Desplácese para leer más
seguridad
Parece obvio para muchos pero lo volvemos a afirmar: nadie, nunca, jamás, en ninguna ocasión, por ningún motivo, razón o circunstancia debería pedirte que compartas tu frase semilla (seed – phrase) / private key. Esto aplica a personas o plataformas. Ni desde soporte, ni un administrador de un grupo, ni un protocolo -por más conocido que sea. Nada legítimo ni nadie con buena fe va a incurrir en esta práctica. Y si eso pasa, es señal de estafa.
En los tiempos que corren, ésta es una de las formas más comunes para robar fondos. Por más desesperados que estemos, siempre debemos tratar de pensar con la cabeza fría. Si nos equivocamos, acá no hay vuelta atrás.
  • Seguridad de tu frase semilla / clave privada

Cuando creamos una nueva wallet, antes de enviar fondos debés escribir EN PAPEL FÍSICO la frase semilla y private key. Son -literalmente- 5 minutos. Y esta breve acción nos salvará de futuros lamentos por no haber salvaguardado nuestra información.

    • Para estar seguro de que anotaste correctamente la frase semilla, desinstala y volvé a instalar la wallet. Si podés entrar nuevamente y ver que la PK es la misma, recién ahí es seguro enviar fondos. Por un error tipográfico podrías quedarte sin acceso a tu wallet.
    • Nunca accedas a tu billetera desde la PC del trabajo o de un amigo. Preferí siempre tu computadora personal.

Tips adicionales:

  • Procura que ninguna cámara (celular, de seguridad, webcam) esté apuntando a la pantalla.
  • No la imprimas, escanees o saques fotos. Nunca la dejes anotada en un servicio/aplicación online, lo más seguro es guardarlas de manera totalmente fuera de línea.
  • No leas en voz alta las palabras a medida que las estés anotando. Es mejor ser precavido…
  • Deja varias copias distribuidas en sitios estratégicos que solo vos conozcas.

Considera todos los posibles escenarios que pueden ocurrir con tus back-ups. Ej: Desgaste por la humedad, un incendio, una inundación, tu familia tirando el cuaderno a la basura, pérdida o extravío, y todas las situaciones que se puedan llegar a presentar en un giro inesperado de acontecimientos.

Bien, ya tenemos una wallet segura. Ahora pasemos a otros comportamientos que debemos cuidar si queremos mantenernos seguros. 

  • ¿Cómo averiguar si el proyecto que me interesa es confiable?

Esta pregunta es muy amplia de abordar, así que nos limitaremos a dar lineamientos generales que servirán como el botiquín de primeros auxilios antes de invertir en algo que aún no estamos seguros.

Hay una acción muy simple pero es un ejercicio eficaz: googleá o busca en twitter “Nombre del proyecto + scam”

Si aparecen reiterados resultados sobre el proyecto y su mala reputación, o gente que lamentablemente cayó en el scam, estemos en alerta. También puede darse la contraparte de este escenario: solo leer maravillosas reseñas sobre el protocolo y sus milagrosos retornos de inversión. Debemos tener cuidado en los dos extremos.

Si se trata de un proyecto nuevo, y los únicos resultados que surgen son de shillers al estilo ‘to the moon’, ‘buy the dip’, ‘hfsp’ y demás comentarios cliché, es un red flag.

También hay que saber diferenciar entre protocolos nuevos y los ya establecidos en el ecosistema. Los protocolos con reputación y conocidos, raramente cuentan con el 100% de aprobación de la comunidad. Esto no quiere decir que se trate de un scam, o de un mal proyecto. Una experiencia individual no define a la colectiva. Escuchemos todas las opiniones para tener un panorama completo.

  • No presumas tu portfolio en grupos públicos

Los grupos grandes están compuestos en su mayoría por lurkers, no sabemos quién está detrás de la pantalla acechando a su próxima víctima. Mientras menos información des sobre tu perfil/cartera de inversión y lo que posees, mejor. Tampoco es para asustarse ni hablar nunca más, solo proceder con cuidado al exponer nuestras inversiones.

  • Nunca uses wifi público

Generalmente las redes públicas se ven vulneradas fácilmente, dejando expuestos nuestros datos personales a quien tenga acceso a esta red. No quiere decir indefectiblemente que seremos hackeados, pero las chances aumentan ya que nuestro dispositivo es visible en el rango que nos encontramos.

