¿Cómo mantener tus Criptomonedas Seguras?

No existe ningun método que te garantice el mantener tus criptomonedas seguras al 100%, sin embargo hay varios que se acercan mucho a ese porcentaje. ¡Veámoslos!

Ahora que llevo ya varios años metido en esta industria, me he acostumbrado a ver todo tipo de titulares entre las noticias relativas a Bitcoin. Ni mucho menos leo todo lo que pasa por delante mío, pero sí que hay un tipo de artículos que siempre intento estudiar en detalle: los relativos a hackeos y robos de criptomonedas.

Entre ellos, tienen especial interés los que no hablan sobre hurtos a exchanges, sino los que han sido escritos de puño y letra por aquellas personas que han sufrido directamente estos robos.

En un principio no conozco a la persona que lo está escribiendo: puede estar ubicada en cualquier lugar del mundo. Pero solo hace falta la lectura de unas pocas líneas para empezar a sentir una gran empatía por él -o ella-.

Normalmente escriben con una mezcla de sentimientos de esos que a nadie le gusta experimentar muy a menudo: rabia contra el hacker o atacante, ansiedad por haber perdido el dinero, sorpresa porque ésto le haya pasado justo a él y no a otra persona, remordimientos por no haber tomado más medidas de seguridad cuando aun podía… y pena, una gran pena al descubrir de primera mano que en el mundo existen individuos que pueden hacer algo así y seguir viviendo tan tranquilos.

La mayoría de personas que sufren un hackeo y a las que han robado buena parte de su inversión en criptomonedas nunca escribirán nada de forma pública en Internet, puesto que a veces la vergüenza les impide incluso contárselo a su propia familia. Sin embargo hay unos pocos valientes que sí se exponen: explican su caso en detalle, comentan todo lo que ocurrió en orden cronológico y alientan a los lectores a hacer lo que ellos no hicieron: incrementar sustancialmente sus medidas de seguridad.

Las criptomonedas son un objetivo muy jugoso para cualquier hacker: el atacante solo tiene que tener un mayor conocimiento técnico que el atacado para que sus posibilidades de éxito sean muy factibles, Internet le permite mantener su anonimato la mayoría de las veces y lo mejor de todo (o lo peor, según se mire): una vez las criptomonedas robadas llegan a su dirección, no hay manera de revertir esa transacción y por tanto pasan a ser suyas. Para siempre.

Si estás leyendo este artículo es porque te interesa tener el conocimiento necesario con tal de que jamás llegues a pasar por una situación de éstas. Aunque te aviso de antemano: no existe ningún método infalible y no es suficiente con aprender las medidas necesarias: hay que ponerlas en práctica.

Para hacer más sencilla su comprensión, hemos clasificado los métodos por porcentajes de seguridad, de menor a mayor. ¡Empecemos!

No solo no estás tomando ninguna medida de seguridad sino que lo estás poniendo sumamente fácil a cualquier atacante cuando:

• • Utilizas el dispositivo donde guardas tus criptomonedas (smartphone, ordenador portátil…) conectándote a redes Wifi públicas, como en aeropuertos, bibliotecas, transporte público… este tipo de redes abiertas son un enjambre de posibles atacantes, ya que solo tienen que monitorizar el tráfico de la red para captar fácilmente los paquetes de datos de tu navegación e instalar programas maliciosos en tu dispositivo o incluso tomar control del mismo.
  • No tienes ningún Antivirus ni Antimalware instalado en tu dispositivo, lo cual lo convierte en un nido de posibles programas maliciosos que capten tus datos y contraseñas.
  • Guardas los passwords y claves privadas en archivos (word, .txt, notas…) dentro de tu dispositivo o escritos a mano en libretas o post-its visibles cerca del mismo. Nadie debería tener acceso fácil a tus contraseñas y el mantenerlas al alcance de cualquiera te hace especialmente vulnerable.
  • Guardas tus criptomonedas en exchanges nuevos o muy poco conocidos. Estos exchanges son un objetivo perfecto para los hackers más experimentados, ya que sus estándares de seguridad suele ser bastante precarios y no garantizan tu inversión en caso de posible robo.
  • Utilizas contraseñas típicas y fáciles de adivinar, como nombres de tu familia, fechas de nacimiento o matrimonio o passwords sencillos y populares como éstos. También sueles compartir tus contraseñas con familia y gente de confianza.

