viernes, febrero 04, 2022

Cómo proteger tu Wallet de Critpomonedas con Latch Cloud TOTP

Si tienes Fan Tokens, Criptomonedas o NFTs, necesitas una wallet criptográfica para guardarlas. Hay muchas en el mercado cripto, y todas suelen tener más o menos los mismos problemas de seguridad, que se resumen fácilmente en perder la semilla, perder el acceso a la wallet por perder el acceso al dispositivo, o que te roben el usuario y la contraseña de tu cuenta de la cartilla o el monedero, como lo quieras llamar en español, además de que des acceso a tu wallet a la DAPP que no debes, que ya veremos los problemas que pueden generar en otros artículos.

Figura 1: Cómo proteger tu Wallet de Critpomonedas con Latch Cloud TOTP

Este funcionamiento tiene su lógica, pero para la gente que no entiende la criptografía, trabajar con semillas, con claves privadas, con múltiples direcciones y con identidades extra, suele ser un auténtico problema. Y si te vas a meter en este mundo necesitas conocer muy bien cómo funciona para tener tu seguridad bien protegida. Tengas la wallet de criptomonedas que tengas - y ya hablaremos un día de cómo elegir una plataforma u otra - siempre tienes que tener protegidas y a buen recaudo esas cosas, que son:

- La semilla de recreación de tus claves
- Las identidad de acceso a tu cuenta.
- Las direcciones que has creado.
- Los 2FA y las semillas de estos.

En algunas plataformas, para dar un servicio más personalizado y seguro, la semilla de recreación de tus claves la almacenan ellos, y por eso realizan una verificación extra de la identidad de las personas, para estar seguros, en caso de que se soliciten, de que se la están dando al dueño de la cuenta. Normalmente estas semillas tienen forma de lista de palabras, o de unas claves extras. 

Figura 2: Ejemplo de Semillas en Metamask para recuperar claves

Los muy paranoicos de la seguridad prefieren ser ellos los que tengan estas semillas, mientras que, por usabilidad, se puede confiar en una empresa - normalmente suele ser un Exchanger - que hace de banco, guarda tus semillas, y te entrega solo una identidad para gestionar tu cuenta.

Configurar Latch Cloud TOTP en Bit2Me

En cualquier caso, el siguiente nivel de protección es tuyo. Si alguien consigue tu identidad de acceso a la wallet, entonces podrá transferir todos tus tokens criptográficos a la dirección que quiera, y una vez guardadas las transferencias en la cadena de bloques, recuperar tus cripto tokens será imposible. Así que la identidad de tus wallets criptográficas necesita ser protegida, y para ello, poner un 2FA es fundamental en todas ellas.
Y aquí llega otro problema de seguridad asociado a los 2FA de tus identidades de gestión de tus wallets criptógraficas. Resulta que, las soluciones 2FA basadas en TOTP también son soluciones criptográficas basadas en semillas, así que para que puedas tener un código TOTP válido, tienes que haber generado unas claves en un dispositivo desde una semilla, con lo que necesitas guardar tus semillas por que, si mañana se te pierde el terminal móvil donde tienes las semillas de tu 2FA, no podrás entrar en tu cuenta de tu wallet.

Figura 4: Libro de Cifrado de las comunicaciones digitales:
de la cifra clásica a RSA 2ª Edición de 0xWord

Por supuesto, si estás usando una plataforma de gestión de criptomonedas en la que has hecho una verificación fuerte de tu identidad - enviando documentos - verificando con una webcam tu imagen, etcétera, tanto si pierdes el acceso a tus semillas, como si pierdes el acceso a tus claves, como si pierdes el acceso a tu 2FA, podrás acceder siempre a tu cuenta. ¿Por qué? Pues muy sencillo, porque ellos tienen las semillas guardadas por ti, pueden recrear las claves de las wallets, y deshabilitar el 2FA.

Figura 5: Proceso de verificación de identidad en Bit2Me

Pero si no has hecho esa verificación extra de tu identidad, o estás usando una criptowallet donde las semillas, las claves, y el 2FA lo controlas tú sin haber realizado una verificación fuerte de tu identidad, entonces tendrás un problema y perderás todo. En cualquier caso, la recomendación básica, es configurar un 2FA con TOTP que todas las criptowallets lo soportan.

Figura 6: Configuración de 2FA (TOTP) en Bit2Me

Latch Cloud TOTP es una solución de 2FA basada en tener protegidas las semillas de tus 2FA TOTP en la nube, de tal manera que, aunque se te pierda el dispositivo, siempre vas a poder recrear tu cuenta de Latch Cloud TOTP con todos los 2FA que tengas, por eso entre el casi millón de usuarios de Latch, uno de los usos mayoritarios sea proteger wallets de criptomonedas. A día de hoy, los sitios en dónde más use utiliza Latch Cloud TOTP son en los monederos de binance, crypto.com, kraken, bitmex, bitrex, hitbit o Bit2Me, y su funcionamiento es extremadamente sencillo.

Figura 7: Semilla en QR y Clave Secreta del 2FA TOTP

El ejemplo con Bit2Me, una plataforma de España que hace verificación fuerte de la identidad de los dueños de las cuentas, es similar para todo el resto de wallets criptográficas. Basta con ir a la opción de 2FA, donde nos saldrá un QRCode con la semilla que deberemos escanear desde nuestra cuenta de Latch.

Una vez hecho esto, bastará con ponerle un nombre, y ya tendremos el generador de códigos Latch Cloud TOTP funcionando, que deberemos validar una vez más en nuestra cuenta para que quede activo. De esta forma, ya, aunque nos roben nuestra cuenta de acceso a nuestra wallet, deberán tener también la cuenta de Latch o la semilla TOTP de este 2FA, lo que complica en exceso el trabajo de un atacante.
Recordad que una identidad con una contraseña compleja  es infinitamente menos segura que un PIN de cuatro números más un 2FA, porque las contraseñas al final se copian o se piden a las víctimas en ataques de phishing, y el 2FA, aunque también se puede copiar, solicitar, o robar, hace que el atacante deba preocuparse de dos ataques coordinados, y muchas veces tener información extra para saber si tiene o no el 2FA, qué 2FA está utilizando, etcétera.

Figura 10: Bit2Me te avisa de que, si pierdes la semilla de tu TOTP
ellos solo te podrán ayudar sin has verificado tu identidad.

Así que, de momento, si quieres empezar a ver cómo funciona la seguridad de este mundo, o quieres investigar, asegúrate de dónde están tus semillas de tus wallets, de qué tipo de seguridad en la recuperación de semillas tienes, de cuál es la protección de tu identidad, de ponerle un 2FA de seguridad, y de dónde están las semillas de tu 2FA, que como he dicho, también es muy importante.

Figura 11: Entender e investigar BlockChain & BitCoin
de Felix Brezo y Yaiza Rubio en 0xWord

Si queréis entender mejor este mundo, los libros de "Cifrado de las comunicaciones digitales: De la cifra clásica a RSA (2ª Edición)" y el de "BitCoin: Blockchain y su investigación", son más que recomendables para entender los fundamentos que sustentan el mundo de la las criptomonedas, que como véis, tienen un impacto espectacular en la economía de la Web3

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


No hay comentarios:

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares