You can also read the English version of this article.
Lo entendemos, asegurar tus monedas puede ser agobiante. Pero esto se torna más fácil una vez que entiendes algunos principios básicos. No depender de un tercero para guardar tus fondos es un cambio de paradigma, pero creemos que es posible para todos. En este artículo responderemos las preguntas más comunes que recibimos de recién llegados al concepto de carteras físicas.
¿Dónde están almacenadas mis monedas?
Empecemos por lo más importante: ¿están mis monedas almacenadas en la cartera, o donde rayos están? Esta es una pregunta muy buena, porque la respuesta define lo que tu cartera realmente necesita proteger.
Las criptomonedas se llaman así porque están aseguradas por criptografía. Para ello, necesitas un conjunto de claves digitales, por ejemplo tu (muy secreta) llave privada. Con esta llave puedes encriptar y firmar digitalmente cosas.
Ahora vamos a tomar Bitcoin como ejemplo (otras criptomonedas funcionan de una manera similar). Toda la red Bitcoin se mantiene en sincronía a través de una estructura de datos compartida, la cadena de bloques. Contiene registros de todas las transacciones realizadas y está disponible públicamente en línea, por lo que puede ser leída por cualquiera. Si recibes alguna cantidad en bitcoin, digamos 0.1 BTC, lo verás en tu cartera de Bitcoin, bajo una dirección Bitcoin.
Tus bitcoins no están almacenados en la cartera, son sólo una entrada en la cadena pública de bloques. Lo que la cartera guarda es tu llave privada que pertenece a dicha dirección. Debido a que controlas esta clave privada, puedes gastar estos bitcoins: así es como se define la “propiedad” en Bitcoin. Todo el mundo puede ver estos bitcoins, pero sólo tú puedes gastarlos, así que son tuyos. Pero esto también significa que todo aquél que tenga la llave privada adecuada, puede gastar estos bitcoins. Por esta razón es muy importante mantener esta llave bien resguardada.
¿Cuáles son las amenazas más comunes a mis bitcoins?
La propiedad de Bitcoin se define por tener acceso a las llaves privadas que te permiten gastarlas, y estas llaves necesitan ser protegidas. ¿Pero contra qué? ¿Cuáles son algunas amenazas más comunes para tus monedas?
El phishing: más común y exitoso
¿Alguna vez recibiste un correo electrónico de un “príncipe” en algún lugar, ofreciéndote dinero si simplemente le ayudas? Es una estafa obvia. ¿Pero qué pasa si no estás seguro de cómo funciona Bitcoin, y recibes un correo electrónico con buen formato de tu plataforma de intercambio de criptomonedas, pidiéndote que confirmes algunas cosas? ¡Sé consciente! Esto se llama ingeniería social. Puede ser muy sutil y mucha gente cae por ello.
Moraleja principal: Nunca reveles tus llaves privadas o tu respaldo de la cartera (una tarjeta microSD o 24 palabras de recuperación) a nadie, y nunca las introduzcas en ningún dispositivo que no sea una cartera física. No confíes en nadie pidiéndote que hagas esto, incluso si dicen que son trabajadores de una casa de cambios o incluso el fabricante de la cartera física.
Ataques remotos: escalan muy bien
Dependiendo del origen, entre el 30% y el 50% de las computadoras han sido infectadas con programas maliciosos en algún momento. Un virus podría monitorear tu portapapeles para detectar direcciones de Bitcoin y reemplazarlas con la dirección del atacante. Podría hacer que tu cartera caliente o digital enviara tus monedas a algún lugar o robar tus llaves privadas. El problema con estos ataques es que escalan muy bien: un atacante necesita escribir el código una vez, distribuirlo y luego esperar a que lleguen las “recompensas”.
Moraleja principal: Siempre asume que tu computadora o teléfono está comprometido y podría robar tus monedas. Es una situación similar con la cartera que utilizas para llevar tu efectivo en moneda local: el riesgo está bien para una cantidad limitada de uso diario, pero no mantendrás tus ahorros de vida en tu bolsillo.
Ataques locales: requieren mucho esfuerzo
Alguien con acceso físico a tu ordenador o teléfono móvil podría manipularlo para enviar tus llaves, o podría amenazarte físicamente para que entregues tus fondos. Los ataques como estos ocurren, pero son raros porque son muy específicos y necesitan mucho esfuerzo criminal. La mejor prevención contra esto es no presumir de cuántos bitcoins posees y activar controles de acceso digital para los dispositivos que usas.
Moraleja principal: Tómate la privacidad en serio y no te pongas en el punto de mira cuando hagas actividad en las redes sociales. Protege el acceso a tus dispositivos e invierte en una cartera física si manejas cantidades significativas.
¿Qué hace que una cartera física sea segura?
