Supongamos que alguien descubre que posees una cantidad considerable de criptomonedas. En este caso, podrías ser atacado directamente, y alguien podría intimidarte para que entregues las claves privadas de tu wallet o ponerte en la situación de transferir tus activos utilizando un arma o una simple herramienta común, como un martillo, un destornillador o una económica y vieja llave inglesa de poco valor. Este tipo de ataque se conoce como “5$ wrench attack“, es decir, ataque con llave inglesa de 5 dólares.
No importa cuán seguras estén tus claves en tu hardware wallet o en cualquiera de tus dispositivos, ningún escudo informático puede protegerte de este tipo de ataque. Pero no te desesperes, aún no está todo dicho. Lee este artículo y estudia las técnicas de privacidad y ofuscación para vivir tranquilo.
¿Qué es un “5$ Wrench Attack”?
Los ataques violentos a poseedores de criptomonedas no son una novedad. Los profesionales de la seguridad han advertido preventivamente desde los primeros días de Bitcoin. Estos ataques son normalmente conocidos como $5 Wrench Attack (ataques con llave inglesa de 5 dólares).
Este tipo de ataque presupone que la forma más mezquina de obtener una contraseña o alguna información privada útil de ti, es golpearte hasta que pierdas el conocimiento con una llave inglesa de apenas 5 dólares. No hace falta ser un hacker para este tipo de ataque…
Desafortunadamente, dado que las operaciones en criptomonedas son pseudónimas, en parte, es difícil detectar al atacante una vez que le has proporcionado acceso a tus claves privadas para verificar y rastrear el robo y, por lo tanto… ¡adiós!
Paradigma del “5$ Wrench Attack”
Un “5$ Wrench Attack” no es una fantasía paranoica. Los poseedores de criptomonedas ya han sufrido este tipo de ataque. En la red puedes encontrar numerosos artículos al respecto, buscando online “5$ Wrench Attack”. Probablemente algunos artículos sean falsos, pero el riesgo es real.
¿Qué debemos aprender de esto?
Considera si los hackers obtienen información sobre ti y tuvieran malas intenciones. En tal caso, podrían aprovechar el cruce de datos con declaraciones u otra información encontrada en redes sociales donde los traders se reúnen para presumir de cuánto dinero ganan intercambiando Bitcoin con otras criptomonedas, por ejemplo en Telegram o Discord. Si encontraran a alguien bastante conocido, podrían intentar atacarlo.
Para eludir un temido 5$ Wrench Attack tras las diversas filtraciones online, deberías tener en cuenta lo siguiente:
No reveles que posees Bitcoin u otras criptomonedas.
Elimina las publicaciones en redes sociales, si crees que pueden hacerte vulnerable a ataques.
Incluso eliminar tus cuentas en redes sociales podría ser un paso a considerar.
Citando a Jameson Lopp, uno de los máximos expertos en la materia, así como cofundador y CTO del wallet CASA: _”asegúrate de poseer un buen hardware wallet para proteger tus activos.”_
Múltiples soluciones pueden protegerte de estos ataques privados. Todas implican compromisos con la seguridad y no siempre son fáciles de aceptar. Después de reflexionar largamente, considero que un wallet multi-sig geográficamente distribuido es la solución más adecuada para la posesión segura de bitcoin de forma autónoma.
Los sistemas multi-sig de fabricantes acreditados como Trezor, Ledger y Coldcard pueden utilizarse como solución. En resumen, esto se convertirá en la práctica estándar para la auto-custodia en la sociedad bitcoin que se está perfilando y los ladrones estarán cada vez más desalentados de intentar estos ataques.
Cómo protegerse:
Solución 1: Wallet señuelo
Un wallet señuelo es aquel que llenas con suficiente bitcoin para satisfacer a un ladrón, pero no tanto como para no estar dispuesto a cederlo en caso de un ataque sorpresa. La mayoría de los bitcoiners utilizan un wallet “hardware” para sus operaciones diarias. Normalmente se trata de un wallet listo para usar, que podría servir adecuadamente como wallet señuelo.
Los factores esenciales en este caso son que contenga activos suficientes para evitar un ataque, pero no tantos como para destruirte financieramente, y que el ladrón no tenga información más detallada sobre ti o tus activos.
Se supone que quien ataca es técnicamente experto y podría esperar localizar el hardware wallet en tu casa. En este caso, el señuelo podría ser simplemente una suma adecuada.
Además, ColdCard Mk3 y Mk4 tiene un PIN que puede ayudar en estas circunstancias, permitiéndote tener carteras individuales en el mismo dispositivo que provienen de la misma frase semilla en BIP39, la función llamada “Duress pin“. Una puede ser la cartera principal sin que el atacante entienda el truco al no conocer tus PIN.
ColdCard también proporciona un elemento opcional “Brick Me PIN” que elimina físicamente un determinado componente en el dispositivo, destruyéndolo definitivamente en caso de ataque. Sin embargo, esto no hace nada para garantizar que la Recovery seed esté segura en tu caja fuerte. Y, por cierto, debes tener una caja fuerte.
Solución 2: Actualiza tu seguridad doméstica
Independientemente de la posesión de criptomonedas, es buena práctica tener un alto grado de seguridad doméstica. Por ejemplo, cierra siempre con llave las puertas aunque estés en casa. Evita dejar tus llaves de casa en lugares no seguros. Considera el uso de sistemas de alarma con sensores de movimiento y cámaras; hoy en día existen sistemas domóticos de seguridad no muy costosos e ideales para asegurar tu hogar.
Solución 3: Dispersión geográfica de tus claves privadas
Este es un estratagema interesante. Cuando inicializas tu Hardware Wallet normalmente tendrás una “recovery seed” en BIP39, es decir, 12, 18 o 24 palabras generalmente inglesas con sentido completo para custodiar secretamente. Estas palabras no son más que tu SEED, es decir, la clave privada de la que se derivan todas tus direcciones públicas.
Es recomendable transferir esta secuencia de palabras a un cold wallet. En el sitio, en la sección accesorios, encontrarás muchos como por ejemplo el Cryptosteel Capsule. O si quieres hacerlo todo por tu cuenta, puedes utilizar Keytala y crear tu propio cold wallet.
Lo interesante es que podrías subdividir físicamente la semilla en varias partes y esconderlas en varias posiciones más o menos distribuidas, así tendrías tiempo de encontrar una solución al ataque. Al subdividir las partes, recuerda mantener el orden exacto de las palabras, de lo contrario arriesgarás perderlo todo.
Solución 4: Wallet multisig (dispersos geográficamente)
Como se mencionó antes, los mejores fabricantes de hardware wallets, como Coldcard, Ledger, Bitbox02, Trezor, ofrecen la posibilidad de crear wallets multisig, es decir, tener más claves privadas para firmar una transacción, teniendo dos o más claves, o dispositivos diferentes, según la combinación más común 2-3 o 3-5 hasta 16 claves (ver shamir backup).
Esta técnica, unida al hecho de custodiar las claves en lugares geográficamente diferentes, es ideal para evitar ataques y ganar tiempo valioso.
Estas cuatro soluciones se entrelazan con la gestión de la privacidad, un tema muy importante y difícil de perseguir. En mi opinión, todo es un compromiso que toca muchos aspectos del uso de la tecnología, y no hablo solo del uso de los hardware wallets, sino de tu forma de utilizar internet o mejor dicho, los dispositivos online.
Por lo tanto, presta atención a estos cuatro aspectos relacionados con la privacidad:
Mantén la privacidad y un perfil bajo, _“¿Qué es bitcoin? Nunca he oído hablar de ello.”_
Evita llamar la atención con pegatinas y gadgets relacionados con las criptomonedas.
Potencia tu seguridad doméstica.
Prepara un wallet señuelo.
Hoy en día los hackers prefieren técnicas de ingeniería social, y por lo tanto obtener la mayor información posible sobre ti. Seguramente intentarán extorsionar tu recovery seed haciéndose pasar por otra persona para pillarte desprevenido, o conociendo tu operador telefónico intentarán hacer SIM swap y burlar la autenticación de dos factores. Utiliza siempre herramientas hardware como Yubikey o Nitrokey para asegurarte de que el acceso a tus dispositivos esté protegido.
Conclusiones
La Auto-Custodia es un mundo muy complejo. La clave de partida se llama Hardware Wallet y aquí en el sitio encontrarás los mejores modelos presentes en el mercado. ¿Estás listo para tomar la píldora roja o mejor dicho, naranja?
Mi consejo más sensato es utilizar los hardware wallets cuando se trata de cifras razonables. Si las paranoias comienzan a tomar el control y tus habilidades no son excepcionales, confía en un buen servicio de custodia. De hecho, he querido crear el sitio www.chiaviprivate.it para promover el servicio de custodia multisig y multinivel ofrecido por CheckSig, líder italiano de los servicios de custodia de claves privadas. En el sitio encontrarás el formulario para obtener la prueba gratuita y sin compromiso de tres meses. ¿Qué esperas? Profundiza en el servicio aquí: MEJOR SERVICIO DE CUSTODIA BITCOIN
Créditos de las fotos:
Foto de Elti Meshau en Unsplash
Foto de sebastiaan stam en Unsplash
Foto de Chris Kendall en Unsplash
Foto de mostafa meraji en Unsplash
