organizaciones pueden ampliar la gobernanza, estandarizar los controles y hacer cumplir cómo se mueven los activos entre equipos y flujos de trabajo.

  • BitGo señala las direcciones de destino sospechosas en el momento de la retirada, lo que permite a los operadores detectar y detener los ataques de copiar y pegar antes de que se envíen los fondos.

Los ataques actuales no sólo se dirigen a las claves privadas, sino a todo lo que las rodea. Manipulan lo que ven los usuarios, comprometen los entornos donde se producen las aprobaciones y aprovechan las brechas entre sistemas. Una transacción puede ser criptográficamente válida y seguir siendo maliciosa. Este es el cambio fundamental en el panorama de las amenazas y requiere un modelo de seguridad diferente.

En BitGo hemos rediseñado la seguridad de las transacciones, no como un único punto de control, sino como un sistema. BitGo evalúa las transacciones a través de cinco capas independientes, y solo cuando las cinco coinciden se ejecuta una transacción.

Intención: Garantizar que la transacción coincide con la intención del usuario

La mayoría de los sistemas asumen que lo que el usuario ve es lo que se firma, pero problemas como la manipulación a nivel de API pueden alterar los detalles de la transacción después de que el usuario los revise, pero antes de que se ejecuten. La firma puede seguir siendo válida, pero la intención se ve comprometida.

BitGo aborda esta cuestión con atestaciones API y verificación de intenciones. Cuando se crea una transacción, BitGo verifica criptográficamente que lo que se está ejecutando es exactamente lo que se aprobó. Esto cierra la brecha entre la capa de aplicación y la capa de ejecución.

Dispositivo: Estableciendo un Entorno de Confianza para Acciones Críticas con BitGo Verify

Los navegadores son cómodos, pero también están expuestos a extensiones, malware y secuestro de sesión. No pueden garantizar la integridad de lo que se muestra o ejecuta. BitGo traslada la aprobación de transacciones a un modelo de dispositivo de confianza con BitGo Verify.

BitGo Verify, el sistema de verificación de BitGoaplicación móvil de aprobación exclusiva lanzado en 2025, está diseñado específicamente para acciones de alto riesgo, como la aprobación de transacciones y la verificación de la identidad. Actúa como un canal de ejecución dedicado para aprobaciones, separado del entorno en el que se inician las transacciones. Al desvincular la iniciación de la aprobación, BitGo reduce el riesgo de que una sesión comprometida, una interfaz manipulada, un flujo de trabajo malicioso o un actor puedan influir en ambos lados de una transacción.

Con nuestras últimas mejoras, BitGo Verify garantiza que las aprobaciones no sólo están vinculadas a un usuario, sino a un dispositivo específico y de confianza operado en un estado verificado. Esto incluye:

  • Certificación de dispositivos: verificación de que el hardware está prerregistrado y es de confianza para realizar determinadas funciones.

  • Comprobación de la integridad de la aplicación: bloqueo de cualquier versión no oficial y manipulada de la aplicación.

  • Tokens push vinculados al hardware: garantizan que sólo los dispositivos físicos registrados puedan recibir y responder a determinadas peticiones críticas.

  • Vinculación de sesiones: vinculación criptográfica de las sesiones web a un dispositivo móvil verificado para evitar ataques de intermediario.

El resultado es un cambio de las "sesiones de confianza" a los dispositivos de confianza, en los que las aprobaciones son verificables y resistentes a los tipos de ataques que se dirigen cada vez más a los flujos de trabajo basados en navegadores.

Identidad: Verificación de usuarios en un mundo Deepfake con BitGo Verify

Las falsificaciones profundas, los vídeos inyectados y los ataques de ingeniería social están haciendo más difícil distinguir a los usuarios legítimos de los atacantes. BitGo plantea la verificación de la identidad como un proceso dinámico y en tiempo real que tiene lugar en un entorno de confianza.

Debido a que las aprobaciones y las acciones de alto riesgo ya están aisladas dentro de BitGo Verify, la verificación de identidad se puede realizar en el momento exacto en que importa, en el punto de aprobación, no como un paso desconectado de un solo paso.

Con la introducción de la identificación por vídeo a la carta, BitGo aprovecha los mecanismos de verificación que pueden activarse en tiempo real. Cuando es necesario, los usuarios completan un flujo de verificación de vida directamente dentro de la aplicación BitGo Verify, lo que garantiza que las comprobaciones de identidad se producen en un dispositivo de confianza, a través de una interfaz controlada y en conexión directa con la acción que se está realizando. Este proceso combina múltiples métodos de validación, incluida la autenticación biométrica para confirmar la presencia del usuario autorizado y la detección de la vitalidad para garantizar que el usuario está físicamente presente y responde en tiempo real.

Comportamiento: Detección de amenazas en el momento en que importan

Algunos ataques no se basan en credenciales o dispositivos comprometidos. Se basan en la manipulación sutil del comportamiento del usuario. Un ejemplo común es el envenenamiento de direcciones, en el que los atacantes introducen una dirección parecida en el historial de transacciones de un usuario, con la esperanza de que copie y pegue el destino equivocado. En estos casos, todo parece normal, pero el resultado no lo es. BitGo aborda este problema con la detección de amenazas en tiempo real.

En el momento de la retirada, la plataforma evalúa la actividad reciente de las transacciones para identificar patrones compatibles con la manipulación. Las direcciones de destino sospechosas se señalan antes de la ejecución, dando a los operadores la oportunidad de revisarlas e intervenir. Estas señales aparecen directamente en el flujo de aprobación. Esta capacidad se ve reforzada por el análisis de riesgos basado en inteligencia artificial, que evalúa la actividad de usuarios, carteras y flujos de trabajo para detectar anomalías que los controles estáticos podrían pasar por alto.

Políticas: Definir y hacer cumplir cómo se mueven los activos

Incluso cuando una transacción es válida, iniciada por un usuario autorizado y aprobada en un dispositivo de confianza, puede seguir siendo indeseable. Aquí es donde el motor de políticas de BitGo desempeña un papel fundamental.

Las políticas permiten a las organizaciones definir las normas que rigen los movimientos de los activos. Estas normas pueden adaptarse a los requisitos operativos y de riesgo de cada organización, entre otros:

  • Exigir aprobaciones adicionales para las transacciones de alto valor

  • Restricción de las retiradas a las direcciones autorizadas previamente (listas blancas)

  • Aplicación de los límites de velocidad a lo largo del tiempo

  • Separación de funciones entre iniciadores y aprobadores de transacciones

Lo que lo hace potente es que las políticas se aplican independientemente de la firma criptográfica. Una transacción puede cumplir todos los requisitos técnicos para ser firmada y aún así ser bloqueada si viola la política. Esto crea una clara separación entre autorización y gobernanza.

Las recientes mejoras del motor de directivas hacen que estos controles sean más escalables y fáciles de implantar en todas las organizaciones. Las recomendaciones de políticas proporcionan puntos de partida basados en configuraciones empresariales similares. La duplicación de políticas garantiza la coherencia entre equipos y entornos. Las integraciones Webhook permiten a los sistemas de riesgo externos participar directamente en los flujos de trabajo de aprobación.

Juntas, estas capacidades transforman la política de una configuración estática en una capa de control dinámica y aplicable que rige cada transacción en tiempo real.

Un sistema diseñado para cómo se producen los ataques

La seguridad ya no consiste en proteger un único componente. Se trata de garantizar que ni un solo fallo provoque pérdidas.

En BitGo, una transacción debe ahora:

  • Coincidir con la intención del usuario

  • Proceder de un dispositivo de confianza

  • Ser aprobado por una identidad verificada

  • Alinearse con el comportamiento esperado

  • Cumplir la política de la organización

Si falla alguna de estas condiciones, la transacción no se ejecuta. Es el paso de la seguridad puntual a la verificación continua.

A medida que los atacantes se centran cada vez más en las brechas entre sistemas, la seguridad debe evolucionar para cerrar esas brechas. Al validar cada transacción en función de la intención, el dispositivo, la identidad, el comportamiento y la política, BitGo está estableciendo un modelo de seguridad de las transacciones que refleja cómo se producen realmente los ataques modernos.

La próxima generación de seguridad de activos digitales ya está tomando forma. Conéctese con nuestro equipo para saber cómo BitGo está ayudando a las instituciones a adaptarse a un panorama de amenazas cambiante.

The digital asset infrastructure company.

The latest

All News arrowRight icon

About BitGo

BitGo is the digital asset infrastructure company, delivering custody, wallets, staking, trading, financing, and settlement services from regulated cold storage. Since our founding in 2013, we have been focused on accelerating the transition of the financial system to a digital asset economy. With a global presence and multiple regulated entities, BitGo serves thousands of institutions, including many of the industry's top brands, exchanges, and platforms, and millions of retail investors worldwide.