Sistema auditado · Producción verificada en vivo

Seguridad & Transparencia

Creemos que una blockchain debe poder mirarse por dentro. Este es el resultado de una auditoría de seguridad profunda de la red NovaMoney, con cada control verificado contra el sistema real en producción.

Informe del 29 de junio de 2026 · Metodología OWASP Top 10 / CWE Top 25
54 15
Índice de riesgo /100 — Riesgo Bajo
2 0
Vulnerabilidades de severidad Alta
6/8
Hallazgos prioritarios remediados
3
Validadores activos · finalidad BFT
Hallazgos

Qué encontramos y qué arreglamos

Auditoría inicial y estado tras la remediación. Los dos hallazgos de mayor impacto fueron eliminados y verificados en producción.

ÁreaHallazgoSeveridadEstado
Acceso SSHLogin root con contraseña bajo fuerza brutaAlta✓ Resuelto
IDE de contratosCompilador y librerías sin verificación de integridadAlta✓ Resuelto
BackupsLlaves de validador sin cifrarMedia✓ Resuelto
Cabeceras webFalta de Content-Security-PolicyMedia✓ Resuelto
Gestión de llavesClaves de prueba en historial de códigoMedia✓ Mitigado
Cadena de suministroReleases sin firma criptográficaMedia✓ Resuelto
ExplorerRender de campos RPC sin escapar (defensa en profundidad)MediaEn curso
MonitoreoPanel Grafana con versión divulgadaBajaEn curso
Verificación en vivo

Controles confirmados en producción

No son promesas: cada punto fue comprobado directamente contra el sistema real el 29 de junio de 2026.

🔐 Acceso y autenticación

  • SSH solo por llave (sin contraseña, sin root password)
  • fail2ban bloqueando IPs hostiles automáticamente
  • Fuerza bruta neutralizada

🧱 Red y firewall

  • Solo SSH y HTTPS expuestos a internet
  • Servicios internos restringidos a localhost
  • P2P entre validadores filtrado por IP

🌐 Superficie web

  • TLS 1.2/1.3 con cifrado fuerte
  • CSP, HSTS y cabeceras de seguridad completas
  • Rate-limiting contra abuso

🔌 RPC público

  • Métodos peligrosos deshabilitados
  • Sin exposición de cuentas ni mempool
  • Solo lectura y envío de transacciones firmadas

💻 IDE de contratos

  • Compilador y librerías auto-hospedadas
  • Compilador verificado por hash oficial
  • Cero dependencias externas en la ruta de firma

🔑 Llaves y backups

  • Backups de llaves cifrados con GPG
  • Copia externa fuera del servidor principal
  • Permisos restringidos en todo el almacenamiento
Fortalezas

Lo que ya estaba bien hecho

La auditoría también confirmó controles maduros que rara vez se ven en proyectos en esta etapa.

🛡️

Defensa en profundidad

El CSP limita la exfiltración y la carga de scripts externos incluso ante un XSS hipotético.

⚙️

CI/CD ejemplar

Acciones fijadas por hash, permisos mínimos, escaneo de dependencias automatizado.

Tolerancia a fallos probada

Pruebas de inyección de fallos en vivo: la red continúa o se detiene de forma segura, sin bifurcarse.

🔒

Secretos bien gestionados

Sin llaves en líneas de comando; backups cifrados y externalizados.

Compromiso de transparencia. Este informe documenta tanto lo que está resuelto como lo que sigue en curso. Los riesgos residuales son de bajo impacto o pertenecen a código fuera de producción. El trabajo restante es endurecimiento incremental y descentralización (incorporar validadores independientes), no corrección de fallos críticos.