La seguridad de los bitcoin está constantemente en entredicho ¿Hasta qué punto son seguros? ¿Cómo sé que un malvado hacker no me los va a robar? ¿Qué broker me ofrece seguridad para operar con ellos? (La respuesta a esta última pregunta es Plus500, que te permite operar CFD de criptodivisas en general de forma segura).
La normativa internacional de mercados requiere que te informe de que el «80.6% de las cuentas de inversores minoristas pierden dinero en la comercialización con CFD con este proveedor. Por favor, asegúrate de entender el funcionamiento de los CFD y si puedes permitirte asumir un riesgo elevado de perder tu dinero«.
Tres conceptos básicos sobre seguridad informática
1.- La parte más débil de la seguridad siempre son las personas
De nada sirve tener una contraseña de acceso a tu ordenador, si luego la escribes en un post-it y lo pegas en el monitor. (Todos hemos visto esta extraña práctica).
Con los bitcoin sucede igual: Está en tu mano hacer que sean más o menos difíciles de alcanzar.
Ya te adelanto que, principalmente, se trata más de una cuestión de buenas prácticas que de tecnología.
2.- Cualquier sistema puede ser violado
Al igual que en el mundo físico, donde todos los establecimientos pueden ser atracados, todos los coches pueden ser abiertos y todas las cajas fuertes pueden ser vulneradas. En el mundo de la informática sucede exactamente igual: Que un sistema sea violado se reduce a una cuestión de recursos y empeño por parte del atacante.
Hay que entender que no existe el sistema invulnerable. En cambio, todo se cifra en resistencia al ataque. Un sistema puede ser más o menos resistente. A ti lo que te interesa es un buen compromiso entre resistencia y manejabilidad.
La contraseña del post-it en el monitor es muy cómoda, pero totalmente inútil porque no presenta la menor resistencia al ataque (y poner «1234» como PIN tampoco se le aleja mucho).
Hoy en día el nivel de resistencia que tenemos que interponer se ha elevado, pero a su vez contamos con grandes herramientas para levantar fortísimos muros con muy poco trabajo por nuestra parte.
3.- Sólo necesitas ser más seguro que tus vecinos
No necesitas correr más que el león para evitar éste que te coma. Sólo necesitas correr más que tu compañero.
Igualmente, no necesitas ser ridículamente seguro, sino simplemente más seguro que la inmensa mayoría de la gente.
Si te mantienes más seguro que la media, prácticamente te garantizas permanecer libre de incidentes. El atacante obtendrá el mismo beneficio con mucho menor esfuerzo persiguiendo a los incautos en lugar de hacerlo contigo.
El segundo eslabón más débil
Si ha quedado claro que el eslabón más débil de la cadena de seguridad en el manejo de los bitcoin eres tú, ahora debes saber que el segundo eslabón más débil suele ser aquella parte implicada cuya principal misión no es la seguridad, sino en dar otro servicio relacionado.
En concreto, los mercados, donde puedes comprar y vender bitcoin centrarán sus esfuerzos en ser más eficientes, más cómodos de utilizar y en ofrecer más y mejores funcionalidades a sus usuarios. Procurarán ser mínimamente seguros, pero no es ahí donde invertirán el grueso de sus recursos.
Sin embargo, sí hay servicios que te permiten resguardar tus bitcoins, protegiéndolos con fuertes y resistentes muros.
Así pues, lo lógico es que compres y vendas tus bitcoin en los sitios habilitados para ello (en el ejemplo real del que hablamos anteriormente, trabajamos con LocalBitcoins.com), pero que luego guardes los bitcoin en algún lugar más seguro que tu cuenta personal en alguno de estos puntos de intercambio.
En mi caso, he decidido guardar mis bitcoin en BlockChain.info, que se ha hecho muy popular por tener un servicio de monedero cómodo y seguro.
¿Qué es un monedero (wallet) de bitcoin y cómo obtenerlo?
Se trata de un lugar donde puedes tener tus bitcoin y éste tiene una dirección asociada, como si se tratara de un número de cuenta bancaria.
Por ejemplo, esta podría ser una dirección bitcoin: 2elcjsokNGT9P1dPqaCGPx7SB9yvbSJRC
Así pues, si quieres seguir mis pasos en el proceso de llevar tus bitcoins de tu lugar de intercambio a un monedero seguro, lo primero que debes hacer es abrirte una cuenta (crear un monedero) en BlockChain.info
Asegúrate de darle una contraseña segura. No caigas en las contraseñas típicas (¡Nada de fechas de nacimiento!) ni reutilices contraseñas de otros sitios web.
Si no se te ocurre ninguna buena contraseña (y lo normal es que así sea), lo mejor es generar un chorizo ininteligible automáticamente (que a su vez apuntarás en un lugar seguro). Utiliza cualquier página como esta (StrongPasswordGenerator) para obtener un password seguro sin romperte la cabeza.