  • El cuidado en nuestra PC y programas

Cuando se trata de mantener a salvo nuestros ahorros y usamos nuestra PC del día a día, tenemos que saber algo: se acabaron los programas piratas y descargar cualquier cosa sin verificar de internet. Torrent quedó en la puerta de entrada, ya no más. Solo debemos descargar archivos/programas de fuentes en las que confiemos plenamente.

Para cerciorarnos de que lo que vayamos a descargar está “limpio”, podemos usar: VirusTotal para ver qué resultados arroja. Esto es solo un complemento de seguridad, que los resultados sean limpios no quiere decir que el programa esté 100% libre de virus.

Mantener siempre actualizado el sistema operativo, y las aplicaciones oficiales que usemos. Por más molesto que sea, los SO (Sistemas Operativos) y programas suelen actualizarse para arreglar baches de seguridad que pueden dejarnos expuestos frente a un hacker.

    • Activa el auto-update del sistema operativo.
    • El antivirus de Windows 10 por default es aceptablemente seguro, pero hay que tener en cuenta que ningún antivirus de por sí es mágico. Si vamos clickeando en cuanto link y página basura se nos aparezca por nuestro camino cibernético, no hay software que nos proteja.
    • Si queremos añadir un complemento a nuestro sistema de defensa, una buena opción es MalwareBytes.
    • Activa el firewall. Probablemente ya venga activado por default, pero nunca está demás chequearlo.
    • Si tenés un Word o bloc de notas en el que guardas todas tus contraseñas y datos sensibles, ¡destruilo ahora mismo! Hacé una copia antes, claro…
    • Desactiva el WiFi cuando no lo estés usando. No internet <> No exploit
    • Cambia la contraseña del WiFi que trae por default.
    • Si en tu casa hay más dispositivos conectados a la misma red (Ej: celulares, notebooks) toma las mismas precauciones. Activa sus firewalls.
  • Contraseñas

    • No re utilices contraseñas. Ni siquiera las que hayas usado en el pasado en ese primer correo de 2010. Reusar contraseñas también engloba usar una variación de la misma, no debe tener correlación y dentro de lo posible, ser totalmente distinta a las anteriores.
    • Cambia todas tus contraseñas actuales, incluso las de foros y redes sociales que ya no uses (Ej: Skype)

Utiliza contraseñas complejas, combinando mayúsculas, minúsculas, números y caracteres especiales. No seamos predecibles usando información personal (DNI, número de teléfono, nombre de un familiar, etc) ni palabras relacionadas con cripto. Esto aplica para las contraseñas de plataformas y para nuestros emails.

  • Así se ve una contraseña compleja: rq¿L+7!9}43BUeE*
  • No uses esta contraseña, por ejemplo: maradona1960


Hay que asumir el peor de los casos. Si usamos información personal, quien esté intentando atacarnos podría apelar a nuestra información pública (Twitter, Facebook, Instagram) para tratar de descifrar nuestra contraseña.Para cuentas con información sensible, es mejor que un generador de contraseñas lo haga por nosotros

Si querés permanecer en el anonimato, no reveles tu identidad (apellido, redes sociales personales) en grupos de Telegram/Discord. Tampoco compartas links a publicaciones que hiciste simulando que lo viste en el perfil de un tercero.

Personalmente, no soy de usar password managers (PM), pero son válidas para organizarnos si contamos con múltiples contraseñas en varios servicios y aplicaciones. Cuentan con una función que puede ser de utilidad: generan contraseñas totalmente aleatorias lo suficientemente fuertes como para que alguien no las rompa por fuerza bruta.

Éstas aplicaciones mantienen de manera segura nuestras contraseñas, pero bajo ninguna circunstancia almacenes tus llaves privadas en los password managers.

Password Managers con reputación: 1Password, BitWarden.

Si no queremos usar un PM, deberemos tratar las contraseñas con el mismo cuidado con el que tratamos las seed phrases. Tomarse el tiempo para anotarlas en un cuaderno y mantenerlo organizado/actualizado por sección (contraseñas para email, exchanges, 2FA, wallets, redes sociales, etc.)

