Seguridad
La seguridad es el grado de resistencia (o protección) al daño. Es aplicable a cualquier activo con algún valor tal como a una persona, vivienda, comunidad, nación, organización, entre otros. La seguridad provee una forma de protección (o separación) entre el activo y la amenaza. A dichas separaciones se les llama comúnmente controles, que en ocasiones provocan cambios al activo o a la amenaza.
Contenido
CryptoCurrency Security Standard
CryptoCurrency Security Standard (CCSS) es un set de requerimientos para todos los sistemas de información que utilizan criptodivisas. Al estandarizar las técnicas y metodologías usadas por estos sistemas alrededor del mundo, los usuarios pueden tomar decisiones en base a información pertinente sobre que productos y servicios contratar y que con que compañías alinearse.
CCSS esta diseñado para complementar los estándares de seguridad vigentes (ej: ISO 27001:2013) al introducir una guía con las mejores prácticas con respecto a las criptodivisas como la Bitcoin. CCSS no está diseñado para sustituir o reemplazar dichos estándares. Al igual que con cualquier otro estándar, profesionales entendidos y experimentados en el tema o bien auditores son requeridos para implementar cualquier sistema de información para así asegurar poder cubrir toda clase de ataques, así como también el manejo de cualquier riesgo o amenaza potencial.
CCSS cubre una lista de 10 aspectos de seguridad de un sistema de información que almacena, tramita con o acepta criptodivisas. Un sistema de información es una colección de tecnologías (hardware y/o software), personal, políticas y procedimientos que trabajan en conjunto para proveer un ambiente seguro. Un aspecto de seguridad es una técnica discreta para asegurar una pieza de información en un sistema. El mínimo valor de todos estos 10 aspectos determina el puntaje global del sistema de información con 3 niveles de seguridad incremental: el nivel 1 es el mas bajo y ofrece medidas de seguridad robustas, mientras que el nivel 3 es el más alto y ofrece las medidas de seguridad mas comprensivas.
Estos 10 aspectos están organizados en 2 dominios que ayudan a estructurar las guías. Mas información sobre el estándar puede encontrarse en el CryptoCurrency Certification Consortium.
Consejos de seguridad
No utilizar billeteras web
A este tipo de billeteras se les llama también billeteras alojadas porque requiere confiar en un tercero para el almacenamiento de las criptodivisas. En otras palabras, es como confiarle el dinero a otra compañía. A pesar de que utilizarlas puede resultar más fácil, no todas proveen un nivel de seguridad lo suficientemente alto para todas las divisas que se le entreguen para almacenar.
Una vez que el usuario decida crear una billetera de este tipo, deberá registrarse para así obtener una cuenta y poder comenzar a depositar. Una vez que las monedas están en la cuenta, se puede comenzar a comprar cosas en donde sea aceptado, así como también enviar y recibir criptodivisas.
De todas maneras, cabe notar que estas billeteras pueden atraer hackers y, por lo tanto, deberían ser evitadas en la medida de lo posible. Si el usuario desea utilizarlas, se recomienda realizar una investigación pertinente para así elegir la compañía que provea del mayor nivel de seguridad posible. Para esto se pueden leer reseñas de otros usuarios, investigar en foros, fuentes noticiosas de confianza, entre otros. Asimismo, el usuario también puede transferir criptomonedas desde el exchange en donde opera luego de cada transacción. Se pueden también almacenar encriptadas en el computador del usuario.
Limitar el acceso a billeteras corporativas
Para aquel que tiene un negocio y decide utilizar criptodivisas como su medio de pago, debe tener mucho cuidado al dar la dirección de su billetera. Dada la anonimidad en cada transacción, puede resultar difícil rastrear a alguien que intente robarle el dinero. Si un empleado suyo obtiene acceso a la dirección de su billetera, entonces puede fácilmente transferir fondos hacia otra billetera sin su consentimiento. Es casi imposible ligar una billetera con una persona en particular.
