Si todas nuestras criptomonedas no llegan a cero un día, queremos asegurarnos de no perderlas debido a negligencia, entidades maliciosas o una combinación de ambas. Hay una manera incorrecta de asegurar tus criptomonedas, y hay una manera correcta de protegerlas. Este artículo está escrito para bitcoin, pero los principios se aplican a otras criptomonedas.
Antes de ahondar en las amenazas y los mecanismos de protección, cubriremos los principios generales con los que debes estar familiarizado. No tienes que aprender los bits y los bytes. Pero una comprensión general es importante.
Criptografía de clave pública en criptomonedas
Como el nombre («asimétrico») implica, hay dos claves diferentes involucradas. Una clave pública y una clave privada. Estas claves se utilizan para encriptar y descifrar datos asimétricamente. Si cifras datos con la clave privada, solo se puede descifrar con la clave pública. Por el contrario, si encriptas datos con la clave pública, solo puedes descifrarlos con la clave privada. Esta es la columna vertebral de muchos esquemas criptográficos, como SSL / TLS . Hay una información que puedes poner en el mundo, tu clave pública y una pieza que debes guardar hasta tu muerte, la clave privada.
Hashing
Un hash de un mensaje, también conocido como resumen. Se calcula en función del contenido de un mensaje. Un hash es generado de manera determinista por un algoritmo hash. La entrada a un algoritmo hash es datos de una longitud arbitraria. La salida es un hash calculado de una longitud predefinida. Debido a que es «determinista», la misma entrada proporcionará el mismo resultado cada vez . Matemáticamente es fácil pasar de un mensaje a un hash, pero es computacionalmente difícil determinar un mensaje original de un hash dado.
Firmas digitales
Vamos a poner estas dos ideas de criptografía asimétrica y hash juntas para comprender una firma digital. El objetivo de una firma digital es confirmar la integridad de un mensaje e imponer el no repudio. Integrity te permite afirmar que «el mensaje recibido es el mismo que el mensaje creado». El no repudio hace posible decir que «el mensaje solo pudo haber sido creado por una entidad específica». ¡Las firmas digitales no mantienen los mensajes en secreto! Sin más encriptación, el mundo puede leer los mensajes firmados digitalmente. Se utiliza una firma digital para confirmar que el mensaje tiene integridad y confirmar quién lo creó.
Una firma digital es un hash cifrado de un mensaje. Se cifra con una clave privada. Cualquier persona con la clave pública correspondiente puede descifrar la firma digital. Descifrar la firma digital con la clave pública la da el hash original. Cualquiera que pueda leer el mensaje, puede calcular independientemente el hash del mensaje por su cuenta.
Pueden comparar el hash calculado independientemente con el hash descifrado y asegurarse de que los hash sean los mismos. Si los valores hash coinciden, han confirmado que el mensaje no se alteró entre la creación y la recepción. También confirmaron que solo una entidad con la clave privada correspondiente podría haber firmado digitalmente el mensaje.
Actualización de Crypto
Para los no iniciados, un libro mayor distribuido mantiene una copia de sí mismo en múltiples sistemas. Crea un registro descentralizado de todas las transacciones que ocurren dentro de un sistema dado. Con las criptomonedas, en realidad no posees ni llevas consigo «monedas». En cambio, el blockchain mantiene un registro de la cantidad de criptomonedas a las que puedes realizar transacciones. Las transacciones se confirman utilizando los principios criptográficos antes mencionados.
Cada billetera de criptomonedas o cryptowallet es en realidad una colección de uno o más «billeteros». En su forma más pura, una «billetera» es una clave privada. Desde la clave privada puedes crear la clave pública. Desde la clave pública, puedes crear direcciones públicas de billetera. Entonces, un «cryptowallet» es una colección de claves privadas.
Las direcciones de tu billetera a menudo se convierten en códigos QR que puedes compartir fácilmente con el mundo. Esto no es necesario que se mantenga en secreto. De hecho, podrías ponerlo en el mundo (como en tu blog) y ver si alguien te acaba de enviar criptomonedas. Tú «posees» cualquier criptomoneda enviada a las direcciones de tu billetera. A continuación, puedes tramitar su criptomoneda con tu clave privada.
