Aspectos de Seguridad
En la autocustodia, la responsabilidad sobre la seguridad de los activos digitales recae en su totalidad en el custodio. Por tanto, necesitas hacerte de herramientas y procedimientos bajo las mejores prácticas de la industria que refuercen cada uno de los aspectos de la seguridad informática para conseguir el mejor resguardo posible.
En este apartado hacemos hincapié en todos los aspectos de seguridad que Cuvex ha pulido por ti , fortaleciendo enormemente tu hoja de ruta para que consigas tu cometido.
Almacenamiento
La estrategia de almacenamiento que elijas está sujeta al tipo de operativa que realices. El caso de uso de un Holder es muy distinto al de un trader. Tampoco es lo mismo guardar las claves de tu propiedad patrimonial en Bitcoin a guardar las llaves de tus NFTs u otros criptoactivos. Tendrás que trazar una estrategia adHoc, en el mercado existen numerosas opciones acorde a tus necesidades. Sin embargo existe un factor común: la frase semilla. Como su nombre lo indica, es el origen de las claves con las que controlas tus criptoactivos, por lo tanto es donde debes poner la mayor atención en lo que a seguridad de almacenamiento respecta. Si lo piensas un momento, la semilla es la verdadera llave de tus criptoactivos. Con ella en tu poder, puedes moverte a donde quieras. Cualquier Wallet, cualquier plataforma, seguirás teniendo un control soberano de lo que es tuyo. Tanto la master private Key como la master public key derivan de esta y por tanto dependen de ella. Si no proteges la semilla, cualquiera que se haga con ella se hará con tus claves y por ende con tu riqueza. Por tanto, es un “Must to have” el almacenar de la forma más segura posible tu semilla. Y aquí es donde Cuvex te aporta algo que nadie más ofrece: la capacidad de cifrar en frío tu semilla y guardarla de forma segura. El dispositivo Cuvex brinda un flujo de cifrado totalmente offline, que basado en el algoritmo de criptografía simétrica AES256 GCM, convierte la semilla (o el dato que quieras) en un criptograma que almacena en una tarjeta NFC. Como resultado, tienes un sistema de protección de datos de uso militar que hace impracticable cualquier tipo de ataque que busque hacerse con el secreto. El dispositivo no almacena nada en su interior, con sólo desconectar la alimentación, se pierde cualquier dato que pudiera haber estado siendo procesado. El verdadero almacén del criptograma es la tarjeta NFC, un medio de almacenamiento fácil de transportar y con un tiempo de vida estimado de 10 años. También cabe resaltar que el algoritmo de cifrado está implementado a nivel de hardware. Esto hace que el software no intervenga en dicho proceso, eliminando así más vectores de riesgo.
Redundancia
En lo que respecta a la frase semilla, con Cuvex tienes bastante fácil fortalecer este aspecto. Basta con “clonar” tantas copias como consideres necesario. Mientras más y mejor distribuidas las tengas, mayor capacidad de sobrellevar cualquier tipo de imprevisto tendrás. En cualquier caso, tienes que ser muy disciplinado, algunos aspectos a considerar: * Al momento de cifrar, utiliza un alias verboso que te facilite identificar tus tarjetas. * Define locaciones separadas que te permitan diversificar los puntos de riesgo (robo, inundaciones, incendios, etc.) * Realiza tareas de verificación periódica de tus copias de seguridad, esto no sólo ayuda a controlar el estado de estas, también te ayuda a ejercitar el esquema que has implementado. * No mezcles secretos, utiliza tarjetas diferentes para cada uno. Estas buenas prácticas también deberías replicarlas en cualquier otro dispositivo que hayas incluido en tu configuración de seguridad (hardware Wallet, Hardware Signer, etc). En este aspecto, dependiendo del fabricante de cada dispositivo, deberás evaluar las opciones que te ofrece en lo que respecta a redundancia. Si se diera el caso y no te ofrece nada al respecto, siempre puedes utilizar Cuvex para guardar esos secretos (claves de wallets, passphrase, claves de exchanges, etc).
Integridad Física
Como ya imaginarás, no te hace falta una bóveda o caja fuerte para tu tarjeta Cuvex, de nada le sirve a un ladrón tu criptograma si no tienen la contraseña para acceder a él. Y esta amigo mio, solo está en tu mente, le sacas años luz a los bancos y lo has hecho con unos pocos duros. Algo que si debes tener en cuenta es proteger tus tarjetas de interferencias electromagnéticas, inducción de corriente o perturbaciones de energía eléctrica. Todo esto lo consigues utilizando una jaula Faraday, hay infinidad de opciones en el mercado aunque nosotros te recomendamos las nuestras, echa un ojo a las opciones disponibles en nuestra tienda. En lo que respecta al dispositivo Cuvex, la conexión física a los circuitos electrónicos está restringida de fábrica. Es decir, el acceso físico a los micro-controladores, ya sea para depuración o modificación no se puede llevar a cabo. Una vez que se instala la pieza de software denominada “Bootloader” en nuestra fabrica, no podemos modificar absolutamente nada del circuito, ni siquiera acceder a estos componentes. Es decir, si algo sale mal, solo podemos desechar la electrónica del dispositivo ya que pasa a ser irrecuperable.