Para organizaciones que cuentan con un gran número de empleados en donde algunos requieren acceso a la billetera de criptodivisas para poder hacer su trabajo, se recomienda usar billeteras con múltiples sub billeteras, para así asignarle una a cada empleado.
Separe sus monedas entre billeteras calientes y en frio
Se describe a las billeteras calientes aquellas que se mantienen en ordenadores conectados a internet, debido a que presentan un mayor grado de riesgo a ataques perpetuados por la red. Esto, es en oposición con la billeteras offline o en frío, las cuales se recomiendan si su negocio esta basado en criptodivisas ya que son mas seguras y no tan atractivas para los hackers. Si el usuario necesita utilizar billeteras calientes, se recomienda dividir el dinero entre ambos tipos de billeteras.
Resulta ideal mantener las criptomonedas en billeteras offline o en frio, ya que el dispositivo en donde se almacenan puede luego ser guardado en una caja fuerte o algún lugar similar. Esto, ya que el dispositivo en donde se guardan es un pedazo de hardware similar a un pendrive USB
Mantenga las llaves privadas offline
Otro consejo importante para el usuario es mencionar lo importante que es mantener las llaves privadas offline. Como ya debe saber, las billeteras billeteras bitcoin (por ejemplo) utilizan llaves públicas para enviar y recibir bitcoins. Dichas llaves públicas también se utilizan para otras funciones tales como para chequear el balance en cuentas de bitcoin. Son también estas mismas llaves públicas las que se usan para autorizar pagos desde la billetera. Por esto, si cualquiera tuviese acceso a sus llaves privadas, podrían entonces usar sus criptomonedas de cualquier manera sin su consentimiento.
Para mantener la seguridad de una billetera, remueva sus llaves privadas y guárdelas en algún otro lugar, quizás en otro ordenador que no este conectado a internet. De esta manera, usted puede estar seguro que estas no se verán comprometidas si algún hacker intenta robarle su dinero.
Cuando realice un pago o transacción online, llévela al ordenador offline con un pendrive USB, y si ya esta en el computador offline, es aquí en donde debe ingresar su llave privada. Luego de esto, traigala a su computador online para completar la transacción.
Puede encontrar que esto suena un poco inconveniente, pero resulta beneficioso para mantener un cierto grado de seguridad. Al hacer esto le esta dando a su billetera una capa extra de protección. Recuerde que es extremadamente importante mantener la billetera protegida si esta contiene una suma de criptomonedas considerable. Atacar una billetera en frío resulta más complicado ya que requeriría de acceso físico.
Use hardware dedicado
Se recomienda utilizar hardware dedicado para realizar transacciones con criptodivisas. Como se menciona anteriormente, se pueden utilizar llaves en pendrives USB para trasladar datos de un ordenar online a uno offline. Esto también es para evitar exponerse a viruses y/o código malicioso.
Utilizar Linux para ordenadores online y offline
La mejor manera para trasladar datos entre computadores online y offline es haciéndolo a través de un pendrive USB. Linux tiene un muy buen registro que muestra la efectividad para resistir ataques via USB.
Mantenga un respaldo seguro offline
Si su computador se pierde, se lo hurtan o se rompe, podría perder acceso a su billetera, razón por la cual siempre se recomienda mantener un respaldo en un lugar seguro.
Haga uso de una billetera determinística tipo 2
El mayor beneficio de una billetera deterministica tipo 2, es que hacen uso de una semilla para producir de manera deterministica todas las futuras llaves privadas para cualquier monto de bitcoins recibido. Esto quiere decir que solo se debe crear un servidor de respaldo.
La razón detrás de esto es que el respaldo tiene la semilla, entonces si se pierde la billetera por accidente, el usuario puede simplemente crear una nueva billetera utilizando la misma semilla para recrear la billetera perdida con todas las llaves privadas, como también las criptomonedas dentro de esta.