Hay muchos vectores de ataque, pero no te preocupes. Es importante entender a qué nos enfrentamos, y así poder encontrar una protección que se amolde a nuestro caso. El problema principal con ordenadores regulares o móviles es que son demasiado complejos para ser seguros. Cualquier tipo de actualización podría vulnerar tu seguridad, y con millones de líneas de código es imposible saber exactamente lo que está pasando. Construir un almacenamiento criptográfico seguro encima de eso es casi imposible.
Las carteras físicas como la BitBox02, por otro lado, son simples por defecto. No tienen un sistema operativo como Windows o MacOS, no hay programas de fondo que funcionen, no hay “credenciales” (usuario y contraseña de acceso). Están hechas con el único propósito de proteger tus llaves privadas, y nunca revelarlas. Una cartera física generalmente viene con una aplicación digital de complemento, como nuestra BitBoxApp. Tú debes asumir siempre que tu computadora o móvil ya están comprometidos con programas maliciosos (malware), y con esto en mente ni siquiera la BitBoxApp en tu computadora puede ser confiable. Pero esto está bien, porque la aplicación nunca tiene acceso a ningún secreto.
Siempre que quieras usar criptomonedas, es la BitBoxApp la que se comunica con el mundo exterior, pero sólo la cartera física BitBox02 hace las cuestiones secretas:
- Recibiendo: si quieres recibir cripto, necesitas dar a alguien una dirección para ellos enviarte las monedas. ¿Pero estás seguro de que es realmente tu dirección, y no la dirección de un atacante, introducida en tu computadora por un virus? Es por eso que todas las direcciones receptoras deben ser verificadas en la pantalla de la propia cartera física. Sólo la BitBox02 puede decir con certeza si controla esta dirección.
- Enviando: al enviar cripto, tú necesitas firmar la transacción con tus llaves privadas. Si estas llaves están almacenadas en tu computadora, pueden ser robadas por un atacante remoto o local. También debes estar seguro de que firmas la transacción correcta, enviando la cantidad correcta a la dirección de recepción correcta. Por eso las llaves privadas sólo se almacenan en la cartera física. La BitBoxApp prepara la transacción sin firmar y la transmite a la cartera física. La BitBox02 entonces muestra todos los detalles en su pantalla segura, por lo que puedes ver lo que estás a punto de firmar. Cuando la confirmas, la transacción es firmada localmente, dentro de la BitBox02. La transacción firmada —que no es secreta— se envía luego a la BitBoxApp que a su vez la transmite al mundo.
Por lo tanto, estos son los dos beneficios importantes de una cartera física:
- Está diseñada para mantener tus llaves privadas seguras de cualquier acceso no autorizado, remoto o local.
- Te permite verificar y confirmar de forma independiente, la información sensible en su pantalla segura, porque tu ordenador o pantalla telefónica puede ser fácilmente vulnerada por malware.
Moraleja principal: Verifica el envío y recepción de información en tu cartera física y confía en la pantalla segura de tu BitBox02 por encima de lo que tu computadora o teléfono móvil muestre.
¿Se puede atacar informáticamente (hackear) una cartera física?
Sí, por supuesto, todo puede ser hackeado. Si alguien te dice lo contrario, o no entienden que la seguridad de la información es una batalla constante, o simplemente están mintiendo. Pero: es posible aumentar el coste y las probabilidades de ser hackeado a un nivel donde ya no es factible para un atacante.
Las siguientes características de seguridad del BitBox02 la convierten en una de las carteras físicas más seguras. Es muy difícil de romper, y cuando lo hacen, hay una alta posibilidad de destruirla físicamente en el proceso.
- Software reducido
El software regular tiene millones de líneas de código de programación y utiliza muchas dependencias que son escritas por otros. Un sistema seguro debe funcionar con un software simple que pueda ser auditado línea por línea. La edición BitBox02 sólo Bitcoin lleva este principio de seguridad al siguiente nivel: sólo puede ejecutar firmware radicalmente enfocado para Bitcoin, sin soporte para otras criptomonedas, ni ninguna otra característica. - Interfaz de comunicación restrictiva
Una cartera física debe ser muy estricta con las solicitudes de respuesta de los ordenadores inseguros. No puedes “conectarte” a una cartera física o acceder su memoria como un dispositivo USB. El BitBox02 utiliza un protocolo de comunicación muy restrictivo, y simplemente aborta un intercambio de información si el otro lado no sigue los parámetros específicos. - Equipo robustecido
Para proteger contra ataques físicos, es esencial que una cartera física use componentes especialmente diseñados contra la manipulación física. Sin un chip seguro, los expertos pueden obtener acceso a los secretos, o información sensitiva, usando equipos especializados. La BitBox02 utiliza un chip seguro específicamente construido para la protección del dispositivo en caso de acceso físico. - Cadena de suministro segura
Usar una cartera física falsa y potencialmente maliciosa es un riesgo serio. Es por esto que la BitBox02 está diseñada y fabricada en Suiza, donde supervisamos todo el proceso de producción. La BitBoxApp oficial es capaz de detectar si la BitBox02 es un dispositivo original para evitar que los usuarios obtengan falsificaciones con propósitos malignos. Y la BitBox02 solo ejecuta firmware oficial firmado por Shift Crypto, para que nadie pueda cargar un firmware malicioso en un BitBox02 antes de que lo tengas en tus manos. - Apariencia sigilosa
Evitar un ataque es siempre mejor que defenderse contra él. Es por eso que la BitBox02 no parece muy llamativa. Cuando se ve desde lejos, se parece a una unidad USB más grande de lo normal. Y cuando no está conectada a un móvil o computadora, ni siquiera notas que tiene una pantalla. - Transparencia total
El firmware en tu cartera física tiene acceso completo a tus llaves privadas y puede hacer todo tipo de cosas maliciosas. Es por eso que el código del programa debe estar disponible públicamente para su revisión, y las actualizaciones de firmware deben ser creadas para permitir la verificación de que el firmware está realmente construido desde el código público.
