Importante: Antes de continuar con este tutorial, asegúrese de haber leído y comprendido este Manual de Buenas Prácticas de Seguridad de Bitcoin y Criptomonedas.
El asesoramiento proporcionado sobre el comercio de criptomonedas y/o bitcoin tiene únicamente fines informativos y educativos y no constituye asesoramiento financiero ni recomendaciones de inversión. El mercado de criptomonedas, incluido el bitcoin, es muy volátil y presenta riesgos significativos. Cualquier decisión de inversión o transacción realizada sobre la base de la información proporcionada es responsabilidad exclusiva del usuario. Le recomendamos encarecidamente que realice una investigación exhaustiva, consulte a asesores financieros profesionales y considere su propia situación financiera y tolerancia al riesgo antes de participar en cualquier actividad relacionada con criptomonedas y/o bitcoin. No nos hacemos responsables de ninguna pérdida o daño resultante del mal uso de la información proporcionada.
Buenas prácticas de seguridad al operar con bitcoin
1. Nunca pierdas o destruyas una clave privada
La clave privada es el componente fundamental de un wallet (monedero) bitcoin. Si tienes la clave privada, tienes el control de los fondos (de los bitcoin).
Una clave privada puede tener, por ejemplo, un aspecto como este:
p2wpkh:KwpdP6aQQJ2yhspLowPLMfrSbwNdo9pu4QkqVkNuhUZAwTqnekzA
Pues bien, ahora que tienes la clave delante, si este monedero tuviera dinero sería tan tuyo como mío, porque conociendo esa clave puedes llevarte los bitcoin a otro monedero cuando quieras.
Es muy frecuente crear monederos al vuelo y utilizarlos como un punto de paso del dinero (bitcoin) por el motivo que sea. Seguramente, no vayas a volver a utilizar ese monedero nunca más en tu vida.
No obstante, por seguridad, almacena esa clave privada en lugar seguro. Recuerda que es la llave última a tus fondos.
No pierdas ninguna clave privada, y mucho menos la destruyas. Aunque creas que nunca más la vas a usar.
2. Nunca enseñes a nadie tu clave privada
A efectos prácticos, quien conoce la clave privada posee (controla) los fondos.
Si nadie más que tú la ve, nadie más que tú puede sacar los bitcoin de ese monedero a otro monedero.
Salvo que quieras regalar tus bitcoin, nunca enseñes a nadie tu clave privada.
3. Nunca permitas que alguien le haga una foto a tu clave privada
El común de los mortales sería incapaz de memorizar una clave privada en pocos segundos. Pero realizar una fotografía con un teléfono móvil es un acto casi instantáneo que además puede pasar fácilmente inadvertido.
Poseer una fotografía de la clave privada es, a efectos prácticos, ser dueño del dinero (bitcoin) de ese monedero.
Así pues, nunca permitas que alguien le haga una foto a tu clave privada.
4. No le saques una foto a tu clave privada
Tu teléfono móvil es un dispositivo lleno de agujeros de seguridad.
Recuerda que cada persona o empresa que pueda ver la clave privada será tan dueña de los fondos como tú y podrá llevárselos fuera de tu alcance.
Realizar una foto de tu clave privada con tu teléfono móvil, incluso aunque éste no estuviera expuesto a agentes maliciosos, equivale a compartir el control de tus fondos con el fabricante del dispositivo, con el desarrollador del sistema operativo, con servicios en la nube que copian y sincronizan los archivos multimedia de tu dispositivo y numerosos agentes más que funcionan en segundo plano.
No le saques una foto a tu clave privada. Ni con tu móvil, ni con una webcam, ni con ningún otro dispositivo.
5. Nunca introduzcas tu clave privada en ninguna página web
Ninguna página web necesita tu clave privada. Por ningún motivo.
Si alguna persona, empresa, servicio o página web te pide tu clave privada, seguramente sea con el propósito de robarte tus bitcoin.
Si lo que necesitas es realizar un pago en bitcoin, o enviar tus bitcoin a una persona o empresa, en lugar de facilitar tu clave privada, haz tú el envío personalmente mediante una transferencia bitcoin, de tu monedero a su monedero. (De tu dirección a su dirección).
Estas transferencias se hacen en gestores de wallets software (como Electrum o Exodus, por ejemplo). En ellos sí necesitarás introducir tu clave privada en algún momento para poder emitir la transferencia bitcoin.
Por todo esto, nunca introduzcas tu clave privada en ninguna página web.
6. La dirección pública tampoco debe ser mostrada si no es estrictamente necesario
Esta es la dirección correspondiente a la clave privada mostrada más arriba:
bc1qhg8sc48gejtndxvn822tlp3uh76t45kgwlpcu4
Sabiendo esta dirección puedes:
- Ver el saldo actual de este monedero (de esta dirección).
- Consultar todo el historial de transacciones de esta dirección (entradas y salidas de dinero desde el principio de los tiempos).
- Enviar dinero a esta dirección. (Y, si este monedero te pertenece, puedes recibir pagos y regalos o donaciones en esta dirección).