Autenticación en dos pasos
Esencialmente, consiste en que te instales esta aplicación en tu smartphone: Google Authenticator.
Esta aplicación simplemente genera una contraseña de 6 cifras que permanece viva durante unos segundos.
Así pues, cuando te vas a loguear en un sitio web, no sólo pones tu nombre de usuario y contraseña de siempre, sino que, si has activado la autenticación en dos pasos, el sitio web te pedirá que consultes tu smartphone (en la aplicación de Google Authenticator) y le digas además la contraseña de 6 cifras que es válida durante esos pocos segundos.
Puedes utilizar este tipo de contraseñas efímeras, no sólo para acceder al sitio, sino también para firmar operaciones sensibles, como es el caso de una transferencia bitcoin, por ejemplo.
Transferir tus bitcoin al monedero seguro
Doy por hecho entonces que tienes tu cuenta creada en LocalBitcoins.com, con la autenticación en dos pasos activada, y que es allí donde están tus bitcoin que acabas de adquirir.
A su vez, tienes un monedero creado y vacío en una cuenta de BlockChain.info, en la que también has activado la autenticación en dos pasos.
Paso 1: Nos vamos a la cuenta de BlockChain.info y nos logueamos en ella
Observa como nos pide además la contraseña de Google Authenticator.
La consulto en mi móvil y, en este momento, es 991699:
Una vez dentro, puedes observar en el apartado «Wallet» que el «Final Balance» es 0.00BTC.
(Si no me equivoco, esta página se puede poner en español y en un millón de idiomas más).
La he emborronado (donde pone «This Is Your Bitcoin Address»), pero fíjate que aquí es donde puedes obtener la dirección del monedero. Es tu número de cuenta bitcoin.
Copiamos esta dirección bitcoin.
Paso 2: Nos vamos a LocalBitcoins.com
Puedes observar como mi saldo en bitcoin es de 2.5BTC:
Lo que quiero es enviar esos bitcoin al monedero seguro de BlockChain.info.
Es tan sencillo como cubrir los campos:
- Pegamos la dirección de destino que habíamos copiado de BlockChain.info.
- Introducimos la cantidad de bitcoin a transferir.
- Y consultamos el smartphone para firmar la transacción con la autenticación en dos pasos.
Si lo has hecho correctamente, tras pulsar el botón azul («Send from wallet») el balance cae a cero (o lo que corresponda en tu caso) y te sale un cartelito verde informando de que la operación se ha realizado con éxito.
Al cabo de unos segundos, oirás con un «blip», que tu monedero en BlockChain.info se ha actualizado y comprobarás que ahora refleja el nuevo saldo en bitcoins.
Un paso más allá: El almacenamiento en frío
Si tienes una gran cantidad de bitcoin, seguramente quieras incrementar el nivel de seguridad al máximo sobre la mayor parte de tu capital en bitcoin y reservar tan solo una porción pequeña para tus movimientos más habituales.
En este caso, existe el llamado almacenamiento en frío. Por «frío» se entiende lo que no está conectado a la red y por «caliente» lo que sí lo está.
Así, lo habitual en estos casos es que te lleves tus bitcoins a un monedero que no esté online, sino en un soporte (memoria USB, disco duro, etc.) alejado de redes. Además, es recomendable encriptar (cifrar) este soporte de memoria mediante software especializado, para que únicamente tú puedas acceder a su contenido.
De este modo, puedes guardar tus bitcoin en un soporte físico extraíble, y además puedes hacerle copias de seguridad físicas independientes.
Te espero en los comentarios para leer tu aportación y conocer tu opinión ¡Y por favor, retuitea este artículo!
? curioso, así es como se proteje todo. ¿El almacenamiento en frío es válido para BullionVault?
Las medidas de seguridad que implementa blockchain.info (para entendidos)
http://bitcoin.stackexchange.com/questions/5249/how-secure-is-blockchain-info
Aunque cómo decía James Bond: Nunca es suficiente.
Hola, hay muchisimas formas de obtener bitcoins que no involucran a localbitcoins (de hecho es de las peores, pues los vendedores de localbitcoins adquieren los BTC en algun exchange tipo bitfinex, bitstamp, kraken…le meten una comision y van a localbitcoin).
Es util pero no es la mejor opcion, aqui hay varias opciones bastante bien explicadas por si a alguien le sirve de ayuda http://sobrebitcoin.com/bitcoin/
Saludos a todos!
buenas,buena explicación como puedo conseguir Tickers 1.3,gracias
Hola, aunque este no es el tema del comentario en el blog, entre estas 2 claves:
1.- Perr0***************
2.- a?E=&689as8#¿aT
No hay mucha diferencia si se trata de buscar por «fuerza bruta», la primera es más larga y, en principio, se tardaría más en encontrar, pero también el carácter usado «*» está bastante antes que letras y números, por lo que finalmente el tiempo de encontrarlas serían muy similares.