Actualización de Software
Esta es una medida que se debe ejecutar con rigurosidad, es fundamental siempre mantener actualizado todo software que forme parte de tu esquema implementado, esto ayuda a prevenir y proteger contra vulnerabilidades conocidas que son aprovechadas por hackers. En cuanto a Cuvex, el proceso de actualización está diseñado para garantizar en todo momento un adecuado mantenimiento del software sin comprometer la operativa de cifrado o el aislamiento del elemento seguro. Se ha elegido como único canal de comunicación para la actualización, el protocolo Bluetooth, utilizando una implementación de enlace temporal unidireccional, en donde la aplicación móvil hace de airgap hacia internet, para descargar el Firmware y luego enviar de forma sincrona al dispositivo Cuvex mediante BLE. Cada vez que esté disponible una nueva actualización, recibirás una notificación Push en tu móvil para que, cuando decidas, procedas a descargar y posteriormente instalar en el dispositivo. Cabe resaltar que la tecnología BlueTooth está aislada en una partición de la memoria gobernada por el Bootloader, cuya función es la de gestionar y preservar la integridad del Firmware del dispositivo. Por tanto, es imposible utilizar ese canal desde el propio Firmware que es quien implementa todos los procesos funcionales (cifrado, descifrado, escrito de tarjetas, etc). En otras palabras, aunque un atacante consiguiera conectarse por Bluetooth, no podría modificar y capturar ningún proceso funcional, ya que el canal sólo habla con la partición del Bootloader y este lo único que permite es la actualización del Firmware.
Robo y amenazas
Muchos no toman con seriedad este aspecto de la seguridad, descartando la posibilidad de que les pueda ocurrir algo así a ellos, hay incluso algunos que hacen gala de ello: publican en sus redes sociales información relevante de sus criptoactivos, ponen la pegatina de su Hardware Wallet en el vidrio del coche, etc. Lo cierto es que robar a un autocustodio puede ser una actividad muy lucrativa y las estadísticas crecen de forma exponencial, lo suyo es estar preparados física y mentalmente ante esta eventualidad, incluyendo medidas en el esquema diseñado. En el caso de los Hardware wallets, cada vez son más los que te ofrecen manejar “wallets secundarios”, de modo que puedas tener en forma “opaca” el verdadero y otro superficial que pueda confundir al atacante. Si además al crear tu semilla defines una pasPhrase, añades una capa de seguridad adicional que te permitirá controlar una situación de amenaza en la que te veas forzado a entregar las llaves. Como medida adicional, Cuvex te ofrece la multi-firma al momento de crear tu criptograma. Esto robustece enormemente tu esquema al permitirte diversificar la tenencia de la llave de tu secreto. Aún si el ladrón te amenaza con una llave inglesa, se tendrá conformar con el hecho que tú sólo eres un fragmento de la llave que abre el cofre. Si tu implementación también pasa por el ciberespacio, tendrás que tener aún más cuidado. La principal vía de robo y amenazas está aquí, cualquier medida que tomes es poca cosa. Lo suyo es que designes un ordenador exclusivamente para este fin, no utilices ningún software desconocido, y siempre te conectes por VPN y de preferencia a través de TOR. No está de más recordarte que en lo que respecta a Cuvex, ninguno de los procesos del dispositivo requiere conexión a la red, incluso la actualización del firmware se realiza sin conexión a internet, es la App la que se encarga de descargar la actualización para luego enviarla a través de un canal unidireccional seguro vía Bluetooth.
Suplantación y estafas
Dando continuidad a las medidas planteadas en el punto anterior, sé consciente de las posibles estafas de las que podrías ser víctima. El ciberespacio está plagado de trampas que buscan hacerse con tu riqueza. Presta especial atención a los detalles que emanan de los sitios que visitas, revisa las fuentes, busca pruebas de autenticidad, investiga y, sobre todo, no entregues ningún dato personal o relacionado a tus criptoactivos. En el apartado físico, los dispositivos que elijas deben presentar mecanismos que te permitan verificar la integridad y autenticidad de estos, y por supuesto asegúrate de comprar siempre directamente con el fabricante. En lo que respecta a Cuvex, tanto el packaging como el dispositivo están sellados con una etiqueta de seguridad que te permite ver a simple vista si ha sido manipulado o no. Además, puedes validar la trazabilidad del envío mediante el servicio que ofrece la App de Cuvex en el que, introduciendo los códigos de las etiquetas, confirmas la autenticidad de lo que has recibido. En lo que respecta a las comunicaciones entre el dispositivo y la App para el proceso de actualización de software, el emparejamiento requiere una validación por OTP e intercambio de certificados, esto evita que terceros utilicen esta conexión y garantiza la autoría de la actualización. Por último, a nivel de software cabe remarcar que el dispositivo Cuvex sólo permite la instalación de firmware original firmado por Cuvex, esto lo hace el bootloader a través de una autenticación asimétrica de la firma RSA del software a instalar (Firmware). Así, incluso si algún proceso descrito falla, el dispositivo autenticará el firmware a instalar y eliminará cualquier intento de instalación de software suplantado.
