Creemos que una blockchain debe poder mirarse por dentro. Este es el resultado de una auditoría de seguridad profunda de la red NovaMoney, con cada control verificado contra el sistema real en producción.
Auditoría inicial y estado tras la remediación. Los dos hallazgos de mayor impacto fueron eliminados y verificados en producción.
| Área | Hallazgo | Severidad | Estado |
|---|---|---|---|
| Acceso SSH | Login root con contraseña bajo fuerza bruta | Alta | ✓ Resuelto |
| IDE de contratos | Compilador y librerías sin verificación de integridad | Alta | ✓ Resuelto |
| Backups | Llaves de validador sin cifrar | Media | ✓ Resuelto |
| Cabeceras web | Falta de Content-Security-Policy | Media | ✓ Resuelto |
| Gestión de llaves | Claves de prueba en historial de código | Media | ✓ Mitigado |
| Cadena de suministro | Releases sin firma criptográfica | Media | ✓ Resuelto |
| Explorer | Render de campos RPC sin escapar (defensa en profundidad) | Media | En curso |
| Monitoreo | Panel Grafana con versión divulgada | Baja | En curso |
No son promesas: cada punto fue comprobado directamente contra el sistema real el 29 de junio de 2026.
La auditoría también confirmó controles maduros que rara vez se ven en proyectos en esta etapa.
El CSP limita la exfiltración y la carga de scripts externos incluso ante un XSS hipotético.
Acciones fijadas por hash, permisos mínimos, escaneo de dependencias automatizado.
Pruebas de inyección de fallos en vivo: la red continúa o se detiene de forma segura, sin bifurcarse.
Sin llaves en líneas de comando; backups cifrados y externalizados.