Transacciones con criptomonedas
Para realizar transacciones con criptomonedas, crea una transacción. Esta es información pública. Una transacción es simplemente una colección de información que blockchain necesita para mover la criptomoneda. La información que nos interesa es la dirección de destino y la cantidad.
Cualquiera puede crear una transacción, pero las transacciones solo se aceptan en la cadena de bloques si varios miembros de la red lo confirman. Una transacción no se confirma a menos que sea válida, y no es válida a menos que esté firmada digitalmente por la clave privada necesaria. Entonces, tú firmas una transacción con tu clave privada. Esta transacción firmada se envía a la cadena de bloques. Una vez confirmada con datos de clave pública, se convierte en una parte de la cadena de bloques.
Entonces, tu clave privada debería ser un secreto muy bien guardado. Cualquier ataque contra tu clave privada es esencialmente un ataque contra tu criptomoneda. Un atacante desea firmar transacciones digitalmente, desde sus direcciones hasta tus direcciones, usando tus claves privadas. O un atacante puede querer lastimarte destruyendo tus llaves privadas, borrando el acceso a tu criptomoneda.
¿De dónde provienen nuestros riesgos?
Sabemos lo que estamos protegiendo, criptomonedas. Antes de analizar cómo vamos a proteger nuestra criptomoneda, identifiquemos a qué las resguardamos. ¿Quiénes son nuestros actores específicos de amenaza? La primera amenaza es perder acceso a tus monedas. Como los libros contables de criptomonedas no tienen una autoridad central, no hay reparación si pierdes el acceso a tu billetera. Tu billetera es un par de llaves públicas / privadas. Si pierdes esta clave privada, perderás tu billetera. Si pierdes tu billetera, pierdes tu criptomoneda. Tú eres tu primera amenaza.
La próxima clase de amenazas son las que tendemos a pensar y escuchar en las noticias. Atacantes oportunistas, y estados nacionales.
Un atacante oportunista es aquel que ve tu billetera de monedero abierta en el ordenador portátil e inicia una transacción a tu dirección de billetera pública. Los atacantes oportunistas no te están atacando específicamente, pero si les facilitas las cosas, no rechazarán un buen alijo de monedas.
Los atacantes dedicados van desde atacantes individuales hasta grupos de atacantes que trabajan juntos. Se centrarán en un objetivo individual, como un propietario de una cantidad significativa de criptomonedas, un cryptotrader o una pequeña oficina comercial. Investigarán y, a menudo, iniciarán su ataque con una campaña de spear phishing. Otros atacantes dedicados adoptan un enfoque más amplio y programan malwares que intentarán robar claves privadas de tu sistema si se infecta.
Los estados de la nación tienen grupos de atacantes grandes, coordinados y bien patrocinados. Su motivación es financiera, de espionaje o una combinación. Proofpoint tiene un excelente informe sobre los ataques de criptomonedas del Grupo Lazarus. Una amenaza persistente avanzada patrocinada por Corea del Norte.
Dependiendo de quiénes sean tus amenazas, en función de la cantidad de criptomonedas que controles y de cuántas transacciones realices en un día determinado, necesitarás diferentes pasos de mitigación de riesgos.
Protégete a ti mismo
Al configurar una nueva cartera alojada (por ejemplo, una base de monedas), realiza el proceso de olvidar tu contraseña o perder tu token de factores múltiples. Asegúrate de que puedas recuperarte cuando no haya mucho en juego.
Si controla tus propias llaves privadas, debes hacer una copia de seguridad en papel y almacenarlas en una caja fuerte personal o en la caja de seguridad de un banco. Al generar una copia de seguridad en papel, imprime directamente en la impresora con un cable USB. Limpia la memoria de la impresora con un ciclo de encendido.
Algunos expertos desaconsejan la impresión y se basan exclusivamente en copias de seguridad manuscritas de «billetera de papel». Las impresoras pueden almacenar trabajos de impresión, que luego podrían ser pirateados.
No almacenes la copia de seguridad de las claves en la misma ubicación que tus contraseñas de uso diario. Estás en riesgo de perder ambos al mismo tiempo debido a un incendio, robo, etc.