  • 2FA

Es imprescindible activar el 2FA para absolutamente TODO (exchanges, emails, redes sociales, homebanking si es posible). Hoy en día esto no es negociable, contar con un segundo factor de autenticación puede salvarnos de perder todo nuestro capital e información valiosa. Si un atacante descubre nuestra contraseña, se encontrará con una segunda barrera difícil de eludir.

Servicios de 2FA: Google Authenticator / Authy. Si estas en duda, elegí Authenticator por sobre Authy.

Cuando actives el 2FA, la aplicación te dará unos códigos, de los cuales tendrás que hacer back-up. Estos códigos deben ser tratados como si los buscase el gobierno chino después de hackear Poly Network. Si los perdemos, nos despedimos de nuestras cuentas. Debés mantenerlos a salvo, igual que con la seed phrase. Acá no vale el “ay, me olvidé dónde lo anoté”.

De ser posible, es recomendable no tener instalada la aplicación que usemos para el 2FA en nuestro teléfono personal, y así evitar un dolor de cabeza en caso de pérdida/robo. Tip: usar un celular viejo que tengamos a mano (reseteado de fábrica) y que éste no salga de nuestra casa. Si no nos queda otra que usar 2FA desde el celular personal, lo mejor es activar el bloqueo (contraseña, patrón) para entrar a la aplicación y que esta contraseña sea DISTINTA a la que usamos para desbloquear el teléfono.

Desactiva el 2FA por SMS con tu número de celular para todo, ahora mismo. Uno de los vectores de ataques más utilizados, es a través del SIM Swap. Esto no solo es válido para nosotros, sino también para nuestros amigos y contactos. Si un amigo te habla pidiendo que le envíes dinero, asumí que lo hackearon y pedile que te envíe un video verificándose.

  • E-mails

Si usas exchanges centralizados (Como Binance, FTX, Kucoin) abrí un correo dedicado exclusivamente para ese uso y para nada más. No lo compartes en ningún lado.

Utiliza protonmail: es un email encriptado end-to-end, lo que significa que nadie más que vos podrá leer ni interceptar tus correos.

    • Para saber si tu email estuvo expuesto a vulnerabilidades, podes chequearlo desde acá: HIBP. Si tu email aparece como vulnerado, asumí lo peor y cambiá inmediatamente la contraseña y todo lo asociado al mismo. De ser posible crea otro de 0 y usa ese, con otra contraseña totalmente distinta. Si esa contraseña la usaste para otras cuentas (exchanges, emails, redes sociales..) es recomendable también cambiarlas inmediatamente.

Cuidado con el phishing, no abras links desde tu mail. Por más que parezca válido, un atacante puede tratar de persuadirnos colocando un hipervínculo sobre una página conocida, haciendo que parezca legítimo. Un ejemplo para que quede claro: binance.com parece redirigirnos hacia la página oficial de Binance, pero a donde realmente nos redirige cuando clickeamos en el link es a Google. Esta es solo una de las cuantas formas de phishing.

La mayoría de los exchanges cuentan con códigos anti-phishing. Activalos para saber que los mails que llegan a tu correo son efectivamente de ellos.

  • Wallets

Hay distintos tipos de billeteras, con diversas características y diferentes niveles de seguridad, dependiendo la que elijamos portar. Para ampliar la información sobre wallets y sus funciones, recomendamos leer la guía – Billeteras – de nuestra Academia en donde se detallan en profundidad.

Interacción con Metamask: Al realizar una transacción, primero debemos conceder un permiso otorgando acceso al token que estamos gastando (Ej: USDC, USDT).

Editá los permisos de gasto que otorgás al protocolo manualmente, en vez de dejarlo por default en ilimitado. Incluso en los protocolos que uses frecuentemente.

    • Mini tutorial: en el primer pop-up que nos aparece para el approve de la transacción, damos click en ‘Editar permiso’ y desde ‘Límite de gastos personalizados’ lo seteamos en base a la cantidad de tokens que vayamos a gastar.

    • Minitutorial 2: ¿Cómo saber con qué contrato estamos interactuando al firmar una tx?

