Seguridad y criptos

bitcoin seguro

Ahora que cada vez más gente sin grandes conocimientos de informática se acerca a las criptos y que un Bitcoin vale una pequeña fortuna, abro este hilo con la idea de recopilar diferentes aportaciones sobre como mantener seguras nuestras monedas, y para unificar en un hilo las preguntas y respuestas que pueda haber sobre esta cuestión. La idea, por tanto, es revitalizar el tema de la seguridad digital que se ha tratado en hilos como Si no te han robado ya las cryptos, ¿es que están seguras?, Seguridad fisica en btc o [TUTORIAL] Hacer copia de seguridad de claves privadas (wallets de altcoins). Para eso, empiezo yo mismo con un post introductorio sobre medidas básicas de seguridad, que espero que sea enriquecido con aportaciones, preguntas y respuestas del resto de miembros del foro.

Podemos aproximarnos a la cuestión de cómo mantener seguras nuestras criptomonedas descubriendo primero las amenazas concretas a las que nos enfrentamos, para así poder encontrar después herramientas y protocolos que nos aporten fortalezas frente a ellas. Las amenazas varían claramente dependiendo del contexto y la situación particular de cada persona, pero podemos centrarnos en dos a las que nos enfrentamos la mayoria:

  1. PÉRDIDA O DESTRUCCIÓN. Nos referimos al hecho de perder el acceso a nuestros fondos por haber perdido la llave que nos permitía controlarlos. Entran aqui todos aquellos casos que suponen que dejemos de tener acceso a nuestra cuenta: haber perdido el único dispositivo en que estaban las llaves, olvidarse de la clave de acceso al volumen cifrado donde las guardábamos, sufrir un incendio en casa en el que ardan el ordenador, el disco duro de las backups y el papelito donde teníamos escrita la semilla…
    DEFENSAS: Protocolos y herramientas de Backup

  2. ROBO. Incluímos aquí todos los casos en los que una persona no autorizada consigue acceso -físico o telemático- a nuestras llaves y, por tanto, a nuestros fondos (y puede ocurrir que nosotros continuemos teniendo acceso a ellos, o que dejemos de tenerlo).
    DEFENSAS: Contraseñas, 2FA, Cifrado, Software seguro, anonimato.

Pasemos, entonces, a comentar brevemente cómo podemos defender nuestras criptos.

BACKUPS

Hacer copias de seguridad de nuestras carteras, semillas y/o claves es la mejor forma de evitar pérdidas por desaparición o daño de nuestros dispositivos. Debemos tener un “protocolo de backups” que incluya una planificación temporal (hacer copias de seguridad cada cierto tiempo y/o siempre que hagamos un cambio importante) y una planificación física de los dispositivos en los que las almacenamos: deberíamos tener siempre, por lo menos, dos copias además del original, y una de ellas en un dispositivo desconectado de internet y ubicado en un lugar físico diferente y alejado del original. Además, las backups aumentan el riesgo de acceso por parte de terceros, así que debemos aplicar sobre ellas las mismas defensas que en el original (cifrado).

No debemos olvidar que los dispositivos digitales (CD-DVD, discos, pendrives…) se acaban estropeando y/o haciendo obsoletos, así que si somos “holders” a largo plazo, debemos planificar la renovación de los dispositivos en los que almacenamos nuestras copias cada cierto tiempo: no pensemos que vamos a guardar nuestra semilla en un pendrive, tenerlo 20 años escondido en un trastero, y que cuando vayamos a volver a introducirlo en un PC (si por entonces siguen existiendo los PC con puertos USB), el dispositivo va a funcionar.

Guardar semillas y claves escritas en papel soluciona muchos de los inconvenientes de los dispositivos digitales, pero tambien aporta sus propios riesgos; principalmente la dificultad de cifrar. De todas formas, no olvidemos que la criptografia existía mucho antes que la informática, y no es dificil implementar sistemas básicos de substitución que hagan más difícil que alguien que encuentre nuestro papel pueda robar nuestros bitcoins. Un ejemplo, para guardar una semilla, sería no tener escritas las palabras exactas con las que regeneramos nuestra cartera, sino la siguiente (o la anterior, o la quinta después…) en un diccionario de inglés determinado. Otra posibilidad que nos dan algunas carteras (por ejemplo Electrum) es ampliar las semillas con palabras propias que nosotros escojamos. Asi que si nuestra semilla son 12 palabras aleatrorias en inglés + “Una frase dificil que yo puedo recordar”, puedo guardar en papel las 12 palabras, y en mi memoria la frase que yo mismo escogí.

