Desde hace unos días circulan varios avisos de seguridad relativos a unas falsas wallets hardware para criptodivisas, que básicamente son como las de verdad, que se usan para guardar criptos pero en realidad tienen código para robarte las divisas y/o contraseñas. Son como un caballo de troya de tomo y lomo: llegan a la gente –normalmente, propietarios de wallets de este tipo– como «actualización gratuita», «para mejorar la seguridad» y excusas similares. Una vez se enchufan piden los datos personales, los transmiten y… ¡Si te he visto no me acuerdo!
La idea de las wallets digitales hardware, que tienen el aspecto de dispositivos USB como los pendrives, es utilizarlas para el denominado cold storage o «almacenamiento en frío» de criptodivisas. Al no estar conectadas al ordenador ni a la red no se pueden hackear debido a vulnerabilidades típicas en la red o los servicios; tan sólo se conectan puntualmente para hacer alguna transacción, lo que reduce el riesgo de que algo vaya mal. De hecho se pueden guardar en una caja fuerte, o enterrar, y listo. Técnicamente es la opción más segura, mucho más que las wallets en forma de apps para el móvil o para el ordenador. Eso sí: tienen el problemilla de que si te olvidas la contraseña, adiós criptodivisas¹. Esto ha propiciado auténticas historias de terror dignas de un nuevo episodio de Black Mirror.
Las wallets que se han visto por ahí imitan a las de la marca Ledger, una de las más populares junto con Trezor y SafePal, pero no sería raro que aparecieran otras. La imitación incluye el pendrive, la caja, el logotipo e incluso un pequeño manual. Esta es la razón por la que también se desaconseja comprar wallets hardware de segunda mano en eBay o similares: puede que no sean lo que parece. Su precio normal es de unos 100 euros en sitios fiables; una inversión pequeña en caso de que mucho dinero dependa de ello. Los originales además vienen bien presentados, con hologramas de seguridad y otros detalles para identificarlos. Tampoco hay que usarlos si el paquete parece que haya sido abierto, que a saber por qué manos habrá pasado. Y, naturalmente, no hay que fiarse si vienen «de regalo» o con motivo de una «alerta de seguridad» de la que el fabricante no nos ha avisado previamente (todas tienen un proceso de actualización automático y notificado).
¿Funciona este engaño? Si los atacantes pueden afinar el tiro enviándosela a los propietarios de este tipo de wallets, incluso aunque un muy pequeño porcentaje «pique» los beneficios pueden ser notables. Imaginemos gente que las usa para almacenar entre 1 y 5 bitcoins; eso son ya unos 100.000 dólares de promedio. Si pueden fabricar wallets falsas a unos 10 dólares no es complicado enviar 1.000 a los usuarios de un foro especializado tras investigar sus direcciones físicas (fácil en cualquier red social) y esperar a que 1 de cada 1.000 personas caiga en la trampa. ¡Bingo! Así que… ¡cuidadín si usas una de estas!
_____
¹ La alternativa de seguridad al PIN de una wallet digital es una contraseña que se genera al configurarla y que suele consistir en 12 ó 24 palabras secretas a modo de contraseña maestra (ENERGY TRAIN DOWN MONDAY…) que se generan aleatoriamente con un diccionario en inglés. Con esas palabras de contraseña se puede «regenerar» la misma wallet si acaso se estropeara físicamente. De modo que hay que apuntarlas y guardarlas también como oro en paño, en el lugar más supersecreto posible y alejado de la wallet física. También ha habido problemas de seguridad porque hay gente poco experimentada que ha llegado a webs falsas –phishing– donde se les pedían las palabras secretas «como forma de acceso más seguro» o como «verificación de seguridad» y al escribirlas… ¡Zas! Alguien regeneraba la wallet en otro lugar del mundo, transfería las criptodivisas y… ¡Hasta luego Lucas! Pocas veces se puede insistir más en otra cosa: nunca, jamás, se teclean las palabras de la contraseña maestra para «acceder», sólo es necesario en el momento de regenerar la wallet hardware en caso de problemas.
Relacionado:
- La historia de terror digital de los 30.000 dólares en bitcoin perdidos por olvidar un PIN
- PayPal anuncia que añadirá criptodivisas como Bitcoin, Ethereum, Bitcoin Cash y Litecoin a su wallet y formas de pago
- Un robo de 1,8 milones de dólares en criptodivisas por el método más viejo del mundo
- Los últimos días de Satoshi: un relato detallado de los primeros años de Bitcoin mediante el análisis de los mensajes del foro BitcoinTalk