Para saber exactamente con qué contrato estamos interactuando al realizar una transacción:

  1. Copiamos el contrato que aparece en el pop-up
  2. En *etherscan fork* (BSCscan/FTMscan/POLYscan) copiamos el contrato
  3. Para tener una idea sobre si el contrato es malicioso, podés verificar varias cosas:
  • Comentarios
  • Si tiene nombre y/o si pertenece a algún proyecto conocido.
  • Cuántas txs y Holders tiene. Si tiene pocos, desconfía.

Revoca los permisos en los protocolos que ya no uses o consideres que sean de riesgo.

Aplicaciones para revocar y ver a qué protocolos concedimos permisos (y las cantidades otorgadas): Debank, Revoke, Etherscan

 

  • Si la pegaste con varios trades e inversiones, considera crear una nueva wallet y enviar los fondos ahí. Nunca está demás empezar de cero, fresh start.
  • Antes de enviar un monto significativo, probá enviando un poco y verificá si llega correctamente.
  • Si tu wallet está comprometida y no tenes ninguna otra alternativa, la última chance de rescatarlos puede ser esta herramienta de flashbots: flashbots.tools (Usar con extrema precaución, solo ante casos extremos y como última alternativa.)

→   Sección Academia: Cómo interactuar con un contrato vía SC:

          Tutorial: Como verificar que un contrato contiene migrator code

          Tutorial: Como verificar que un contrato contiene timelock

          Tutorial: Como hacer un retiro de emergencia

         Tutorial: Cómo encontrar el Contrato Masterchef

  • Browsers (navegadores)

Recomiendo usar un navegador exclusivo para operar en DeFi/ Exchanges y otro para uso general de navegación. Brave es la opción más recomendable en cuanto a  privacidad/usabilidad.

Descarga un adblocker para desactivar los anuncios. Uno de los mejores hoy en día es uBlock Origin.

  • No guardes contraseñas en el navegador.
  • No actives el autocompletar de datos.

Debés tener especial cuidado al instalar extensiones de navegador. Estas pueden contener fallas y dejarnos expuestos ante vulnerabilidades y/o leer nuestros datos privados. Desinstala las extensiones en las que no confías o que no usas.

Configura los permisos de los navegadores manualmente.

  • Ubicación: Preguntar antes de acceder
  • Cámara: Preguntar antes de acceder
  • Micrófono: Preguntar antes de acceder

Desde Chrome en chrome://settings/content y desde Brave en brave://settings/content

Marcá en favoritos las páginas oficiales de los protocolos que uses frecuentemente. Para encontrarlas y asegurarte de que son legítimas, podes buscarlas en CoinGecko/CoinMarketCap o también en el Twitter oficial del proyecto. Generalmente, en las redes oficiales vas a encontrarte con que los siguen personalidades conocidas del mundo cripto o bien personas que se mueven dentro de las mismas cripto – comunidades que nos movemos nosotros.

No busques en Google la página del protocolo, éste es el terreno mayormente minado de páginas fraudulentas que solo intentarán robar tus seed-phrase. Evitar Google a toda costa cuando se trata de cripto. Y si por alguna razón no nos queda otra que googlear, NUNCA clickear en los anuncios que saltan en los primeros resultados.

 Si por accidente visitamos una página fraudulenta, lo ideal es borrar el historial y caché. Esto es para que el autocompletar del navegador no tome como válido el sitio scam cuando lo escribamos en una nueva ocasión.

Hay que tener especial cuidado si estamos por levantar nuestra wallet en una nueva billetera en donde tendremos que colocar nuestra frase semilla/private key. Verifica doblemente que la aplicación que descargaste es la oficial y volve a verificarlo. Por último, verificalo de nuevo.

  • Exchanges

Seguro ya escuchaste la frase “Si no controlas tus llaves, no controlas tus fondos”. Si bien es cierto que al mantener los fondos en un Exchange no estamos en completa posesión, es una opción válida si recién estamos comenzando. Pero lo recomendable es nunca guardar demasiado dinero en un exchange. Es una recomendación básica, no debés asustarte y esto queda a total discreción del usuario.

Si estamos en control de las llaves privadas, corremos el foco de la responsabilidad hacia nosotros y se eliminan los factores ajenos que pueden salir mal. Pero un gran poder conlleva una gran responsabilidad.

No todo el mundo está preparado para afrontar esta responsabilidad sin medir los riesgos y consecuencias de nuestro accionar. Por esto es que debemos informarnos y estudiar antes de meternos de lleno.

