Hechos clave:
-
No existe un monedero 100% seguro.
-
Además de elegir un buen monedero, el usuario debe tomar sus propias medidas de seguridad.
Al momento de elegir un monedero de Bitcoin (BTC) u otras criptomonedas, la seguridad es un punto fundamental que hay que tener en cuenta. Aun así, por comodidad o desconocimiento, muchas veces se deja de lado este aspecto y, para beneficio de los ciberdelincuentes, se ponen en riesgo los fondos que se quieren preservar.
Son frecuentes, tanto en la prensa como en las redes sociales y foros de Internet, las historias de personas que perdieron sus bitcoins por elegir monederos inseguros o por no cumplir ellos mismos con medidas de seguridad básicas.
Para no convertirse en uno de ellos, a continuación, se brindan algunas recomendaciones que es preciso tener en cuenta.
¿Tienes las llaves privadas de tus bitcoins?
Una máxima bitcoiner, que puede ser aplicada a cualquier otra criptomoneda, dice que “si no son tus llaves privadas, no son tus bitcoins”. Estas llaves o claves, tal como las define el glosario de CriptoNoticias, son líneas alfanuméricas asociadas matemáticamente a una dirección pública.
Deben ser conocidas solo por su dueño, pues le permiten firmar mensajes para verificar su identidad y/o hacer transacciones. En muchas ocasiones, los monederos derivan de allí doce palabras o más que equivalen a esa llave privada, conocida también como “semilla”.
Muchos monederos de Bitcoin no ofrecen a los usuarios estas claves y, en cambio, les permiten acceder a sus cuentas mediante un nombre de usuario o dirección de correo electrónico y una contraseña. Según el sitio web Wallet Scrutiny, este tipo de plataformas para almacenar BTC con custodia de terceros son las más descargadas.
¿Qué pasa si la plataforma cierra, tiene errores técnicos, es hackeada o sus responsables hacen una estafa de salida (exit scam)? Los usuarios, por no tener acceso a sus claves privadas, podrían perder para siempre el acceso a su dinero.
El ejemplo más conocido es el de Mt.Gox. Este exchange, que permitía comprar y vender Bitcoin, administraba las llaves de los BTC que eran depositados en su plataforma. De un día para el otro dejó de estar operativo. Los 850.000 BTC que sus usuarios tenían depositados en la plataforma, se fueron junto con el exchange.
Si no son tus llaves no son tus bitcoins, sino que le pertenecen a la compañía que administra la plataforma. El usuario simplemente tiene una promesa de pago que podría cumplirse o no. La empresa es realmente la dueña de los BTC.
Algunas de las plataformas de este tipo más utilizadas, incluyendo exchanges centralizados que en ocasiones se utilizan para almacenar criptomonedas son Xapo, Coinbase, Binance, Crypto.com, Gemini y eToro.
Es común que bitcoiners novatos caigan en esta trampa. La mayoría de la gente está acostumbrada a acceder a plataformas financieras mediante un correo electrónico y una contraseña.
El redactor de este artículo se declara culpable de este pecado y confiesa haber utilizado un “monedero” que funciona con usuario y contraseña durante su primer año en el criptomundo.
Es necesario enfatizar que las intenciones de los responsables de estas plataformas no necesariamente son malignas. Pero, ya que de ser nuestro propio banco se trata esto, no hay motivos para poner en manos de terceros la custodia de nuestros bitcoins.
¿Tu monedero de Bitcoin es de código abierto y reproducible?
¿Por qué deberías creer en las buenas intenciones del equipo desarrollador del monedero de Bitcoin que usas, si puedes verificar tú mismo el código del programa?
Richard Stallman, defensor a ultranza del código abierto, señala cuatro libertades que brindan los programas sin código privativo:
- La libertad para ejecutar el programa con cualquier propósito.
- La libertad para estudiar y modificar el programa.
- La libertad de copiar el programa y ayudar con él a otras personas.
- La libertad de mejorar el programa y hacer públicas tus mejoras, de forma que se beneficie toda la comunidad.
En particular, a los fines de este artículo se hará referencia a la libertad para estudiar y modificar el programa. Incluso si no eres programador y no tienes idea de cómo leer el código de una aplicación, esto es importante.
La comunidad de Bitcoin y las criptomonedas suele estar interesada en difundir sus conocimientos para el bien común. Existen algunos foros de internet y sitios web en los que gente capacitada chequea el código de los monederos existentes.
Entre ellos puede mencionarse WalletScrutiny. Este sitio web en constante actualización tiene, al momento de redacción de este artículo, un informe sobre 136 monederos de Bitcoin y otras criptomonedas.
WalletScrutiny diferencia a los monederos en reproducibles, no reproducibles, sin código y custodios.
Al decir monederos con código reproducible, este sitio web hace referencia a aquellos de los que se puede verificar que el código del programa coincide con el código publicado en los repositorios como, por ejemplo, GitHub.