Tu seguridad se incrementa exponencialmente si no llevas a cabo ninguna de las prácticas mencionadas anteriormente. Aun así, sigue siendo muy baja si…

• Guardas toda tu inversión en criptomonedas en una ‘mobile wallet‘, es decir, una billetera directamente en tu smartphone. Da igual que sistema operativo tenga tu móvil, es con toda probabilidad el peor lugar para guardar tu dinero. Un teléfono siempre requiere una torre telefónica de confianza, y si ésta pasa a ser utilizada por un delincuente, tu teléfono será hackeado tarde o temprano. Es un dispositivo que fue diseñado para hablar, no para guardar dinero.
• Guardas toda tu inversión en un exchange. Lo hemos comentado multitud de veces y lo seguiremos haciendo: cuando guardas tus criptomonedas en un exchange online tu no tienes las claves privadas, sino que ellos las guardan por ti, lo cual no te hace dueño de tu dinero en última instancia.
• Guardas tus contraseñas o claves privadas “en la nube”, es decir, en servicios como Dropbox, Google Drive… aún siendo un método ligeramente mejor que guardarlas al lado de tu dispositivo, la nube no es un lugar ideal y menos si estas contraseñas no están encriptadas.
• No utilizas ningún método 2FA (autenticación de dos factores) para acceder a tus fondos ni a tu correo electrónico asociado a las cuentas donde tengas tus criptomonedas.

Existen algunas buenas prácticas, algunas muy sencillas de implementar que incrementan bastante tu seguridad:

• Utilizas un generador de contraseñas para que éstas sean lo más seguras posibles, como Grc Passwords. En vez de inventarte una contraseña segura, lo cual no es fácil, esta página te proporciona passwords completamente aleatorios y únicos, con máxima entropía y sin ningún patrón. El generador de números pseudo-aleatorios que utilizan garantiza que nunca más se volverán a producir contraseñas similares a las que ves cada una de las veces que entras en su web.
• Utilizas un gestor de contraseñas, como por ejemplo Lastpass, que te permite tener todas tus contraseñas cifradas en el mismo lugar, sin embargo no guardas allí tus claves privadas ni tus seeds (lista de palabras que te permiten recuperar tu billetera y que se te proporciona al crear la misma por primera vez). Además, no compartes tus contraseñas con nadie, jamás.
• Utilizas un antivirus y anti-malware en tu ordenador, aunue sean en versión gratuita. ¡Mejor tener algún tipo de protección que ninguna!
• Utilizas un wallet de escritorio en vez de guardar tu inversión en un exchange o en tu smartphone. Al menos tienes tú las claves privadas, lo cual es un gran paso, pero aun así es un método poco recomendado y su seguridad se aleja mucho de lo ideal.

Empezamos a adentrarnos en un terreno mucho más seguro, tomando medidas que la mayoría de usuarios normales y corrientes no tomará jamás. Además de todo lo visto anteriormente…

• Utilizas una VPN (virtual private network), como Hidemyass por ejemplo, en todos los dispositivos mediante los que te conectas a Internet. Lo que hace la VPN es cifrar tu conexión a Internet y ocultar tu IP detrás de otra para que ningún agente externo pueda “espiar” qué es lo que haces cuando navegas. Sino cualquiera puede ver lo que has buscado, tus datos bancarios, lo que escribes… por ello es una herramienta indispensable, aunque a su vez muy sencilla de utilizar.
• Utilizas Antivirus + Antimalware en su versión de pago, como Malwarebytes por ejemplo, en tus dispositivos, siempre actualizado a la última versión disponible. ¡La versión gratuita no es suficiente!
• Utilizas el SMS como método 2FA de autenticación en todas tus cuentas relativas al almacenamiento de criptomonedas y tus cuentas de correo. Aún así, el método SMS no es el más seguro, como veremos adelante, ya que un hacker experimentado podría interceptarlos y leerlos fácilmente, al no contar con cifrado de ningún tipo.
• Utilizas siempre la extensión de navegador HTTPS Everywhere en todos tus navegadores. Muchas webs ofrecen un soporte limitado para el cifrado a través de https, pero lo hacen difícil de usar. Por ejemplo, pueden predeterminar http o insertar enlaces que regresan al sitio no cifrado. La extensión corrige estos problemas, utilizando tecnología inteligente para reescribir las solicitudes a estos sitios.

Con estas medidas que comentamos a continuación ya puedes empezar a sentirte relativamente seguro, al menos si sufres un hackeo es altamente improbable que el atacante se lleve todos tus fondos. Además de lo anterior…

• Utilizas un ‘hardware wallet’ como Ledger. Estos dispositivos físicos, creados con el único propósito de guardar tus criptomonedas, son una de las formas más seguras de almacenamiento. Sin embargo, no todas las marcas son iguales y Ledger precisamente no cuenta con todo su código open-source, lo cual impide que éste pueda auditarse al 100%. Hay otras alternativas aún más seguras.
• Guardas tus claves privadas, seeds y contraseñas relativas a tus criptomonedas en un lugar físico muy seguro y que solo tú conoces, escritas a mano desde el primer momento en que fueron creadas. Jamás las has escrito o guardado en ningún archivo dentro de un dispositivo electrónico.
• Diversificas tus fondos en criptomonedas, guardándolos en multitud de sitios diferentes: wallet de escritorio, hardware wallet, exchange… esto hace que, si una cuenta se ve comprometida, no pierdas toda tu inversión, disminuyendo así el riesgo de perderlo todo.
• Utilizas una app como Google Authenticator como método 2FA de autenticación en todas tus cuentas relativas al almacenamiento de criptomonedas y tus cuentas de correo. Se considera ampliamente un método 2FA mucho más seguro que el de los SMS.
• Tienes backups (copias de seguridad) de tus wallets en un lugar seguro, creadas mientras estabas sin conexión a Internet y guardadas en dispositivos USB cifrados que no se utilizaron nunca previamente para ningun otro motivo.

Empezamos a entrar en la ‘élite de la ciberseguridad’ para usuarios normales y corrientes, simplemente tomando estas medidas adicionales:

• Utilizas uno o varios Trezor como ‘hardware wallet’ para guardar la mayoría de tus fondos. Trezor es la única marca de billeteras físicas que cuenta con un código fuente 100% abierto y auditable y es la única que recomendamos aquí. Como alternativa, puedes utilizar también una billetera en papel, configurada e impresa mediante buenas prácticas.
• Utilizas una llave Yubico o Solokey como método 2FA para acceder no sólo a tus cuentas de correo electrónico sino a la mayoría de servicios online. Tienes activado también el método 2FA para todas las posibles transacciones en criptomonedas, no solo para los logins.
• No has mencionado nunca a nadie, ni en internet ni de palabra, cuánta cantidad de criptomonedas tienes y dónde o cómo las guardas.
• Utilizas un servicio DNS seguro y privado para tus conexiones a Internet, como por ejemplo DNS Watch. Es gratuito, fácil de configurar y te proporciona una capa más de anonimato y libertad en la red.
• Casi nunca mueves la gran mayoría de tu inversión en criptomonedas, la mantienes intacta en una harware wallet, sin conectarla a Internet. Para transacciones más pequeñas, utilizas buenas prácticas o métodos seguros como Opendime.
• Si eres usuario de Windows, tienes instalado Spybot para evitar que el sistema operativo y los programas instalados envíen información de tu uso personal a sus empresas creadoras.

Para los más paranoicos (lo cual es bueno, no malo) aún existen una cuantas medidas de seguridad adicionales que cubrirán algunos eventuales ‘puntos débiles’:

• Utilizas siempre diferentes cuentas de email para registrarte en aquellos servicios que envuelvan al uso de criptomonedas. Lo cual evita que un atacante que ha tomado control de una de tus cuentas de correo tenga acceso a todo, limitando así la exposición.
• Utilizas siempre un ordenador encriptado. No es suficiente con tener una contraseña para el inicio de sesión, tus dispositivos deben estar encriptados por si te los roban o los pierdes.
• Utilizas tu propio nodo para realizar transacciones en criptomonedas. Al configurar y utilizar tu propio nodo, no dependes de ninguno externo para realizar y confirmar las transacciones. Hoy en día es una práctica cada vez más sencilla gracias a soluciones como Casa o Nimble.
• Te has puesto en contacto con tu compañía telefónica y has solicitado todos los niveles posibles de seguridad que pueden ofrecerte. Agregas claves de acceso, preguntas secretas, pines, etc. Además, has habilitado la opción de “no portabilidad” para cualquier tarjeta SIM nueva, lo cual evita que un atacante pueda utilizar la ingeniería social para redirigir tu número a otra SIM en su posesión.
• Has activado la opción Multisig para tus wallets, dividiendo las claves privadas en varios “trozos” que guardas en lugares diferentes.

Esta última opción es la más recomendada si tienes una cantidad muy importante de dinero invertido en criptomonedas, sin embargo no es sencilla de poner en práctica, al tener que estudiar en detalle todos los pasos e invertir algo de dinero para llevarla a cabo. Por otra parte, te proporcionará unos niveles de seguridad pocas veces vistos:

• Sigues al pie de la letra el protocolo Glacier para guardar tus criptomonedas además, por supuesto, de todo lo visto anteriormente.

¡Listo!

Acabamos de ver quizá no todas, pero si muchas de las medidas que puedes tomar para incrementar tu seguridad y privacidad a la hora de gestionar tus criptomonedas y navegar en Internet.

Si eres nuevo en este mundillo y la mayoría de consejos te suenan a chino, ¡no te preocupes! Simplemente guarda esta página en favoritos, estudia cada uno de los pasos con detenimiento -ayudándote con Google- e impleméntalos a medida que te sientas cómodo con ellos. No pretendas tomarlos todos a la vez, ya que entonces lo único que conseguirás es aumentar tu confusión. Ten paciencia.

Si ya conocías la mayoría de pasos y eres prácticamente un experto en ciberseguridad, te recomendamos estudiar con detenimiento el protocolo Glacier, ya que supone un gran paso adelante respecto a cualquier otra medida que hayamos podido mencionar.

Para todos los demás, -los que somos usuarios normales y corrientes-, es una buena práctica implementar las medidas que aún no estabas llevando a cabo, ya sea por desconocimiento o simple comodidad. Tu yo futuro podría llegar a agradecértelo enormemente.

Por último, nos queda un apartado importante para acabar de entender lo que los ingleses llaman ‘la big picture’, es decir, para tener una visión amplia de todos los puntos importantes que rodean a tu inversión: