Libro mayor 101 - Parte 3: Mejores prácticas al usar una billetera de hardware

Las entregas anteriores de la serie Ledger 101 han demostrado la necesidad de usar una billetera de hardware, así como la importancia de usar chips seguros para construirlas.

Las billeteras de hardware le otorgan la propiedad y el control de sus activos de cifrado. Pero con grandes poderes vienen grandes responsabilidades: ser su propio banco ciertamente no es trivial y requiere disciplina. El uso de una billetera de hardware no lo hace invencible contra la ingeniería social, las amenazas físicas o los errores humanos. Siempre debe usar el sentido común y aplicar los principios básicos de seguridad.

Hay cinco reglas básicas de oro.

  • Nunca comparta su frase de recuperación de 24 palabras, de ninguna forma, con nadie.
  • Nunca almacene su frase de recuperación en una computadora o teléfono inteligente.
  • Mantenga su hoja de recuperación físicamente segura para asegurarse de que no pueda perderla ni destruirla por accidente.
  • Solo confía en lo que puedes ver en la pantalla de tu billetera de hardware. Verifique su dirección de recepción y la información de pago en su dispositivo.
  • Siempre trate la información que se muestra en la pantalla de su computadora o teléfono inteligente con precaución. Suponga que el software puede verse comprometido en cualquier momento.

La frase de recuperación de 24 palabras

Al inicializar su billetera de hardware por primera vez, se le pedirá que escriba 24 palabras en una hoja de Recuperación. Estas 24 palabras se denominan frase de recuperación y son una copia de seguridad legible por humanos de la que se derivan todas sus claves privadas. Se utilizan para restaurar el acceso a sus activos de cifrado en otro dispositivo Ledger o cualquier otra billetera compatible.

Hoja de recuperación del libro mayor que contiene la frase de recuperación de 24 palabras

Principios generales de seguridad.

Hay dos razones básicas por las que necesitaría acceso a su frase de recuperación:

  • Pérdida o destrucción de su billetera de hardware: puede ingresar su frase de recuperación en un nuevo dispositivo para recuperar el acceso completo a sus activos de cifrado;
  • Clonación a un nuevo dispositivo: al ingresar sus 24 palabras en otro dispositivo, tendrá dos billeteras de hardware que puede usar de forma independiente. Por ejemplo, uno en la oficina y otro en su casa, evitando que tenga que transportarlo todo el tiempo. Otra razón para clonar un dispositivo sería cuando se actualice a un modelo más nuevo.

Como puede deducir fácilmente de esto, cualquiera que tenga acceso a estas 24 palabras obtendría acceso inmediato a sus activos de cifrado. El código PIN en su billetera de hardware es una protección relacionada solo con su dispositivo, y es totalmente innecesario para la recuperación de claves privadas.

Por lo tanto, es de suma importancia que su fase de recuperación esté asegurada correctamente. Cualquier compromiso, en cualquier momento, podría conducir a pérdidas catastróficas;

  • Nunca tome una foto de su hoja de recuperación. Su teléfono inteligente no es seguro y, lo que es peor, podría cargarse automáticamente en su almacenamiento en la nube;
  • Nunca ingrese su frase de recuperación en una computadora o teléfono inteligente: podría tener keyloggers, y almacenar esta información en línea (incluso encriptada) anula por completo el propósito de usar una billetera de hardware;
  • Nunca muestre o comparta sus 24 palabras con nadie (incluidos amigos y familiares). Si decide compartir, tenga en cuenta que tienen acceso potencial a todos sus activos de cifrado, en cualquier momento y sin una forma fácil de revocar el acceso;
  • Mantenga su hoja de recuperación en un lugar seguro, protegido de la luz solar, la humedad y el fuego. Si se destruye por algún motivo, debe mover inmediatamente su cripto a una billetera de hardware recién configurada;

Además, es fundamental asegurarse de que usted mismo ha generado la frase de recuperación de 24 palabras. Nunca, nunca, use un dispositivo preconfigurado. Nunca, nunca, use un conjunto de 24 palabras proporcionadas en otro lugar que no sea el dispositivo en sí. Debe asegurarse de ser el único en el mundo que tenga conocimiento de esta frase de recuperación específica.

Como la disponibilidad de su frase de recuperación es crítica, es posible que desee verificar que realmente la ha escrito correctamente y que realmente puede leerla sin error. Para un Ledger Nano S, puede verificar esto con la aplicación Recovery Check. Esta aplicación le permite ingresar su frase de recuperación de 24 palabras y verifica si coincide con las claves privadas de su dispositivo. Consulte el video dedicado para obtener más información.

Principios generales de seguridad.

Tener una billetera de hardware configurada con una copia de seguridad verificada en un lugar seguro puede protegerlo de un ataque digital, pero aún es vulnerable a posibles amenazas físicas como un robo o una situación de rehenes. Es por eso que debe seguir estas reglas básicas:

  • Nunca le digas a nadie que tienes criptomonedas. Si lo hace, asegúrese de mantener el valor real de sus activos para usted. Si la gente le pregunta cuántos bitcoins posee, simplemente devuelva la pregunta preguntando cuántos euros / dólares poseen;
  • Si está activo en la comunidad de criptomonedas en línea, proteja su identidad real y siempre tenga en cuenta la información que comparte. No quieres convertirte en el blanco de un atraco;
  • No guarde su hoja de recuperación en una caja fuerte en casa. Una bóveda bancaria es mucho más segura. No tener acceso inmediato a su copia de seguridad aumenta su resistencia a las amenazas físicas;
  • Si tiene grandes cantidades de criptomonedas a las que no necesita acceso frecuente, mantenga segura su billetera de hardware en el banco. Puede usar otra billetera de hardware con cantidades menores para uso frecuente;

Solo confía en tu billetera de hardware

Su billetera de hardware requiere una aplicación complementaria para interactuar con usted y acceder a Internet, por lo que puede consultar su saldo en su computadora, obtener su historial de transacciones y transmitir nuevas transacciones. Ledger Live es la propia aplicación de Ledger disponible para PC, Mac y Linux. Los dispositivos Ledger también funcionan con aplicaciones que no están hechas por Ledger.

En principio, es muy difícil verificar la integridad del software en su computadora. Por lo tanto, debe asumir que su computadora está comprometida y que lo que ve en su pantalla podría ser manipulado.

Solo puede confiar en su billetera de hardware.

Pasos de seguridad para verificar su dirección de recepción

Cuando necesite compartir su dirección de recepción para que pueda ser el destinatario de un pago, debe tomar precauciones adicionales para asegurarse de no ser víctima de un hombre en el medio del ataque. Un atacante que controle la pantalla de su computadora podría mostrarle una dirección incorrecta que lo convertiría en el beneficiario de cualquier transacción que se le envíe.

Debe verificar la dirección de recepción que se muestra en su pantalla mostrándola en su dispositivo.

Cuando solicite una dirección de recepción en Ledger Live, se le solicitará que conecte su billetera de hardware y abra la aplicación correspondiente. La dirección se mostrará en la pantalla segura del dispositivo y podrá verificar que coincida con la de su pantalla.

Si está utilizando el código QR para transmitir la dirección, asegúrese de verificar la dirección después de escanearla.

Si está utilizando una billetera de software sin esta función (muchas aplicaciones de terceros son compatibles con dispositivos Ledger), le recomendamos que envíe primero una pequeña cantidad para asegurarse de haberla recibido correctamente. Idealmente, esta prueba debe hacerse en otra computadora. Puede reutilizar la dirección que acaba de verificar para la prueba.

Pasos de seguridad para verificar la dirección del beneficiario

Cuando desee enviar una transacción, generalmente obtendrá la dirección del destinatario en una página web o mediante un servicio de comunicación. Un ataque trivial para un malware sería reemplazar esta dirección por una propia. Algunas piezas de software maliciosas simplemente monitorean el portapapeles para reemplazar la dirección que acaba de copiar por una que pertenece al atacante.

Para evitar ser víctima de este ataque, verifique siempre la dirección del beneficiario en el dispositivo antes de aprobar la transacción, y también verifíquelo nuevamente utilizando un segundo canal de comunicación. Por ejemplo, solicite que se envíe la dirección por SMS u otra aplicación de mensajería para que pueda verificarla. Si está depositando en un intercambio, primero envíe una pequeña cantidad y verifique que haya llegado correctamente antes de enviar cantidades mayores.

Ser su propio banco no es trivial y requiere disciplina. Tener una billetera de hardware no te hace invencible. Pero esperamos que estos consejos de seguridad lo ayuden a protegerse mientras los usa.

Como siempre, use el sentido común. No confíes, verifica.