CONTRASEÑAS

Toda contraseña que sirva para proteger algo realmente importante debería cumplir las siguientes 5 condiciones:

  • Tener un mínimo de 20 caracteres (la longitud es, de hecho, el factor más importante frente a un ataque de fuerza bruta).

  • Tener por lo menos alguna palabra o secuencia de caracteres que no salga en un diccionario (incluyendo aqui los diccionarios de contraseñas, que ya incluyen alteraciones habituales como por ejemplo “P4ssw0rd”).

  • No utilizar nombres o fechas relacionados directa y publicamente con nosotros, y por tanto deducibles mediante ingeniería social (los nombres o fechas de nuestros hijos, la dirección o teléfono de nuestra abuela…).

  • No ser utilizada en ningun otro servicio.

  • No ser guardada en texto plano en ningun sitio (el típico post-it en el monitor).

Un procedimiento fácil y útil para generar una contraseña que cumpla estas características podría ser el siguiente:

  • Piensa cinco nombres propios de los que te acuerdes facilmente, como por ejemplo tus cinco playas preferidas, los nombres de tus cinco primeras parejas, las cinco primeras calles que atravesabas de niña para ir a la escuela… Para nuestro ejemplo utilizaremos los rios “Minho Tambre Arnoia Sar Sil”

  • Inventa una alteración de caracteres propia, original, tuya, arbitraria (no utilices parecidos morfológicos, como A por 4 u O por 0), y aplícala a uno de los caracteres de la secuencia anterior. Por ejemplo podemos cambiar todas las “i” por “,”.

  • De esta forma, la contraseña resultante sería: “M,nho Tambre Arno,a Sar S,l”

Hacer una contraseña fuerte y facil de recordar con este método es relativamente simple…pero si hacemos caso a la condición que pusimos antes, necesitaríamos una contraseña así para cada servicio, cartera, exchange… Tranquilos, para solucionar este problema exiten los Gestores de Contraseñas.
Un Gestor de Contraseñas funciona como un llavero, con el que generar y en el que almacenar contraseñas fuertes. Técnicamente es un archivo cifrado, en el que poder guardar y con el que gestionar tantas contraseñas como queramos, sin necesidad de recordarlas; la única que tendremos que recordar es la contraseña que descifra el llavero, para lo que podemos utilizar la generada con el método anterior. Además de contraseñas, en el gestor podemos guardar las semillas de nuestras wallets, pequeños anexos como nuestros wallet.dat, etc. Evidentemente, desde el momento en que tanta información importante dependa de este llavero, es importante que seamos rigurosos con nuestra política de backups de él.

Hay muchos gestores de contraseñas, pero por ser de código abierto y multiplataforma, yo recomiendo KeePass, y más concretamente la versión libre mantenida por la comunidad. Un buen tutorial de como utilizarlo podemos verlo aqui.

CIFRADO

La criptografia es la mejor protección que tenemos a nuestro alcance frente al acceso a nuestros datos por parte de personas no autorizadas. Cifrar nuestros dispositivos (discos duros, pendrives, smartphones, tarjetas SD…) es fácil y -si la llave de cifrado está protegida por una buena contraseña- realmente seguro. Por otra parte, es necesario tener claro que guardar bitcoins (o una buena cantidad de otra criptomoneda) en un ordenador sin cifrar es practicamente igual que guardar miles de euros en el cajón de la mesilla de noche de casa: sólo hace falta saber que los tenemos (ver el apartado referente al “anonimato”) para entrar en nuestra casa y llevárselos.

Hoy en dia practicamente todos los sistemas operativos cuentan con soluciones nativas para tener nuestra instalación cifrada: Linux, Windows e iOS dan en sus versiones actuales la posibilidad de cifrar el disco y, con él, todos los datos que guardamos. Con estos sistemas también podemos cifrar dispositivos externos, como pendrives o discos extraíbles. Sin embargo, sólo LUKS (el sistema utilizado en Linux) es libre y de código abierto.

Veracrypt es una buena alternativa -open-source y auditada- para cifrar tanto el sistema completo como carpetas, particiones o discos independientes, y hacerlo bajo cualquier sistema operativo. Es posible, incluso, instalarlo de forma portable en un pendrive. Aqui un buen tutorial de uso.

En el caso de que queramos utilizar servicios de nube para guardar backups (esto es, guardar nuestras cópias de seguridad en el ordenador de otros), sería una enorme irresponsabilidad no proteger esas copias con criptografía fuerte. Aunque podemos utilizar varias soluciones para hacerlo (por ejemplo guardar nuestras backups enn un volumen de veracrypt, o cifradas con PGP…), existen sistemas que facilitan enormemente esta labor, emparejando el directorio que queramos de nuestro ordenador con otro local y cifrado, de forma que sea este segundo el que sincronicemos con nuestra nube. Un buen ejemplo open-source y multiplataforma es Cryptomator.

SOFTWARE SEGURO

Porque de nada vale tener una contraseña segura si tenemos un keylogger en el PC, porque el cifrado sólo funciona mientras el dispositivo está apagado, porque existe un montón de malware con el que acceder y robar de forma remota el contenido de nuestro dispositivo… utilizar software seguro, sano y confiable es una de las medidas esenciales para usuarios y ahorradores de criptomonedas. Algunos consejos a este respecto podrían ser:

  • Actualizar regularmente nuestro software.

  • Utilizar sistemas de protección (anti-virus, anti-malware, firewall, sandbox…)

  • Utilizar software de código abierto, auditado y mantenido.

  • Evitar gestionar criptos desde sistemas con un riesgo claro y conocido: navegadores obsoletos, móviles Android, Windows antiguos…

  • Separar las actividades con más riesgo que hacemos en nuestro dispositivo (navegar, ocio, e-mail…) de la gestión de nuestras criptomonedas. Esto podemos hacerlo físicamente, con dispositivos diferentes (por ejemplo utilizando Tails en un pendrive para las criptos), o virtualmente, mediante máquinas virtuales (Virtualbox es una buena herramienta para esto) o sistemas especialmente orientados a la compartimentación (como QubesOS).

ANONIMATO

Cuanto mayor es el valor de las criptomonedas, más importante es que un posible atacante no tenga fácil el acceso a la dirección virtual (IP) o física del dispositivo donde las guardamos. Es bastante probable que alguien que participa en foros, airdrops o páginas específicas de criptomonedas desde hace dos o tres años, esté a dia de hoy guardando varios miles de euros en su ordenador; por tanto, deberíamos tomar conciencia de a quién y a cambio de qué damos alegremente nuestra identidad. No sería descabellado que algún que otro airdrop de extravagantes shitcoins tuviese como principal objetivo recolectar miles de e-mails e IPs de bitcoiners. Un par de consejos básicos a este respecto podrían ser:

  • Utilizar cuentas creadas “ad hoc”, y desvinculadas de nuestra identidad real, para registrarnos en servicios relacionados con el mundo de las criptos.

  • Ocultar nuestra IP real conectándonos a través de VPN (aqui algunas opciones) o de la red TOR.

Aqui lo dejamos por ahora, esperando que esta recopilación sirva para animaros al resto a participar. ¿Dudas? ¿Opiniones? ¿Aportaciones? ¡Adelante!

21 Me gusta

Muy interesante la seguridad. Gracias por el aporte

También se puede utilizar el conocido winrar, que cifra en AES 128 y aun mejor 7zip que cifra en AES 256.
Recomendación que os hago, no nombrar al archivo Wallet, Billetera, Blockchain, etc, que el nombre sea de algo común, aparte marcar la opción de ocultar nombres de ficheros.

1 me gusta

Opiniones???.. Que está genial este escrito tuyo!!!
¡de manual!

Me lo guardo en fav
Gracias.

Las últimas noticias sobre vulnerabilidades en todos los procesadores son serias, por eso traigo aqui el hilo Grave fallo de Intel ¿repercusión BTC? , para que quien venga interesandose sobre la seguridad de sus criptos lo tenga en cuenta. Resumiendo lo que hemos comentado allí diferentes compañeros, provisionalmente podemos concluir:

  • Que todos los dispositivos con procesadores Intel, AMD o ARM están afectados o bien por la vulnerabilidad Meltdown, o bien por Spectre, o bien por ambas. Esta vulnerabilidad es tan grave que podría permitir a una página web maliciosa, o a un atacante conectado en tu misma red local, leer la memoria de tu ordenador y asi, por ejemplo, hacerse con las claves que estés utilizando en otros
    programas (tu sesión en el exchange, la seña de tu gestor de claves, tu llave de Electrum, tu contraseña de administrador…).

