Madrid.
El capítulo de Madrid de la Asociación de Auditoría y Control de Sistemas de Información (ISACA) analizará el martes los desafíos que plantea blockchain a los profesionales de la auditoría de sistemas, con el objetivo de ofrecer entornos de seguridad a las empresas que utilizan esta tecnología. Esta organización, presidida por Ricardo Barrasa, abordará este asunto en el marco del “I Congreso Auditoría & GRC” que tendrá lugar en la sede central de la entidad financiera Bankia en Madrid. El debate, titulado “Auditoría en Blockchain”, cuenta con la participación de Pablo Fernández Burgüeño, socio fundador de Escila; Julián Inza, senior técnico experto en Trust Conformity Assessment Body; Luis Pastor, miembro de la junta directiva de Alastria; Alberto Gómez Toribio, responsable de innovación y blockchain en Bankia y Antonio Requena, director en PwC.
Como sucede en casi todos los sectores económicos, el de la auditoría también está siendo interrumpido por blockchain. En un libro publicado recientemente por Michael J.Casey y Paul Vigna, titulado “La máquina de la verdad: Blockchain y el futuro de todas las cosas”, los autores dibujan un panorama apocalíptico para el futuro de contables y auditores. Ambos afirman en sus páginas que, si los libros contables distribuidos e inmutables se hacen realidad, las divisiones de auditoría y contabilidad de Deloitte, Price Waterhouse, Ernst Young y KPMG se volverán obsoletas. A lo que añaden que no son solo los grandes auditores los que están en riesgo; “es cada auditor, incluidos los internos de las empresas”.
“De hecho, una vez que el mantenimiento de cuentas se automatiza por completo y las funciones de reconciliación se vuelven superfluas, tanto aquellos que conservan los libros como aquellos que los auditan se quedarán sin trabajo. Las máquinas ingresarán, analizarán y auditarán los datos financieros en minutos o segundos”, afirman Casey y Vigna, quienes también apuntan que, a mediados de 2017, ya había 250 personas trabajando en Deloitte en el área de blockhain, unas cifras que se repiten en las otras tres compañías.
Sin entrar a valorar si el escenario que describen ambos escritores puede llegar a suceder en los términos narrados, la pregunta que se hacen auditores y consultores es ¿quién audita la cadena de blockchain? Un informe de Deloitte que lleva por título “Blockchain: un cambio de juego para los procesos de auditoria”, afirma que, aunque la cadena de bloques promete transacciones altamente seguras, las instancias de fraude no se pueden erradicar por completo.
Abundando en la literatura que detalla el estudio de Deloitte, Elena García Gómez explica en un artículo recogido por BDO que, pese a todas las ventajas de un sistema blockchain, existen riesgos que precisan la figura de un auditor para generar confianza en el entorno. García precisa que tal y como indica ISACA, “la plataforma software sobre la que se ejecuta blockchain afecta a la integridad de los datos; es decir, si la plataforma no es fiable, este hecho afecta directamente a blockchain”.
Elena relata que ningún software está exento de ataques y que, por tanto, la infraestructura que permite blockchain está sujeta a todas las amenazas y vulnerabilidades habituales. De los 41 casos de ataques registrados en blockchain durante 2017, 14 se debieron a vulnerabilidades en los servidores, bien por falta de configuración o por fallos en su diseño.
Como en cualquier infraestructura, Elena indica que es necesario verificar el procedimiento de cambios y la segregación de función y privilegios en el acceso a los datos, ya que son controles que afectan directamente en la integridad de cualquier sistema. También añade que se debería incluir una auditoría para verificar los riesgos que conlleva cualquier tipo de operación no regulada. Por último, propone la creación de estándares de seguridad o la adopción de algunos ya existentes, dentro del área financiera tradicional y que un auditor revise el sistema, para ofrecer confianza en entornos de este tipo.
En la línea con lo expresado por Elena se sitúa el informe de Deloitte citado más arriba. La consultora ilustra con ejemplos la labor imprescindible de los auditores en los ámbitos empresariales de blockchain. En el primero recuerda un caso que se produjo en julio de 2017, cuando un pirata informático desconocido robó casi 32 millones de dólares en Ethereum. La causa principal del fraude fue una vulnerabilidad en el software que se utilizaba para administrar las billeteras de Ethereum y no una deficiencia en la tecnología de blockchain.
Además del caso de robo de Ethereum, la consultora alude al supuesto de que un empleado envíe de manera accidental o deliberadamente bitcoin a una dirección incorrecta o no autorizada. Como en la actualidad no hay manera de revertir dicha transacción, Deloitte apunta que el papel de los auditores en este caso sería evaluar si existen controles automáticos efectivos para validar las transacciones antes de que se ejecuten. El estudio también hace referencia a un supuesto ataque de phishing y al hecho de que no haya un departamento de fraude donde denunciar los hechos, ya que en blockchain no hay administración central. Según la consultora, en situaciones semejantes los auditores deberán determinar si los controles internos para prevenir y detectar ataques de phishing funcionan de manera efectiva.
La pérdida de una clave privada para acceder a cualquier moneda virtual, como bitcoin, por culpa de un mal funcionamiento de software o hardware es otro de los ejemplos. En este supuesto, el informe precisa que los procedimientos de respaldo y restauración ayudarán a prevenir tales situaciones. La consultora concluye que, aunque blockchain ofrece propiedades intrínsecamente seguras, los humanos son los que codifican el software para integrar e interactuar con la cadena de bloques y que “los humanos son falibles y corruptibles”.
Aprovechando el vacío existente en el mercado, PricewaterhouseCoopers anunció el viernes de la semana pasada un nuevo servicio para que sus clientes lo implementen y utilicen adecuadamente. La noticia la recogió Wall Street Journal con un titular que decía lo siguiente: si blockchain puede validar las transacciones de la forma tradicional en que lo hace un auditor, qué le queda al auditor: validar a los validadores. Según PwC, entre los clientes iniciales que usan su nuevo producto se encuentra una de las principales bolsas de valores que, según apunta, lo necesita para verificar que su proceso de pago basado en blockchain funcione como se esperaba. Aunque no quiso dar nombres, la consultora también explicó que otro de sus clientes es un proveedor de monedero digital, que está utilizando su producto para verificar el procesamiento de sus transacciones.
El Congreso de Isaca, donde se enmarca la mesa de blockchain, responde a la creciente sensibilidad de las compañías en materia de Gobierno, Riesgo y Cumplimiento. Por ello, los temas que se abordarán están enfocados a generar una visión global de los procesos, gestión de riesgos, fraude, control interno y cumplimiento normativo y legislativo, sin dejar de lado la metodología y ejecución de revisiones y auditorías de los mismos.