“El código publicado no ayuda mucho si no es verdaderamente el de la aplicación publicada”, aseguran y agregan: “Por eso revisamos si el proveedor del monedero afirma que se puede verificar que coincida con el código publicado y, si es así, intentamos reproducir la aplicación nosotros”.
En entrevista con CriptoNoticias, el creador de WalletScrutiny, Leo Wandersleb, detalló que alguien podría compilar el código de una aplicación legítima y crear así otra que se vea igual pero que no sea exactamente la misma.
Dijo, además, que “una aplicación tiene cientos de miles de líneas de código programadas por muchos desarrolladores y todos ellos podrían tratar de hacerla insegura”. Entonces, según explicó, “hay una superficie de ataque enorme que es necesario asegurar y verificar para cubrir todos los posibles vectores de ataque”.
“Es imposible para una sola persona revisar todo el código de un monedero; pero un experto en criptografía podría revisar su criptografía, un experto en seguridad de redes podría revisar ese aspecto, etcétera. Y, de esa manera, se podría tener a muchos expertos que trabajan juntos para analizar muchos monederos. Para eso los monederos deben ser transparentes con lo que hacen”.
Leo Wandersleb, creador de WalletScrutiny.
Al momento de redacción de este artículo, WalletScrutiny muestra solo seis monederos que cumplen con la característica de ser reproducibles. Ellos son Bitcoin Wallet, Mycelium, Phoenix, AirGapVault, Unstoppable, Green y ABCore.
“Pero verificable no significa verificado”, aclara Wandersleb y agrega: “Nadie hace el trabajo de verificar la billetera de otra compañía y para eso falta todavía algún incentivo para hacerlo”.
También es importante aclarar que todos los monederos clasificados en WalletScrutiny son para dispositivos móviles. Wandersleb los considera más seguros que los de escritorio y explica con un ejemplo el porqué.
Da el caso del monedero Electrum que, tal como informó CriptoNoticias, recibió una actualización maliciosa que permitió el robo de miles de bitcoins.
“Lo que pasó en la versión para escritorio es que el desarrollador tenía un sistema de notificaciones y el hacker logró mandar mensajes falsos con una invitación para actualizar”, explica Wandersleb. Esta actualización no era genuina del monedero Electrum y le permitió al hacker robar los BTC de los usuarios.
En cambio, Wandersleb señala que en los sistemas operativos de los dispositivos móviles “eso no puede pasar porque el proveedor firma con su clave privada y si el hacker trata de convencer al usuario de firmar con una versión que no está firmada por el mismo proveedor la actualización no funciona”.
Si el monedero no se puede reproducir para estudiarlo, presenta un problema. No hay forma de saber cómo funciona realmente y podría robar fondos a sus usuarios por alguna función codificada que no pudo ser detectada.
¿Tu monedero está constantemente conectado a Internet?
Por último, señalaremos que un monedero de criptomonedas instalado en un dispositivo que constantemente está conectado a Internet aumenta las posibilidades de sufrir un ataque.
Por este motivo los monederos hardware, aun sin ser 100% seguros, demostraron ser la mejor opción para resguardar llaves privadas y firmar transacciones. Estos dispositivos almacenan las llaves privadas fuera de Internet y previenen así los ataques remotos.
De todas formas, es importante tomar ciertos recaudos al utilizarlos. Una medida preventiva es verificar que las llaves privadas no vengan pre-generadas. Si esto ocurriese, alguien podría haber tenido acceso a ellas.
Algunas recomendaciones a adoptar con los monederos hardware son: adquirirlos exclusivamente en proveedores de confianza; comprobar cualquier indicio de manipulación; guardarlo en un lugar seguro y no permitirle el acceso a nadie que no sea de confianza. También: utilizar un software de seguridad en la computadora en la que se conecte el monedero y proteger la semilla con una contraseña si el monedero lo permite (Trezor, por ejemplo).
Aunque no son los únicos que existen, Trezor y Ledger son los monederos hardware más conocidos y utilizados para Bitcoin y otras criptomonedas. El primero de ellos es de código abierto y, por lo tanto, más transparente. El segundo, dice proteger al usuario de otros tipos de ataque para lo cual requiere código privativo.
Wandersleb se inclina por el Trezor. En la mencionada entrevista con CriptoNoticias explicó que “uno no sabe si Ledger tiene una ‘puerta trasera’ para ver todo lo que está pasando en el monedero”.
De todos modos, estos monederos tampoco son perfectos y ambas compañías constantemente están señalándose mutuamente sus vulnerabilidades. Por esto es que, para terminar, es válido un consejo que da el creador de WalletScrutiny: no tener todos los BTC en el mismo Wallet.
Como se ha visto, el monedero 100% seguro no existe. Todos ellos, de una u otra manera, tienen la posibilidad de ser atacados. Más vale prevenir que lamentar y, cuando se trata de cuidar los BTC, un poco de paranoia que lleve a ejercer buenas prácticas de seguridad nunca está de más.