Riesgo de contra partida
¿Qué ocurre si mañana desaparecemos y tu Cuvex se ha roto? Pues nada, porque tienes todo el código fuente publicado y puedes montar tu propia implementación de la solución. Claro está que eso implica un trabajo técnico al que te deberás enfrentar, la buena noticia es que sólo está en tus manos, sigues siendo totalmente independiente. Nosotros sólo somos un facilitador de esa técnica que te hace más cómoda tu misión, pero si un día faltamos (Dios no lo quiera), tu esquema de auto-custodia prevalecerá. Código fuente verificable, visible y editable. El código Cuvex puede ser compilado por ti mismo. Esta virtud debes buscarla en cualquier otro dispositivo que incluyas en tu esquema. Además, elige bien las tecnologías que utilices, hay soluciones que se disfrazan como apoyo a la auto custodia, pero si esto implica compartir de algún modo parte de la llave del tesoro... bueno, ya sabes. La lista de falsos profetas de la industria de criptoactivos sigue creciendo y hasta que no termine de madurar, lo seguirá haciendo. Evita esos riesgos de contra partida, no deposites tu seguridad sólo en la confianza de palabras que no son tuyas.
Privacidad
Aunque este aspecto lo hemos tratado en puntos anteriores, merece mención aparte debido al alto riesgo que supone no cuidar de él. La recomendación que te podemos hacer para esto es: mantener siempre un perfil bajo. Las amenazas de terceros suelen llegar gracias a información que las propias víctimas comparten de forma imprudente en redes sociales y otros medios. La mejor forma de fortalecer este aspecto de la seguridad es pasando desapercibido ante los criminales. No compartas información sobre tus tenencias de criptomonedas en línea y si te ves obligado a pasar por algún KYC, piénsatelo dos veces. Elige bien las empresas en las que das tus datos, cada una de ellas supone una potencial vulnerabilidad en tu esquema de autocustodia. Y esto no sólo aplica a Exchanges y fabricantes de dispositivos, piensa que hasta los estados puede pedirte información sensible sobre tus criptoactivos, y ya más de una administración ha demostrado no cuidar bien el apartado de ciberseguridad.
Plan contra desastres
Si algún día por lo que sea, tiran abajo tus torres gemelas, debes tener la capacidad de salir adelante. Nada es infalible, por eso debes trazar un plan ante una eventualidad de magnitudes catastróficas. Ya sea porque los gobiernos persiguen al fabricante que elegiste, o porque un fenómeno natural arrasa con todo, debes plantear que hacer ante esa situación y no verte en una posición descontrolada. Está claro que este aspecto debe reforzarse con lo tratado en los puntos anteriores, pero debes dedicar un tiempo específico a pensar en cómo harías ante el fallo de cualquiera de los elementos de tu solución. Aquí lápiz y papel serán tus mejores aliados. Investiga a fondo las virtudes que te ofrece cada proveedor elegido y elimina los vectores de riesgo que identifiques. Haz las preguntas necesarias a quien corresponda y apóyate en tu circulo de confianza para sacar provecho de aspectos ta tratados, como la redundancia y la multi-firma.
Aprendizaje Continuo
Y para terminar, aunque pueda parecer trillado, es de carácter obligado un estudio constante de tu esquema. La tecnología avanza a un ritmo vertiginoso y no puedes dormirte en tus laureles. Lo que hoy es una fortaleza, mañana puede pasar a ser una debilidad. Debes mantenerte al día siempre, no te queda otra. Y por supuesto, debes exigir lo mismo a cada empresa que hayas decidido incluir en tu esquema. Un proveedor que no da señales de vida, es una luz roja en tu cuadro de mando. Si, notas que en algún caso la tecnología que utilizas está siendo abandonada, o que el rumbo que está cogiendo no es el deseado, no seas el último en bajarte de ese barco. Y no te olvides de la comunidad, una de las mayores virtudes de esta industria. Al igual que Cuvex, cualquier otra tecnología que incluyas, debe estar abierta a la comunidad. Tanto para que puedas verificar que hacen lo que dicen que hacen, como para enriquecer y fortalecer las virtudes de dicha tecnología. El código abierto es sin duda alguna, una baza muy fuerte para la seguridad informática.