Enfoque de seguridad de Flipster Exchange: preguntas y respuestas sobre certificaciones de seguridad, recompensas por errores y protección del usuario

En un mercado de criptomonedas volátil y en constante evolución, las plataformas de intercambio se enfrentan a un adversario mayor, decidido a comprometer los datos y fondos de los usuarios. Esta semana, conversamos en exclusiva con el director de seguridad de la información (CISO) de Flipster, Justin Hong. Hong habló sobre cómo la plataforma de trading de criptomonedas se fortalece mediante certificaciones, innovación de productos y respuesta ante amenazas en tiempo real.

Según Hong, Flipster ha lanzado más de 15 actualizaciones de seguridad a nivel de producto solo este año. Estas actualizaciones, junto con su certificación ISO/IEC 27001 y una calificación 'AA' de CER.live, garantizan a los usuarios un entorno de negociación seguro.

Trabajando en Flipster

P: Hola Justin, cuéntanos un poco sobre ti, tu rol como Director de Seguridad de la Información y por qué es esencial para las empresas Web3. 

R: He dedicado los últimos 16 años al mundo de la ciberseguridad, con experiencia en banca, tecnología financiera y blockchain. Cada ámbito presenta sus propios desafíos, y juntos han moldeado mi enfoque en la seguridad, especialmente en la Web3, donde hay mucho en juego. El nivel de exposición aquí es incomparable con cualquier otro en las finanzas tradicionales. Hay mayor control por parte del usuario, más innovación y, lamentablemente, mayor atención por parte de actores maliciosos.

En Flipster, dirijo la función de seguridad global, que abarca desde la gestión de riesgos y el cumplimiento normativo hasta la respuesta adent y la integración de marcos internacionales como la norma ISO/IEC 27001 en nuestras operaciones. Las criptomonedas se mueven con rapidez, y las amenazas evolucionan con la misma rapidez. Desarrollamos con eso en mente: siempre pensando en el futuro, no solo reaccionando.

P: ¿Cómo es trabajar en Flipster en el mundo acelerado y de alto riesgo de las plataformas de comercio de criptomonedas?

R: Hay mucho en juego, y eso es precisamente lo que hace que este trabajo sea tan gratificante. La seguridad en este ámbito no es pasiva. Te enfrentas a algunos de los adversarios más creativos y decididos del sector tecnológico. Te mantiene alerta y te impulsa a seguir evolucionando.

Lo que destaca en Flipster es la coordinación entre todos. Nuestra misión es clara: estamos aquí para construir una plataforma de trading segura y confiable en la que todos puedan confiar. Este enfoque se refleja en nuestra forma de trabajar: estrecha colaboración, retroalimentación rápida y pruebas constantes. 

P: ¿Cómo defila confianza en Flipster y cómo trabaja su equipo para construirla y mantenerla?

R: La confianza se construye con el tiempo mediante la coherencia: transparencia, claridad y rendición de cuentas. Comunicamos cómo gestionamos el riesgo, protegemos los fondos de los usuarios y respondemos a losdent. Si algo sale mal, los usuarios merecen saber qué sucedió y cómo se está solucionando.

En el backend, aplicamos un modelo de confianza cero. Todos los sistemas y usuarios reciben el mismo escrutinio, tanto interno como externo. Esta mentalidad nos ayuda a anticiparnos a las amenazas de phishing y otros riesgos internos. Pero la seguridad no puede ir en detrimento de la experiencia del usuario. Constantemente perfeccionamos las funciones para que sean más seguras e intuitivas. Cuando ambas cosas funcionan en armonía, los usuarios no tienen que elegir entre seguridad y usabilidad.

Certificación ISO/IEC 27001 y CER.live de Flipster

P: Las plataformas de criptomonedas se están convirtiendo en un foco dedentde seguridad, que en la mayoría de los casos resultan en pérdidas sustanciales de dinero. Mientras trabajaba en Flipster, ¿se encontró con un intento similar? ¿Cómo lo contuvo?

R: Hemos visto numerososdent: ataques DDoS, campañas de phishing e intentos de suplantación de identidad, por nombrar algunos. Estas amenazas son reales y constantes.

Tomemos como ejemplo los ataques DDoS. Los atacantes han intentado interrumpir nuestra plataforma e incluso han intentado tácticas de rescate. Sin embargo, contamos con controles integrados de detección y mitigación en cada capa, y nuestros equipos de respuesta están capacitados para actuar con rapidez. En casos de phishing, actores maliciosos se han hecho pasar por solicitantes de empleo o socios para intentar engañar a nuestro equipo y que abran archivos dañinos. Nuestros sistemas están diseñados para detectar estas amenazas rápidamente, y realizamos un seguimiento con un análisis exhaustivo posterior aldent para reforzar aún más nuestras defensas.

P: Flipster recibió recientemente la certificación AA de CER.live. ¿Qué implica esta certificación y qué significa para los usuarios?

A: Desde 2018, CER.live ha evaluado cientos de plataformas de intercambio utilizando una metodología rigurosa basada en más de 18 indicadores de seguridad. Es uno de los benchmarks independientes más fiablesdent sector.

Para los usuarios, este tipo de certificación es una señal clara. Indica que un tercero ha examinado nuestra plataforma y validado la calidad de nuestra seguridad. Si a esto le sumamos nuestra certificación ISO/IEC 27001, empezará a ver la imagen de una empresa que se toma en serio la confianza, no solo en lo que decimos, sino también en nuestra forma de operar.

P: Más allá de la certificación CER.live, ¿qué prácticas o protocolos de seguridad clave ha implementado recientemente Flipster que los usuarios deben conocer?

R: Este año hemos implementado más de 15 funciones de seguridad a nivel de producto. Algunas mejoras clave incluyen compatibilidad con claves de acceso, bloqueos de retiros y listas blancas de direcciones. Cada una ofrece a los usuarios mayor control y añade una capa adicional de protección.

Siempre recomiendo habilitar tanto las claves de acceso como la libreta de direcciones para realizar retiros. Estos sencillos pasos marcan la diferencia. También estamos desarrollando nuevas herramientas de administración de dispositivos que permitirán a los usuarios tracy administrar los dispositivos que acceden a sus cuentas; otra forma de ayudarles a mantener el control.

P: Algunas plataformas han obtenido la calificación AAA de CER.live. ¿Es este un objetivo para Flipster? ¿Qué medidas de seguridad están implementando para lograrlo?

R: Lo tenemos en mente y estamos progresando a buen ritmo. Nos centramos en reforzar la protección de los servidores, implementar herramientas antiphishing y brindar a los usuarios un mayor control mediante funciones mejoradas de administración de dispositivos.

Al final, no buscamos insignias, sino lo que realmente mejora la plataforma para nuestros usuarios. Si algo aporta valor real y refuerza nuestras defensas, lo construimos. La calificación AAA es un hito, no la meta.

Recompensas por errores y más funciones de seguridad

P: ¿Cómo garantiza Flipster que los piratas informáticos de sombrero blanco estén incentivados de una manera que se alinee con los objetivos de confianza y transparencia a largo plazo del intercambio?

A: Estamos colaborando con Hackenproof en un programa público de recompensas por la detección de errores, que ofrece a los investigadores una vía clara y fiable para compartir sus hallazgos con nosotros. Su equipo revisa las propuestas en función de su impacto y calidad, y nosotros ofrecemos recompensas justas según la gravedad del caso.

Más allá de encontrar errores, se trata de involucrar a la comunidad global de seguridad en nuestra misión. Cuando los investigadores saben que su trabajo es valorado y se pone en práctica, es más probable que contribuyan atronel ecosistema. Es una victoria para todos.

P: Como CISO y líder de opinión en este espacio, ¿qué consejo le daría a otras empresas que trabajan para mejorar sus estándares de seguridad?

R: Primero, aborde lo básico. La mayoría de las brechas de seguridad se deben a descuidos básicos: falta de parches, permisos abiertos o un control de acceso deficiente. Si lo hace correctamente, eliminará gran parte del riesgo.

Además, invierta en su personal y sus procesos. Puede tener todas las herramientas del mundo, pero si sus equipos no están capacitados o sus estrategias de gestión dedent no se prueban, será vulnerable. Cree una cultura donde la seguridad sea responsabilidad de todos, no solo del CISO. Ese cambio de mentalidad puede llevar tiempo, pero vale la pena el esfuerzo.

P: Por último, los ataques de ingeniería social también son comunes en este ámbito. ¿Qué medidas han implementado para garantizar la protección de los usuarios, o mejor dicho, su información sobre los intentos de comprometer sus cuentas?

R: Consideramos la ingeniería social en dos categorías: robo de cuentas y transferencias fraudulentas. En primer lugar, hemos incorporado proteccionestroncomo claves de acceso, autenticación de dos factores (2FA), alertas de inicio de sesión en tiempo real y listas blancas de direcciones. Próximamente, también añadiremos la gestión de dispositivos.

La educación del usuario es fundamental en la prevención del fraude. Compartimos actualizaciones de seguridad periódicas y desarrollamos herramientas que detectan direcciones sospechosas o fraudulentas. El objetivo es brindar a los usuarios el conocimiento y las herramientas necesarias para mantenerse seguros. Un usuario bien informado es una de las mejores defensas.