Lo bueno de las criptomonedas es que somos dueños de nuestro dinero, pero lo malo es que somos dueños de nuestro dinero. Si perdemos la seed-phrase/PK, si caemos en un rug-pull, si nos hackean, por nombrar algunos escenarios, en la mayoría de los casos no hay a quien reclamarle

 

Si ya tomaste los recaudos básicos, y querés subir tu seguridad unos niveles, ¡felicitaciones! Sos una persona responsable. Vamos a lo nuestro.

  • #P2P: Transacciones peer-to-peer

Si usas una plataforma que actúa como intermediario (Ej: Binance), siempre chequeá la reputación del vendedor. ¿Cuántas ventas concretó? ¿Tuvo problemas en sus ventas?

Antes de enviar el dinero, habla con la contraparte. Es mejor verificar que se encuentra online.

Si el vendedor te pide más dinero, usar otro medio de intercambio y/o que le envíes a una cuenta que no aparece como su cuenta principal (Ej: enviar hacia un CVU que no figura en su perfil) cancela la operación de inmediato. Sin peros. No dudes.

  • #F2F: Transacciones face-to-face (presenciales)

Al realizar un intercambio F2F (face to face) es recomendable tomar precauciones:

No vayas con tu celular (y por lo tanto, tu wallet) al punto físico. En cambio, pedile a un familiar/amigo de extrema confianza que cuando le indiques que está todo en orden, envíe los fondos.

Si tenés que llevar tu wallet al intercambio, crea una nueva wallet y enviá solamente las cripto que vayas a intercambiar a la nueva billetera, y esa es la que llevarás. 

El encuentro debe ser en un lugar público.

Nunca, jamás en la vida, le dejes tu celular a la otra persona. Ni descargues nada que te envíe directamente. Recientemente ocurrieron robos de claves privadas a usuarios de la comunidad cripto argentina. ¿La modalidad? Pedir el celular para escanear el QR para enviar fondos. En ese momento, aprovechan para robar el acceso a tu wallet.

  • Activa la encriptación para el sistema operativo

Windows 10 trae un programa ya incluido por default, el cual podemos usar gratis: Bitlocker. Al activarlo, nos pedirá que configuremos una contraseña y nos dará un código de recuperación, los cuales debemos guardar cuidadosamente.

Esto nos protegerá si nuestra sistema se ve vulnerado, ya que los programas y archivos encriptados solo serán accesibles mediante la contraseña establecida. Esto quiere decir que si nos vemos afectados por un hackeo, el hacker no podrá hacer nada con los datos robados.

Para mayor seguridad, considera usar una VM (virtual machine, máquina virtual) para acceder a plataformas DeFi y Exchanges. Una buena opción es VMware. Para mayor seguridad, en la VM podes instalar Linux Ubuntu como sistema operativo.

Por último, en este terreno todavía inexplorado no tenemos porque vagar solitariamente. Siempre habrá comunidades con buena gente e idónea, dispuestas a compartir sus conocimientos sin esperar nada a cambio, simplemente por el hecho de ayudar. Busca una comunidad con la que te sientas a gusto y pregunta todo lo que te surja, no hay preguntas inválidas. Si algo no te cuadra o estás en duda, pregunta y alguien te dará una mano. Y si está en tus manos ayudar a otros a no caer en scams, hacelo. Nos cuidamos entre todos.→ Al final todo se reduce en lo mismo: usar el sentido común. Podemos gastar fortunas equipandonos pero si no nos tomamos un momento para pensar antes de actuar deliberadamente, caeremos ante posibles scams. Si desde un principio no confiamos en donde vayamos a depositar nuestro dinero, es preferible dejar pasar una oportunidad de inversión a perder todo o parte de los ahorros. No asumas, verifica.

Mención especial para las comunidades amigas: Defi para principiantes, DeFi Lab, ADA Argentina, Solana Argentina, Cripto La Plata, Solidity LATAM, EthereumBA, Mujeres en crypto LATAM, CryptoChica, ETHLatam, BUIDL Honduras, The Graph Español y muchos mas!

Cuidémonos entre nosotros, este es un mensaje del ministerio de educación.

¡Y ACTIVA EL 2FA!

Autor
Facundö

Facundö

twitter.com/utonianum