Mejores prácticas de seguridad

　　lo que aprenderás

　　· Usted es el responsable final de su criptografía

　　· Cosas contra las que protegerse; pérdida accidental y robo

　　· Las mejores prácticas y dormir profundamente por la noche

　　Si ha llegado a esta etapa en nuestra serie de artículos sobre cómo usar criptomonedas, habrá invertido una cantidad considerable de tiempo y, con suerte, parte de su dinero; poniendo en práctica lo que ha aprendido y siendo dueño de sus propias criptomonedas.

　　Todo ese esfuerzo y valor potencial se desperdiciará si no sabe cómo proteger su criptomoneda contra pérdida o robo, que es lo que explicará ahora este artículo.

　　Volviendo al concepto de custodia

　　Si lee el primer artículo de esta sección, estará familiarizado con el concepto de custodia , que es fundamental para la propiedad de criptomonedas. Custodia se refiere a cómo administra la responsabilidad de la única información crítica que permite el control de su criptografía: una clave privada o semilla .

　　Como las criptomonedas funcionan sin una autoridad central como un banco, la posesión es propiedad y simplemente se reduce a una de las ideas más importantes que puede aprender: ' No son sus llaves, no son sus monedas '

　　La custodia simplemente se refiere a las dos opciones para la responsabilidad final de esas claves; usted mismo puede asumir toda la responsabilidad o confiar en otra persona para que se encargue de ello.

　　1. Cuide usted mismo de las criptomonedas: sin custodia

　　2. Confíe en otra persona para que cuide su criptografía: use un servicio de custodia

　　Depende de usted decidir qué opción es mejor para usted, comprendiendo las amenazas de pérdida y robo específicas de las dos opciones: con custodia y sin custodia.

　　Su decisión también dependerá de la cantidad de criptomonedas que posea, lo que a su vez se relacionará con la gravedad de los riesgos potenciales para su seguridad.

Amenaza	Relevante para custodia o no custodia
Pérdida de datos/detalles de acceso	Ambos
Suplantación de identidad	Ambos
Ataque de fuerza bruta	custodia
Secuestro de SMS	custodia
Suplantación de DNS	Ambos
ataque en persona	sin custodia

　　Pérdida de datos/detalles de acceso

　　Si decide dejar que un intercambio o una billetera móvil guarden su criptografía, el punto de falla más obvio es olvidar los detalles que le permiten acceder a ese servicio.

　　En primera instancia, esto significa su Nombre de usuario y Contraseña, que debe tomar las medidas adecuadas para que sean fuertes/únicos y se guarden de forma segura. Si guarda esas credenciales a través de otro servicio, como su cuenta de Google o LastPass, eso a su vez se convierte en un punto débil.

　　Además de esto, generalmente se requiere acceso a su dirección de correo electrónico para aprobar acciones clave, como aprobar retiros o configurar otras funciones de seguridad, así que tenga cuidado de recordar esos detalles de acceso. a, que son otra capa crucial de acceso.

　　Si elige la opción sin custodia, el enfoque de bricolaje, la pérdida de detalles de acceso se relacionará directamente con sus claves privadas o semillas. Si aún no ha oído hablar de él, James Howells proporciona uno de los ejemplos más extremos de esto, destacado en la historia de nuestro blog sobre fortunas perdidas de bitcoin .

　　Siempre haga una copia de seguridad de sus claves privadas o semillas, obviamente tomando las medidas de seguridad adecuadas y almacenándolas en una ubicación separada, preferiblemente fuera de línea. No uses algo perecedero, como papel, o cualquier cosa corruptible.

　　Si usa una billetera dura ( más sobre billeteras en general aquí ), es probable que tenga varias capas de seguridad y debilidad: credenciales para un servicio de tablero (por ejemplo, Ledger Live), un pin para acceder al dispositivo y la Semilla. De ellos, la Semilla es la más crucial, si todo lo demás falla, te permitirá recuperar tus monedas.

　　La solución definitiva para proteger su semilla es grabar las frases en metal resistente a la corrosión, el calor y la presión. El renombrado evangelista de Bitcoin, Jameson Lopp, ha creado una revisión asombrosa de las mejores opciones de grabado de almacenamiento de semillas de metal .

　　Por supuesto, debe guardar ese grabado de metal en un lugar seguro, lo que ilustra que el dinero (o Bitcoin) tiene que detenerse en algún lugar.

　　Suplantación de identidad

　　La protección contra el phishing debería ser algo de lo que ya tenga cuidado al usar cualquier servicio en línea. Se refiere a intentos de engañarlo para que descargue software malicioso que luego puede comprometer su computadora, o sitios falsos que luego recopilarán sus detalles y accederán a fondos/datos.

　　Esto es particularmente relevante para los servicios de custodia, para los cuales los correos electrónicos de phishing y los sitios web falsos son muy comunes, pero las opciones sin custodia no son inmunes.

　　A Ledger, el fabricante de una popular billetera dura, le piratearon una base de datos de detalles de clientes en julio de 2020, incluidas las direcciones de correo electrónico. Esos clientes luego se convirtieron en objetivos para el phishing.

　　Del mismo modo, los servicios basados en navegador a menudo son objeto de sitios web falsos, que luego engañan a los usuarios para que descarguen malware de los detalles de la recolección.

　　Para protegerse contra el phishing por correo electrónico:

　　· Use un servicio de correo electrónico encriptado como Protonmail y úselo solo para servicios importantes

　　· Si no está seguro de si un correo electrónico es auténtico, verifique la dirección de envío real en lugar de solo el nombre de envío visible; esto suele ser un regalo

　　· Los servicios auténticos a menudo se referirán a usted por su nombre, los correos electrónicos de phishing no

　　· El contenido de los correos electrónicos de phishing a menudo está mal escrito o formateado.

　　Ataque de fuerza bruta

　　Es una de las técnicas más antiguas y obvias para tratar de robar la contraseña de alguien, ejecutando un software que procesa las opciones de contraseña. Esto se puede usar junto con la información conocida sobre el usuario de OSINT - Open Source Intelligence.

　　La mejor manera de mitigar este tipo de amenaza es utilizar la autenticación de dos factores (2FA), una capa secundaria de detalles de acceso desde una fuente separada, normalmente su teléfono móvil.

　　Cualquier intercambio decente hará cumplir o alentará encarecidamente el uso de 2FA, pero es importante evitar el uso de texto para 2FA, como se explica en el siguiente tema.

　　Los dos proveedores de 2FA más comunes son Google Authenticator o Authy.

　　Secuestro de SMS

　　Habiendo fomentado el uso de 2FA como estándar para los servicios de custodia, ahora debemos advertir que elegir SMS como 2FA puede crear una vulnerabilidad grave a través del secuestro de SMS.

　　Si los atacantes conocen su número de teléfono móvil y su proveedor, y han recopilado información personal de OSINT, pueden hacerse pasar por usted con su proveedor de servicios móviles y solicitar que se les envíe una tarjeta SIM de reemplazo.

　　Esto les da acceso al código 2FA, que se usaría junto con un ataque de fuerza bruta.

　　La solución es usar siempre una 2FA basada en aplicaciones como Google Authenticator o Authy. El dispositivo que ejecuta la aplicación se convierte en un punto débil, como apreciará cualquier persona que haya perdido su teléfono.

　　Esto se puede evitar almacenando sus códigos de respaldo 2FA, provistos cuando configuró 2FA. Sin la copia de seguridad de 2FA, obtener el restablecimiento de 2FA requiere que pase por un laborioso proceso de grabación de una selfie/video con alguna identificación y una nota escrita a mano.

　　Google actualizó Authenticator en mayo de 2020, el primero en tres años, lo que simplifica la exportación/importación de códigos 2FA, lo cual es bienvenido, pero no ayuda si pierde su teléfono o se estropea.

　　Suplantación de DNS

　　En noviembre de 2020, el popular servicio de cifrado Celsius fue víctima de un ataque de DNS, que involucró a un atacante que convenció a su proveedor de DNS, Godaddy, para cambiar esencialmente el sitio que se sirve detrás de su aplicación.

　　Esto es difícil de mitigar, además de estar atento o, en el caso de Celsius, juzgar la seguridad de un servicio por la seriedad con la que tratan su configuración de DNS.

　　Ataque en persona

　　Hemos dejado este para el final porque solo debería ser una preocupación si tiene una cantidad realmente significativa de criptografía. Ha habido, en raras ocasiones, casos en los que personas conocidas por poseer grandes cantidades de criptomonedas han sido secuestradas/extorsionadas para dar acceso a sus fondos.

　　Como el ataque al libro mayor, mencionado anteriormente, filtró las direcciones postales de los clientes, se habló mucho en las redes sociales sobre este peligro por parte de los clientes furiosos. Sin embargo, no ha habido casos reales informados de ataques en persona, ya que es mucho más riesgoso que las opciones en línea enumeradas.

　　Aunque este riesgo existe en cualquier circunstancia en la que se trate de riqueza portátil (relojes caros, joyas y artículos de colección), la criptografía es un objetivo específico porque es difícil de asegurar y puede ser difícil de rastrear/recuperar.

　　Si esto es algo que le preocupa, en primer lugar, no publique el hecho de que posee criptografía, lo que incluye en cualquier lugar en línea o con cualquier persona en la que no confíe explícitamente.

　　También debe pensar en algo llamado Firma múltiple, que esencialmente requiere que más de una persona apruebe una transacción criptográfica.

　　Esto da una negación plausible. Visite keys.casa para obtener un servicio de seguridad multi-sig rentable.

　　Aprender e invertir en criptografía puede ser una experiencia enormemente liberadora. Es una expresión de soberanía financiera, pero si está eliminando una autoridad, como un banco, de su vida financiera, usted se convierte en el último responsable, por lo que al menos debe conocer las mejores prácticas para mantener su criptografía segura y garantizarle dormir tranquilo por la noche.