La explosividad y el alto valor en dólares de los tokens no fungibles (NFT) parecen distraer a los inversores de aumentar su seguridad operativa para evitar los exploits, o los hackers simplemente están siguiendo el dinero y utilizando estrategias muy complejas para explotar las carteras de los coleccionistas.

Al menos, este fue mi caso hace tiempo, después de que cayera en un clásico mensaje enviado a través de Discord que me hizo perder lenta pero rápidamente mis activos más valiosos.

La mayoría de las estafas en Discord ocurren de manera muy similar, donde un hacker toma una lista de miembros en el servidor y luego les envía mensajes directos con la esperanza de que muerdan el anzuelo.

«Nos pasa a los mejores», no son las palabras que quieres escuchar en relación a un hackeo. Aquí están las tres cosas más importantes que aprendí de mi experiencia sobre cómo duplicar la seguridad, empezando por minimizar el uso de una cartera caliente y simplemente ignorar los enlaces privados.

Un rápido curso intensivo sobre carteras de hardware

Después de mi hackeo, me recordaron inmediatamente, y no puedo reiterarlo lo suficiente, que nunca compartas tu frase de semillas. Nadie debería pedirla. También aprendí que ya no podía renunciar a la seguridad por el privilegio de la comodidad.

Sí, los monederos calientes son mucho más fluidos y rápidos para comerciar, pero no tienen la seguridad añadida de un pin y una frase de contraseña como en un monedero de hardware, o frío.

Los monederos calientes como MetaMask y Coinbase están conectados a Internet, lo que los hace más vulnerables y susceptibles de ser hackeados.

Al contrario que los monederos calientes, los monederos fríos son aplicaciones o dispositivos en los que las claves privadas del usuario están desconectadas y no se conectan a Internet. Al funcionar sin conexión, los monederos hardware evitan accesos no autorizados, hackeos y vulnerabilidades típicas de los sistemas, algo a lo que son susceptibles cuando están en línea.

Además, los monederos de hardware permiten a los usuarios configurar un pin personal para desbloquear su monedero de hardware y crear una frase de contraseña secreta como capa adicional de seguridad. Ahora, un hacker no sólo necesita conocer la frase de recuperación y el pin de uno, sino también una frase de paso para confirmar una transacción.

No se habla tanto de las frases de paso como de las frases semilla, ya que la mayoría de los usuarios no utilizan un monedero físico ni están familiarizados con la misteriosa frase de paso.

El acceso a una frase semilla desbloqueará un conjunto de monederos que se corresponde con ella, pero una frase de paso también tiene el poder de hacer lo mismo.

¿Cómo funcionan las pass-phrases?

Las frases de paso son, en muchos sentidos, una extensión de la frase semilla, ya que mezclan la aleatoriedad de la frase semilla dada con la entrada personal del usuario para calcular un conjunto de direcciones totalmente diferente.

Piensa en las frases de paso como una capacidad para desbloquear todo un conjunto de monederos ocultos además de los ya generados por el dispositivo. No existe una frase de contraseña incorrecta y se puede crear una cantidad infinita. De este modo, los usuarios pueden ir más allá y crear monederos señuelo como negación plausible para evitar que cualquier posible hackeo se dirija a un monedero principal.

Diagrama de recuperación de semillas/passphrase. Fuente: Trezor

Esta característica es beneficiosa a la hora de separar los activos digitales de uno entre cuentas, pero es terrible si se olvida. La única manera de que un usuario acceda a los monederos ocultos repetidamente es introduciendo la frase de contraseña exacta, carácter por carácter.

Al igual que la frase inicial, la frase de contraseña no debe entrar en contacto con ningún dispositivo móvil o en línea. En su lugar, debe guardarse en papel y almacenarse en algún lugar seguro.

Cómo configurar una passphrase en Trezor

Una vez que el monedero de hardware está instalado, conectado y desbloqueado, los usuarios que quieran activar la función pueden hacerlo de dos maneras. Si el usuario se encuentra en su monedero Trezor, pulsará la pestaña «Configuración avanzada», donde encontrará una casilla que deberá marcar para habilitar la función de frase de contraseña.

Página de inicio del monedero Trezor. Fuente: Trezor

Del mismo modo, los usuarios pueden habilitar la función si están en la suite de Trezor, donde también pueden ver si su firmware está actualizado y su pin instalado.

Página de inicio de Trezor wallet. Fuente: Trezor

Hay dos modelos diferentes de Trezor, el Trezor One y el Trezor Model T, ambos permiten a los usuarios activar las frases de contraseña sólo que de forma diferente.

El Trezor Model One sólo ofrece a los usuarios la opción de introducir su frase de contraseña en un navegador web, lo que no es lo más ideal en caso de que el ordenador esté infectado. Sin embargo, el Trezor Model T permite a los usuarios la opción de utilizar el teclado de la pantalla táctil del dispositivo para escribir la frase de contraseña o escribirla dentro del navegador web.

Interfaz de la cartera Trezor Model T / Trezor. Fuente: Trezor

En ambos modelos, una vez introducida la passphrase, ésta aparecerá en la pantalla del dispositivo, a la espera de confirmación.

La otra cara de la seguridad

La seguridad tiene sus riesgos, aunque suene contradictorio. Lo que hace que la frase de paso sea tan fuerte como segundo paso de autenticación a la frase de partida es exactamente lo que la hace vulnerable. Si se olvida o se pierde, los activos desaparecen.

Claro que estas capas adicionales de seguridad requieren tiempo y precauciones adicionales y pueden parecer un poco exageradas, pero mi experiencia fue una dura lección para asumir la responsabilidad de garantizar la seguridad de cada activo.

Los puntos de vista y opiniones expresados aquí son únicamente los del autor y no reflejan necesariamente los puntos de vista de Cointelegraph.com. Cada inversión y movimiento comercial implica un riesgo, debe realizar su propia investigación al tomar una decisión.

Tomado del sitio de Cointelegraph