Haga uso de respaldos fragmentados
A pesar de que deba crear solo un respaldo de su semilla en la vida, se recomienda crear múltiples copias de dicho respaldo y almacenarlas en diferentes lugares. Si usted está preocupado de la integridad física de su respaldo, entonces realice un respaldo fragmentado. Este tipo de respaldo divide la semilla en seis fragmentos, en donde se requieren a lo menos cuatro para reconstruir la semilla. Con esto, puede guardar cada fragmento en un lugar distinto, disminuyendo así la posibilidad de robo.
Violaciones de seguridad
a pesar de que el protocolo Bitcoin en si mismo puede ser lo suficientemente seguro, esto no es algo que se extienda a todos los sitios y servicios que operan con bitcoin. A continuación un pequeño listado de las instancias mas notables en donde han habido violaciones de seguridad en los últimos años:
Inputs.io
En Octubre de 2013, el servicio de billeteras online inputs.io fue atacado dos veces. Un total de 4.100 BTC, avaluadas en $1,2 millones de dólares de la época, fueron robadas a través de un ataque de ingeniería social, ganando así acceso al sistema de inputs.io almacenado en Linode, un proveedor de servicio de hosting en la nube.
Al comprometer una serie de direcciones de correo electrónico, incluyendo aquél del fundador de inputs.io, el hacker logró acceder a la cuenta del sitio y cambiar la contraseña de este.
Mt. Gox
Mt. Gox, exchange que alguna vez fue el más grande e importante del mundo, cayo en bancarrota luego de haber perdido $468 millones de dólares en bitcoins.
Esta empresa comenzó su decadencia en Febrero de 2014 cuando junto con otros exchanges de bitcoins como BTC-E, congelaron los retiros citando una ataques bajo una fuerte negación distribuida de servicio (DoS, por sus siglas en inglés) apuntados a aprovecharse de la maleabilidad de las transacciones con Bitcoin. En simples palabras, la maleabilidad en las transacciones significa que es posible modificar transacciones válidas para que estas aparezcan como no procesadas, cuando en realidad si se procesaron y realizaron. Sin embargo, la maleabilidad en las transacciones no es un tema nuevo, ni tampoco uno imposible de resolver. De hecho, otros exchanges de bitcoin tales como Bitstamp siguen operacionales, habiendo resuelto estas complicaciones por su lado y retomando las transacciones días después de haberlas congelado. Lo mas dañino de todo esto, fueron las bitcoins perdidas por Mt. Gox.
Silk Road 2.0
En Febrero de 2014, $2,7 millones de dólares en bitcoins fueron robados del sistema de pagos de Silk Row 2.0. El robo ocurrió casi al mismo tiempo que los ataque DoS anteriormente mencionados en exchanges como Mt. Gox, explotando la misma maleabilidad transaccional del protocolo bitcoin.
Sin embargo, a diferencia de los exchanges que usan bitcoin, que cerraron como medida de precaución, Silk Road 2.0 no cerro y fue atacada nuevamente en una etapa de re apertura en donde todas las bitcoins estaban siendo almacenadas de manera caliente. Algunos usuarios, tales como aquellos del subreddit DarkNetMarkets, creen que la historia del hackeo fue un encubrimiento, y que Silk Road 2.0 fue una estafa desde el principio.
“Pony” Botnet
Durante el curso de 5 meses (Septiembre 2013 – Enero 2014), una banda criminal utilizaron un botnet denominado Pony para infectar un gran número de computadores, llegando a robar alrededor de $220,000 dolares en bitcoins y otras criptodivisas. Pony fue el mismo botnet que robo mas de dos millones de contraseñas y guardadas en un servidor perteneciente a los hackers.
Links externos
- Bitcoin.org – Security Issue
- How to Keep Your Bitcoin Safe and Secure | WIRED
- Bitcoin Security – CCN
- Bitcoin Security Guide – Bitcoin Security 101