Para tu información, la dirección del monedero bitcoin se calcula a partir de la clave pública, y ésta a su vez se calcula a partir de la clave privada.
privada -> pública -> dirección
Esto quiere decir que, si sólo tienes la clave privada, puedes deducir la dirección. Pero si tienes la dirección, no puedes deducir la clave privada.
Como enseñar la dirección implica revelar información (saldo e historial de transacciones de tu dinero), la dirección pública tampoco debe ser mostrada si no es estrictamente necesario.
7. Discreción es seguridad
La mejor forma de lograr que nadie robe tus fondos es que nadie se entere de que los tienes.
Por eso, lo más recomendable es que no fardes de tus posesiones de criptomonedas.
En particular:
- No digas a nadie que has comprado bitcoin (o cualquier otra criptomoneda).
- No digas a nadie cuánto bitcoin posees.
- No digas a nadie dónde guardas tu wallet.
Incluso es aconsejable que no reveles a nadie que has comprado un wallet.
Discreción es seguridad.
8. Nunca generes monederos gratuitos desde páginas web
O bien estas mismas páginas web son fraudulentas, o en cualquier momento pueden ser hackeadas por terceros y volverse fraudulentas.
Nunca generes monederos gratuitos desde páginas web.
9. Sé consciente de que cada duplicado de la clave privada es una vulnerabilidad
Si tienes tu clave privada en un único lugar, es probable que te entre cierto miedo a perderla.
Aunque el pensamiento habitual es el de generar una o varias copias de la clave privada, estas copias se convierten a su vez en el propio monedero. Tendrás que proteger y ocultar todas estas copias de miradas ajenas. Y esto, en la práctica, resulta francamente difícil.
La mejor solución es tener tu clave privada en un único lugar, en un formato o en un dispositivo difícil de extraviar y que sea sólido y duradero.
10. Todo esto que hemos hablado sobre una clave privada, aplica por igual a una frase semilla
Una frase semilla o semilla nemónica, es una serie de palabras que codifican uno o varios monederos (de bitcoin o de otras criptomonedas).
Una semilla de este tipo, podría tener este aspecto:
sauce disagree document tattoo car bottom caught monkey match best candy when
Al igual que una clave privada, el conocimiento de esta información equivale al control de los fondos, por lo que una semilla nemónica debe ser celosamente protegida y nunca debe ser destruida o extraviada.
11. No confíes tu clave privada o semilla nemónica a un dispositivo electrónico
Los dispositivos electrónicos son prácticos y versátiles; pero también son sumamente frágiles.
Por norma general, la electrónica se corrompe ante mojaduras y temperaturas extremas, incluso aunque la exposición sea breve. Igualmente, la electrónica es frágil y no suele resistir impactos o caídas.
Además, el firmware se queda rápidamente obsoleto y requiere actualizaciones periódicas para tapar los agujeros de seguridad que van surgiendo en el día a día.
Es por esto que los dispositivos electrónicos se degradan por el mero paso del tiempo, y por ello no debes confiar tu clave privada o semilla nemónica a un dispositivo electrónico.
12. No confíes en un respaldo en papel de tu clave privada o semilla nemónica
Los humanos tendemos a extraviar los papeles, especialmente si son pequeños y/o los hemos guardado en un lugar discreto.
Existen hardware wallets (monederos electrónicos) que normalmente ofrecen un respaldo en papel.
Sin embargo, es muy habitual que este papel se haya extraviado para cuando se necesita.
También es frecuente que el accidente que estropeó el dispositivo (un pequeño incendio o un exceso de humedad) también haya destruido el papel de respaldo.
No confíes en un respaldo en papel de tu clave privada o semilla nemónica.
13. Compra el wallet en la web oficial del fabricante
Si vas a adquirir un wallet para tus criptomonedas, como por ejemplo Material, asegúrate de comprarlo en la tienda oficial del fabricante, sea ésta online o física.
Existen falsificaciones de los principales monederos para bitcoin y otras criptomonedas. Los falsificadores fabrican monederos con una apariencia idéntica a la del producto oficial, pero que proporcionan direcciones cuyas claves privadas están en manos de los estafadores.
Para evitar comprar una falsificación en lugar del producto original, algunos consejos son:
- No accedas a la página web del fabricante a través de ningún enlace. Si te sabes la URL de memoria, tecléala. Y, si no, encuéntrala a través de un buscador reputado.
- Revisa cuidadosamente la URL del fabricante, verifica cada caracter y comprueba su certificado SSL (que le da el encabezado https://).
- En caso de duda, averigua un teléfono de contacto de la empresa y verifica con ellos personalmente cuál es la dirección web (URL) de su tienda oficial.
- Jamás compres un monedero en tiendas de terceros, salvo que sean distribuidores oficiales de la marca, por lo que estarán indicados en la página web oficial del fabricante.
- Si decides comprar en Amazon, asegúrate de que el comercializador es el fabricante, o el propio Amazon. No obstante, si puedes evitar comprar en Amazon en favor de la propia tienda online del fabricante, hazlo.
Compra el wallet en la web oficial del fabricante.
14. No almacenes tu clave privada sin encriptar en un archivo del ordenador
Los ordenadores, y en especial los teléfonos móviles, son dispositivos sumamente expuestos al robo de datos y hackeos. Salvo que tengas elevados conocimientos de ciberseguridad, tus datos no están seguros en ellos.
En el caso de que decidas guardar tu clave privada (o claves privadas, o semillas nemónicas, etc) en un ordenador o dispositivo móvil, no las anotes en un fichero de texto que cualquier persona pueda abrir. Cífralo (encríptalo) y protégelo con una contraseña segura. Existe una amplia gama de software dedicado a este propósito para los distintos sistemas operativos. Infórmate bien para usarlo con seguridad.
15. Si usas contraseñas, que sean seguras
A efectos prácticos, para un experto que pretende acceder a tus datos, una contraseña débil equivale a no tener contraseña.
Algunas pautas básicas son:
- No reutilices contraseñas. (No asignes contraseñas que ya hayas utilizado antes o en otros servicios).
- No uses contraseñas básicas, como “123456789”, “contraseña”, “password123”, “qwerty”, “111111”, “1q2w3e”, etc.
- No crees contraseñas con tu fecha de nacimiento, el nombre de tus hijos, el nacimiento de tus hijos o similares.
- Mezcla letras mayúsculas y minúsculas e incorpora números y símbolos.
- La contraseña debe ser larga (16 caracteres o más).
Infórmate bien sobre cómo elegir contraseñas que sean fuertes y seguras. Hay mucha y muy buena información sobre ello en internet.
Si vas a usar contraseñas, cerciórate de que sean realmente fuertes.
16. Si trabajas con claves privadas, el entorno informático debe ser absolutamente seguro
Por norma general, es más fácil operar con seguridad en un ordenador que en un teléfono móvil.
Un ordenador que se utilice normalmente para trabajo u ocio no es apto para la operativa segura con bitcoin y otras criptomonedas.
Para minimizar riesgos, lo ideal es operar con un sistema operativo open source, como Linux, que esté recién instalado, y únicamente con los programas o paquetes imprescindibles para realizar las operaciones.
Siempre que sea posible, toda la operativa ha de realizarse con el equipo desconectado de cualquier red (wifi, ethernet, bluetooth, etc.), y conectarse únicamente durante los momentos que requieran conectividad.
Para consultas de saldo o recepción de fondos no es necesario un alto nivel de seguridad, puesto que no entra en juego la clave privada, sino únicamente la dirección del monedero. Pero, para emitir fondos (hacer una transferencia a otra dirección) sí es preciso aportar la clave privada o semilla nemónica del monedero, y en este punto se pone en juego la seguridad de los fondos.
Cuanto mayor es el importe a gestionar, o más crítica es la seguridad de las operaciones, más importante resulta que el entorno informático sea seguro.
Para mover una cantidad menor de dinero, como puedan ser pequeños pagos, no importa realizarlo desde el teléfono móvil o de un ordenador de uso diario pues, al fin y al cabo, el riesgo es bajo.
Pero cuando se trata de realizar una transferencia de fondos significativa, el entorno informático debe ser seguro.
17. No mantengas el grueso de tus bitcoin en un ordenador o dispositivo móvil
Como ya se ha explicado, los ordenadores y teléfonos móviles o tablets en general son dispositivos plagados de vulnerabilidades y agujeros de seguridad.
Por comodidad, es razonable mantener en el móvil una cantidad de bitcoin pequeña que se pueda utilizar para realizar pagos o pruebas; pero el grueso del capital debe estar en un almacenamiento frío de calidad.
No mantengas el grueso de tus bitcoin o criptomonedas en un ordenador o dispositivo móvil.
18. Recuerda que las transferencias bitcoin son irreversibles
Tanto con bitcoin como con la mayoría de las criptomonedas, las transferencias son irreversibles.
Los fondos que se envían a direcciones incorrectas, aunque sea tan solo por un único caracter equivocado se convierten instantáneamente en fondos perdidos. Esto quiere decir que, simplemente, no hay margen para errores.
Si tienes que realizar una transferencia de fondos importante, suele ser una buena idea descomponerla en dos: Una primera transferencia pequeña de prueba y una segunda con el grueso restante, una vez que has confirmado que los fondos iniciales han llegado a destino correctamente.
La transferencias bitcoin son irreversibles.
19. Procura escanear o copiar-pegar direcciones en lugar de teclearlas
Si tienes que proporcionar una dirección bitcoin de destino, ya sea para realizar un pago o para recibirlo, no te arriesgues a copiar visualmente la dirección leyéndola caracter por caracter y tecleándola a mano. Podrías confundirte, especialmente en caracteres simiares como los unos, las eles, las íes; o los ceros y las oes, por ejemplo.
Si tienes un QR que puedas escanear, o si tienes la posibilidad de copiar-pegar electrónicamente la dirección bitcoin, el riesgo de error se reduce enormemente.
Sea como sea, antes de enviar los fondos, revisa exhaustivamente que has introducido la dirección correcta. Pues, como sabes, en caso de error, no hay vuelta atrás.
Procura escanear o copiar-pegar las direcciones bitcoin en lugar de teclearlas a mano.
0 comentarios