Parte 1: Billeteras “calientes” como parte del ecosistema informático
Hacer un poco de esfuerzo para entender las amenazas más comunes al elegir y manejar tu billetera de criptomonedas puede ayudar a asegurar tus cripto-activos a largo plazo.
Cuando se trata de afrontar diversas amenazas, no todas las billeteras de criptomonedas son iguales. Cada una está diseñada de diferente manera, para balancear seguridad con usabilidad, privacidad y otras características solicitadas, lo que suele atentar contra la ciberseguridad. La seguridad de tu billetera elegida es el resultado de la naturaleza de su código subyacente, lo que incita a la siguiente pregunta: “¿Qué tan bien adhirieron los desarrolladores la seguridad a sus principios de diseño cuando crearon esta billetera?”
Además, las prácticas de seguridad de la cadena de suministros, incluyendo tu proveedor de billetera virtual, junto con la criptomoneda que utilices, el ambiente evolutivo de ciberamenazas y tus hábitos de higiene cibernética combinados aportan mucho a la seguridad en general. Si bien estas consideraciones son relevantes para todo el software y los dispositivos, los usuarios pueden apreciar su importancia más agudamente con respecto a su propio uso de las aplicaciones financieras y su "dinero".
Aquí me enfoco en billeteras “frías” y “calientes”, las amenazas que rodean su utilización y algunas recomendaciones.
Mejorar la privacidad para los usuarios de billeteras de criptomonedas beneficia la seguridad
Cabe aclarar que, contrario a las clásicas billeteras de cuero, una billetera de criptomonedas no almacena efectivamente tu dinero. En realidad, una billetera guarda la llave privada que te proporciona el control de tus monedas virtuales y tokens para hacer transacciones en un blockchain.
Muchas billeteras utilizan un marco de determinación jerárquica para manejar claves y direcciones web. En este marco, una semilla maestra única se utiliza para generar múltiples claves público-privadas junto con direcciones web de billeteras para que diferentes direcciones puedan ser utilizadas cada vez que realizas una transacción.
Al realizar constantemente transacciones con diferentes direcciones de billetera, se vuelve más difícil para cualquiera que mire dentro de la blockchain asociar todos tus movimientos con una sola fuente, lo que mejora la privacidad. Mientras que la victoria para la privacidad tiene un efecto positivo, por sí sola no es suficiente para asegurar la seguridad.
Billeteras “calientes” conectadas a los ecosistemas cibernéticos de hoy: se necesita mucha confianza
Cuando Binance sufrió un ataque en una de sus billeteras “calientes” en mayo del 2019, los comerciantes de la plataforma perdieron un total combinado de 7000 monedas junto con códigos de autentificación multifactorial y claves API. La pérdida de códigos MFA es particularmente dañina para la protección de usuarios y conlleva un alto costo potencial para las compañías cuando no son suficientes para proteger sus datos. Afortunadamente para su clientela, Binance había configurado un Fondo de Seguridad de Activos para Usuarios que guardaba el 10% de todas las comisiones de todos los intercambios, lo que fue reembolsado a las víctimas tras el exitoso ataque.
Este hackeo también demuestra cómo un punto débil de las billeteras “calientes” reside justamente en su estatus de “siempre conectado al internet”. Estas billeteras son susceptibles a las mismas amenazas y necesidades de precaución que el resto del ecosistema cibernético.
Esto quiere decir que las amenazas a las billeteras pueden estar sujetas a los malos hábitos de los usuarios de internet: reutilizar contraseñas fáciles de adivinar, cliquear links constantemente, fallar en actualizar aplicaciones, descargar softwares “gratuitos” vía torrents e implementar los típicos malwares diseñados para robar como aplicaciones falsas, registros de contraseñas y clippers.
Clippers: tu portapapeles bajo ataque
Un Clipper es un tipo de malware que secretamente reemplaza el contenido de tu portapapeles para sacar ventaja de la tan utilizada acción de “copiar” y “pegar”. Con esta estrategia, el contenido copiado, como puede ser la dirección de la billetera, es reemplazado con contenido malintencionado como la dirección de billetera del atacante cuando “pegas”. El primer Clipper de Android que fue detectado en el Google Play Store (Android/Clipper.C) estaba oculto en una aplicación llamada MetaMask, una plataforma para
acceder a las aplicaciones descentralizadas creadas en el blockchain de Ethereum.
Android/Clipper.C fusionó las direcciones de billeteras de Bitcoin y Ethereum copiadas al portapapeles con aquellas que pertenecían a los atacantes. El mismo truco, que no fue detectado durante años, fue utilizado por una versión “troyanizada” del Tor Browser. Los usuarios preocupados por su privacidad que fueron engañados para que descarguen esta versión del explorador en sus máquinas Windows sufrieron sus direcciones de Bitcoin subrepticiamente reemplazadas cada vez que visitaban mercados darknet para realizar transacciones. Esto les permitió a los operadores de malware robar al menos 4,8 Bitcoins.
Sitios falsos de acceso ¡Casi me engañan!
No es inusual que los desarrolladores maliciosos suministren versiones móviles de billeteras de las populares aplicaciones para desktop de las bien conocidas plataformas de intercambio de criptomonedas. La idea detrás de estos tipos de campañas maliciosas es llenar el vacío que queda entre el nombre reconocido de las apps y atacar a potenciales víctimas. En el caso que una aplicación móvil sea ofrecida por una marca, la versión falsa atenta a robar clientes que están buscando a la real sin ser conscientes de la estafa.
Las víctimas que descargan una de estas falsas criptomonedas son usualmente presentadas con una página de acceso o login que está buscando contraseñas o preguntas claves. Con tan solo una de estas piezas de información en mano, los operadores maliciosos pueden rápidamente ganar control de tu billetera. Algunas variantes de la versión falsa de MyEtherWallet, por ejemplo, hizo un phishing doble para ambas claves, solo para estar seguros.
Otra estafa utilizada por estas aplicaciones falsas es presentar víctimas con una clave pública para “tu” nueva billetera, presentada como texto copiable y/o escaneable como QR. Las instrucciones son simples: “¡Envía tus monedas a tu nueva billetera!” La trampa es que no tienes una clave privada, los operadores del malware sí. Luego de transferir tus criptomonedas puedes decirles “adiós para siempre”.
Algunas aplicaciones falsas suben la apuesta al ofrecer billeteras que "administran" múltiples criptomonedas para comerciar en un intercambio, una artimaña perfecta para echar mano de más de una de sus billeteras. La billetera móvil falsa de Trezor, por ejemplo, ofrece una billetera para cada criptomoneda (13 en total) presentando víctimas con múltiples claves públicas a “cubrir sus diversas cripto-necesidades”.
Finalmente, existen aplicaciones móviles maliciosas que atentan a superponer sitios falsos de acceso en las páginas legítimas de las aplicaciones financieras. Afortunadamente, a través de la función de Protección de Pagos, ESET Mobile Security previene a las aplicaciones de superponerse sobre las pantallas reales de las aplicaciones financieras. Obviamente, los trucos empleados por las aplicaciones falsas aplican de igual manera sobre las de desktop, al igual que los sitios de phishing aparecen como sitios reales de login en tus billeteras favoritas.
Más información sobre Fintech:
Los peligros de las billeteras de criptomonedas y cómo evitarlos-Parte 2
FinTech: los riesgos de digitalizar tus finanzas en la era COVIDiana
Comercio electrónico: guía para el principiante ciberseguro
Banca en línea, abierta o móvil: cómo lograr un manejo seguro de tu dinero