Implementar la seguridad en una cartera física es una labor difícil, necesita mucha experiencia y una mentalidad humilde. Apoyamos las investigaciones independientes de seguridad y recompensamos a cualquiera que encuentre una vulnerabilidad a través de nuestro programa de recompensas. Si la cantidad que desea asegurar es significativa, una sola cartera física podría no ser suficiente. Nos adentramos más profundamente en cómo mejorar la seguridad de la configuración de tu cartera física con múltiples firmas en un artículo futuro.
Moraleja principal: Nada es “inhackeable”. Es bueno entender qué protecciones están disponibles y configuradas, pero una buena indicación de cómo el fabricante de equipos seguros emplea una “mentalidad de seguridad” es lo abiertos y humildes que son sus comunicaciones con respecto a las vulnerabilidades, y cuál es el tiempo de respuesta.
¿Qué impide que el fabricante de la cartera física robe mis monedas?
Así que todo está bien, y tus monedas están seguras. Pero, ¿qué impide que el fabricante de tu cartera use una puerta trasera y simplemente huya con tus monedas? En el caso de la BitBox02, ¿cuánto necesitas para confiar en nosotros?
Aunque una solución totalmente “sin confianza” probablemente no es posible, hacemos todo lo que está a nuestro alcance para minimizar la necesidad de confiar en nosotros:
- Todo nuestro código es público: todos pueden comprobar cómo funciona el dispositivo y cómo se manejan las llaves secretas.
- El repositorio del código público tiene una historia completa de todas las ediciones: es posible solo comprobar los cambios de la última versión. No hay necesidad de validar todo cada vez que se desea auditar el código base.
- Producimos las versiones de firmware usando “construcción reproducible”: cualquiera puede compilar el código fuente y el resultado será el mismo binario del firmware.
- No todo el mundo tiene la capacidad de auditar el código del programa: animamos a los investigadores independientes a hacerlo y ofrecemos recompensas a través de nuestro programa dedicado si encuentran alguna falla. Eso no limita sus opciones de publicar un informe independiente completo sin nuestro permiso.
Moraleja principal: Una cartera maneja tus claves privadas y necesita acceso completo a ellas. Tú puedes y debes exigir plena transparencia sobre cómo funciona una cartera y asegurarte de que las auditorías públicas independientes sean fomentadas.
Nuestro objetivo principal es empoderar a cada usuario de Bitcoin y criptomonedas, tanto mediante la construcción de productos que mantengan sus fondos seguros, así como ayudar a encontrar la información sobre cómo hacerlo de la mejor manera posible. Sí, asegurar tus propios bitcoins puede ser agotador, ¡pero nos gustaría apoyarte en tu viaje! Diseñamos nuestra BitBox02 y su asistente, la BitBoxApp, con exactamente esto en mente: hacerte sentir cómodo al dar ese primer paso y empezar a usar una cartera física.
¿Todavía no tienes una BitBox02?
La BitBox02 viene en dos ediciones: la edición Multi que soporta múltiples activos criptográficos y se puede utilizar como un autenticador de segundo paso. Y la edición sólo Bitcoin, que cuenta con un sistema radicalmente enfocado: menos código significa menor superficie de ataque que por consiguiente, mejora aún más tu seguridad cuando sólo almacenas Bitcoin.
Adquiere una a través de nuestro revendedor oficial en España u ordena por medio de nuestra tienda con envíos a cualquier parte del mundo.
Shift Crypto es una empresa privada con sede en Zurich, Suiza. Nuestro equipo internacional de especialistas en ingeniería, criptoseguridad y desarrollo básico de Bitcoin construyen los productos BitBox y proporcionan servicios de consultoría. La BitBox02, una cartera física de segunda generación, equipa a los individuos para almacenar, proteger y transar en criptomonedas fácilmente. Su compañera, la BitBoxApp, proporciona una solución todo-en-uno para gestionar con facilidad tus activos digitales.