La opción de las criptomonedas o monedas electrónicas cada vez toma más fuerza como mecanismo para la compra de productos y servicios, ya no solamente en Internet sino también en algunos comercios que han empezado a aceptar este medio de pago. Es por esta razón que ya hemos sido testigos de diferentes tipos de amenazas que tratan de comprometer la seguridad y obtener alguna ganancia relacionada con el robo de bitcoins, o el uso de los recursos de la máquina para minar estas criptomonedas.
Durante la última edición de la ekoparty, Federico Cardoso dictó un workshop sobre algunas herramientas para proteger bitcoins y mantenerlas seguras. Estaban divididas en tres categorías: cold storage, las hardware wallets y la opción de multisig.
Cada una de estas categorías tiene una característica particular, que sirve para aumentar la seguridad para el usuario. En el caso de cold storage se refiere a mantener una copia de los bitcoins fuera de línea para evitar que pueda ser robada si alguien logra acceder al dispositivo donde está alojada la billetera a través de Internet.
Las hardware wallets por su parte, son dispositivos pensados para almacenar de forma cifrada los códigos del usuario. Estas dos opciones tienen en común el hecho de estar la mayoría del tiempo en entornos offline, mientras que la opción multisig implementa la necesidad de múltiples llaves para autorizar una transacción.
Podemos encontrar diferentes herramientas que clasifican en alguna de las categorías anteriores; a continuación les contamos sobre algunas.
Armory: gestión segura de bitcoins
Armory es una implementación en Python de código abierto permite a los usuarios hacer una gestión de sus billeteras de bitcoins de forma segura. Está disponible para ser implementada en los tres sistemas operativos más utilizados: Windows, Mac OS X y Linux.
Dentro de las características que se pueden implementar se encuentra la opción de hacer backups fragmentados y además la posibilidad de mantener cifrada la billetera y fuera de la nube, para reducir los riesgos de ataques online.
Los desarrolladores de Armory son uno de los pioneros en el modelo de cold storage, donde la información sensible se almacena en una máquina que permanece sin acceso a Internet y todas las transacciones se hacen a través de una máquina que solamente permite consultar información del estado de la cuenta. Este modelo logra reducir la superficie de ataque aprovechable por un atacante para tratar de robar la información.
Electrum: modelo basado en la velocidad
Electrum es un cliente ligero de Bitcoin que está basado en un protocolo cliente-servidor, en el cual el archivo que contiene los bitcoins está cifrado y las transacciones se firmaron a nivel local, es decir que las claves privadas no se comparten con el servidor. Este modelo bajo licencia GNU GPL v3, permite que cualquier persona pueda auditar el código, lo cual reduce las posibilidades de puntos de falla.
Pero tal vez la principal característica de Electrum es la velocidad, ya que opera en conjunto con servidores descentralizados y redundantes de alto rendimiento que se encargan de las partes más complicadas del sistema de transacciones con Bitcoin. Además permite implementar un modelo multisig para dividir la autorización de las transacciones entre diferentes actores.
blockchain.info: una cuenta en línea segura
blockchain.info ofrece el servicio de Mi Monedero, que brinda la facilidad de hacer pagos en todo el mundo de manera anónima y gratuita, de una forma sencilla y segura utilizando una computadora o un dispositivo móvil. Este servicio utiliza algoritmos de cifrado AES para proteger la billetera de posibles robos. Antes de ser almacenada en los servidores, la información de los bitcoins cifra en AES de 256 bits. Además, el usuario puede cifrar la cuenta con una segunda contraseña de forma opcional, necesitando la principal para el inicio de sesión y la secundaria para retirar fondos.
Este modelo no difiere mucho al funcionamiento de PayPal, es decir que una vez que el usuario inicia una sesión tiene acceso al saldo y a una lista de las transacciones recientes. Este servicio gratuito permite además implementar un segundo factor de autenticación y realizar copias de seguridad de la información más sensible.
xapo.com: modelo híbrido de seguridad
Xapo combina lo mejor de los dos mundos: la conveniencia de una billetera con la seguridad de una bóveda de almacenamiento fuera de línea. Los bitcoins pueden ser manejados desde una aplicación móvil a través de un correo electrónico o incluso con una tarjeta de débito.
Además de estas facilidades para el uso, los bitcoins se almacenan cifrados en servidores fuera de línea que nunca estarán conectados a internet. Tal vez una de las características de este servicio es que los servidores de Xapo se encuentran detrás de muros de hormigón reforzado, una puerta blindada de acero y una jaula Faraday para bloqueo de ondas de radio.
Trezor: el dispositivo de bolsillo
Este dispositivo está diseñado para funcionar en sistemas operativos Windows, Mac y Linux, y es amigable, ya que con solamente conectarlo a la computadora se pueden accionar sus dos únicos botones: confirmar o negar la acción. Esto hace fácil su uso.
En contraste con las opciones anteriores o muchas otras similares, Trezor basa su seguridad en mantener las claves en un dispositivo que se puede llevar en el bolsillo. Esto reduce posibles ataques a servicios que estén basados en la web.
Si bien este dispositivo tiene costo, el código de Trezor es abierto, por lo cual puede ser auditado por un cualquier tercero independiente, agregando transparencia a su funcionamiento. Cada dispositivo tiene un código PIN único, por lo tanto si es robado se puede bloquear para no permitir que sea utilizado de forma fraudulenta.
No hay excusa para hacer transacciones seguras
Es claro que como usuarios contamos con herramientas para hacer transacciones de manera segura. Si bien es claro que garantizar la seguridad al 100% no es posible, pues siempre está la posibilidad de un fraude o ataque que comprometa una transacción, tomar los cuidados necesarios para proteger los bitcoins es la mejor posibilidad que tenemos para aprovechar todas las ventajas que ofrecen.