De todas formas, en la práctica es indiferente una longitud de 16 o de 21, hay otros factores que hay que tener en cuenta y son más importantes en la vida real.
Disculpa, Uxío, porqué creo que no me explico bien…
Es evidente que la 2ª contraseña que propongo es mejor que poner 1234 como contraseña pero…¿dónde la guardas? Tú dices que en un «lugar seguro» pero ¿y qué es un lugar seguro? ¿cómo está protegido? ¿es accesible desde internet?
Tú me dirás, «pero es que yo puedo memorizarme un chorizo de 15 caracteres». Fantástico, pero ¿y por qué no memorizar una contraseña con esquema de relleno tipo mi ejemplo 1 de 20 caracteres en vez de 15, la cual es muchísimo más segura y más fácil de recordar?
El mensaje que quiero transmitir es que los «chorizos ininteligibles», aunque mejor que la contraseña «1234», TAMPOCO son buenas contraseñas, por los problemas que conllevan y que intento explicar aquí arriba.
Las contraseñas buenas, largas, con todo tipo de caracteres y EN LA CABEZA.
Es una sola línea, aunque ha salido dividido en el mensaje anterior.
https://bitcoinwisdom.com/markets/bitstamp/btcusd
Para David Argueta.
Hola Uxio, hay alguna forma o un sitio para ver el análisis técnico (gráfico de velas por ejemplo) de los bitcoins? Y ¿los bitcoins varían de precio si los compró en un lugar u otro? Un saludo
Optimus, tú vas mucho más allá que yo.
Yo me refiero a no poner como contraseña 1234 o la fecha de nacimiento o la misma que pones en todos los sitios. Eso es lo que hace todo el mundo.
De tus dos contraseñas, la «débil» es millones de veces más segura que el 90% de las contraseñas que actualmente utilizan las personas normales.
Uxío, cometes el mismo error que la inmensa mayoría de personas con el tema de las contraseñas largas y su entropía. La idea de que «lo mejor es generar un chorizo ininteligible automáticamente (que a su vez apuntarás en un lugar seguro)» es mejor (más seguro) que usar una contraseña fácil de recordar es, sencillamente, errónea.
Fíjate en esto, cuál de las dos contraseñas siguientes dirías que es la más segura?
1.- Perr0***************
2.- a?E=&689as8#¿aT
Bueno, pues resulta que la 1ª es más segura, porqué utiliza el mismo juego de caracteres (Mayúsculas + minúsculas + números + otros caracteres imprimibles) pero tiene 1 caracter más que la segunda.
Piensa que, mientras tu contraseña no sea atacable mediante un ataque de diccionario (es decir, que ella misma no sea una palabra en un diccionario), el atacante sólo puede intentar adivinarla mediante fuerza bruta (probando una detrás de otra), y éste no obtendrá ninguna información de ella más que «has acertado» o «has fallado».
En resumen, contraseñas que tengan al menos un caracter de cada tipo y todo lo largas posibles. Y por supuesto nunca apuntadas en ningún sitio.
Mi ordenador siempre será más seguro que una empresa externa que pueden borrarles los datos, robárselos, puede haber alguien que «transfiera» tus bitcoins a otra cuenta, puede desparecer la empresa (como ha ocurrido en alguna ocasión), etc.
Sin embargo, en mi propio equipo yo soy responsable y nadie más. Mi propio ficherito con mis bitcoin, bien seguro y teniendo unas copias por si acaso en otros lugares.
Obviamente, hablo de usuarios responsables con su sistema informático. No estoy pensado en el «usuario habitual» que no tienen ningún cuidado con su equipo o el que formatea en cualquier momento por cualquier motivo… y se acuerda después que tenía ahí sus fotos de las vacaciones y… ¡sus bitcoins!
Hola, Casimiro.
Me parece bueno tu punto, un «desktop wallet» puede ser interesante, aunque no estoy de acuerdo con que tu ordenador es más seguro. No conocía a SpiderOak y tiene muy buena pinta, por cierto.
Yo creo que un servidor bien configurado es mucho más seguro que un ordenador personal en el que se trabaja con infinidad de programas que están conectándose constantemente a internet, empezando por el propio sistema operativo.
Muchas gracias por el apunte 🙂
Hola, buen tutorial, muy claro.
Pregunto, ¿por qué no usas un monedero en tu propio ordenador?
Puedes tener una copia/backup cifrado en un disco virtual seguro como SpiderOak (por ejemplo) y te ahorras de tener tus bitcoins en un monedero ajeno. Porque es seguro que van a estar más protegidos en tu propio equipo que no en el de una empresa ajena, por muy buena, segura y respetable sea.
Saludos.