  • No hay solución definitiva a estas vulnerabilidades, excepto cambiar el procesador afectado por uno nuevo. De todas formas, hay soluciones de software (parches) para impedir que Meltdown sea explotado, y dificultar mucho un ataque aprovechándose de Spectre. Todos los proveedores de software están sacando en estos dias actualizaciones para los diferentes Sistemas Operativos y navegadores, así que es imprescindible tomárselo en serio, y actualizar inmediatamente.

  • Los dispositivos con Android (excepto los que dependen directamente de Google, como los Pixel) tardarán mucho en recibir actualizaciones, o directamente no las recibirán. Un motivo más para considerar estos dispositivos como definitivamente inseguros para almacenar o gestionar con ellos nada que consideremos importante.

  • Las hardware wallets (tipo TREZOR) no parecen afectadas por ninguna de estas dos vulnerabilidades.

Añadir, además, que la gravedad de estas vulnerabilidades hacen que en estos dias todo el mundo esté actualizando urgentemente sus sistemas, y por ello se están registrando suspensiones del servicio, por ejemplo, en los exchanges.

2 Me gusta

Vulnerabilidad grave en Electrum (clones para otras monedas incluidos) permite a una página web que lance la aplicación acceder a la clave privada. ACTUALIZAR URGENTEMENTE.

2 Me gusta

No tengo un Pixel pero si el último Nexus, quien no usa un puro Android no sabe lo que es Android, mi primer Nexus fue el 5 y desde entonces no cambio xD

Nueva infección.

1 me gusta

Esto no para.

Osea yo en mi caso encrypto las carpetas nada mas, cual seria la mejor opcion y lo hago con el programa Encrypto.

No entiendo muy bien tu pregunta…¿que carpetas encriptas?

1 me gusta

Os expongo mi caso para si le vale a otro. Hice una inversión en una crypto con masternodes. Guarde la frase de encriptado en varios lugares así como el archivo dat en el portátil y en un USB. Mi fallo? Pues no actualizar el archivo una vez creados los masternodes en la wallet. La ley de Murphy ha hecho que mi portátil ahora mismo se debata entre la vida y la muerte y al acceder al archivo desde otro dispositivo me sale la wallet pero sin las monedas. Solucion? Creo que ninguna a no ser recuperar mi portátil o recuperar los datos en un laboratorio (600-700e) y eso sí hay suerte . En definitiva tengo 3 masternodes generando monedas en vultr y 20k monedas más esperando en un exchange para configurar otro nodo. Espero se solucione lo del portátil
Moraleja "recordar actualizar el archivo si hacéis cambios ". En mi defensa decir que me comí toda la instalación en inglés y era bastante complicado y se me pasó. Así que ojo no os pase lo mismo que a mí que llevo 10 días al borde de ingreso en psiquiatría :joy:

Osea las llaves privadas las Encrypto y la pongo en carpetas y las encrypto tambien.

Más ransomware …

1 me gusta

La seguridad de tu cartera depende de muchas cosas: que guardes las claves encriptadas está bien, pero dependiendo de cómo lo hagas, puede no ser suficiente. Por ejemplo, si las tienes cifradas, pero se descifran con el pin “1234” o con la misma contraseña que utilizas para todo y que varias personas conocen…pues no aporta mucha seguridad. Tampoco si las tienes encriptadas en una carpeta del sistema, pero el sistema operativo es facimente accesible (no tienes cifrado el disco duro), o está sin actualizar y lleno de malware…
Además, ten en cuenta que impedir el aceso a extraños (lo que conseguimos encriptando) es solo una parte de la seguridad de datos. Otra importante, como recuerda @Mortimoney, es que tú mismo no pierdas el acceso a ellos. Por eso es esencial tener copias de seguridad, y tener estas también bien protegidas, y actualizadas.
En este hilo y en otras partes del Foro encontrarás consejos útiles sobre como proteger tus monedas. Buena lectura, y un saludo!

2 Me gusta

Campaña masiva de Criptojacking a más de 200.000 routers Mikrotik (Parchea!)

Venden malware para quioscos de Bitcoin en la Deep Web.

https://blog.segu-info.com.ar/2018/08/venden-malware-para-quioscos-de-bitcoin.html