Si usas una billetera de varias firmas (multigrado), una billetera que requiere dos o más pares de llaves privadas / públicas para autorizar transacciones. Toma precauciones de respaldo.
Si controlas ambas claves privadas en una configuración «2 de 2» (dos teclas, ambas siempre son necesarias para firmar una transacción), asegúrate de que ambas copias de seguridad se guarden por separado. En lugares alejados de las teclas de uso diario.
Si usas una configuración «2 de 2» pero las claves se dividen entre dos personas. Considera cambiar a una configuración «2 de 3» (se requieren dos de tres claves). Donde una tercera clave está controlada por un tercero de confianza. Esto te permitirá recuperarte si la segunda persona no está disponible o está incapacitada.
Atacantes oportunistas
En caso de que seas un comerciante ocasional de criptomonedas, tus amenazas probablemente no sean tan sofisticadas. Debes tomar medidas simples para protegerte.
Primero, considera la cuenta principal que necesitas proteger. Probablemente no sea tu billetera de monedas, u otras cuentas de monederos en línea. Es probable que sea tu correo electrónico. El correo electrónico se usas para autorizar nuevos dispositivos, restablecer contraseñas y confirmar transacciones. El correo electrónico es el santo grial para un atacante oportunista. Por este motivo debes resguardalo siempre con bloqueos.
Atacantes dedicados
Si estás negociando activamente cantidades considerables de criptomonedas, debes tener en cuenta a los atacantes dedicados. Los atacantes dedicados te investigarán y lanzarán ataques personalizados. Tratarán de violentar y reutilizar las credenciales encontradas si tus datos se vieron comprometidos en infracciones previas. Necesitas practicar defensa en profundidad.
Haz todo lo necesario para evitar a los atacantes oportunistas y luego ve un paso más allá. Si es posible, evita usar clientes web. Si vas a utilizar un cliente web , considera utilizar uno que te otorgue control total sobre tus monedas. Las aplicaciones como coinbase mantienen «billeteras alojadas». Esto significa que en realidad no tiene un reclamo de una billetera (por ejemplo, un par de claves privadas / públicas transferibles). Tú eres el que mantiene un equilibrio dentro de la base de monedas y esto te permite gastar los fondos que se envían desde billeteras controladas por la base de monedas.
Considera seriamente usar un cliente de escritorio . Un cliente de escritorio te permite controlar tus claves.
Estudia la posibilidad de utilizar un cliente de hardware para mantener tus claves privadas. Esto evitará que los datos de clave privada toquen un sistema que está conectado a Internet. Combina un cliente de hardware con un cliente de escritorio conectado a Internet para equilibrar la seguridad con comodidad. El cliente de escritorio genera las transacciones, el cliente de hardware firma las transacciones y el cliente de escritorio transmite las transacciones a la red.
Si cree que sus amenazas son sofisticadas, cree carteras multigarrés que requieran dos o más pares de claves privadas / públicas para autorizar transacciones. Su cliente de escritorio puede mantener una clave y el cliente de hardware puede mantener la otra. Esto significa que si su llave de hardware es robada y desbloqueada, un atacante no puede autorizar transacciones de criptomoneda sin la clave del cliente de escritorio.
Encontrar el equilibrio
Los actores de amenazas aprovechan la limitada comprensión del público sobre los principios técnicos subyacentes de la criptomoneda. Leer esto es el primer paso para inclinar la balanza en tu dirección. Estas son las mejores prácticas, y sus casos de uso personal dictarán lo que es realmente realista.
Si eres un comerciante activo, es posible que no tengas tiempo de realizar almacenamiento completo. Pero, probablemente no desees mantener las claves privadas en cientos de miles de dólares en criptomonedas en un ordenador portátil personal conectado a Internet. Tienes que encontrar un equilibrio que funcione para ti.
La configuración más probable es una combinación. Mantendrás un pequeño monto operativo en una billetera web o de escritorio, y moverás el capital más grandes al almacenamiento en frío. Debes pensar críticamente acerca de tus amenazas y asegurarte de que tú no es la razón por la que tus criptomonedas desaparecen repentinamente. Porque cuando estás se pierden no se pueden volver a recuperar.