Hace ya unas cuantas semanas que publiqué por estos lares un tutorial sobre por qué apostar por una cold wallet a la hora de guardar tus criptoactivos.
Sí, me refiero al mismo artículo que me robó y publicó a su nombre en una revista Chilena un caradura, como si él lo hubiera escrito, y que acabó como el rosario de la aurora.
El caso es que el artículo tuvo bastante éxito por redes sociales, y así llegó a manos de @ChavoGnuGrowers (ES), el pseudónimo que usa un entusiasta de la seguridad y privacidad en Internet, que me preguntó si me importaría recibir una serie de matizaciones sobre el artículo que consideraba estaban «erróneas».
Por supuesto, acepté, y ese mismo día me envió por privado una serie de puntos que llevaban la contraria, o como mínimo discrepaban, sobre lo que yo exponía en el artículo en cuestión.
Obviamente, todo lo que decía era cierto. Muchos de mis artículos, bien sea de forma premeditada, bien sea por puro desconocimiento, trata las temáticas presuponiendo que lo pueda entender un usuario sin mucho conocimiento técnico, y con un nivel de «paranoia» (entendiéndola no de forma despectiva, sino por su significado neutral) medio sobre temas de privacidad, seguridad y soberanía de datos.
Así pues, todo lo que me comentaba Chavo me gustó mucho, así que le propuse más adelante enviarle unas preguntas para montar esta entrevista tratando algunos de los temas que me proponía corregir en el artículo, para que también tengáis la visión de alguien especializado en este mundillo y con unas necesidades más específicas que las que tiene o busca un servidor en esto de los criptoactivos.
¡Vamos al lío!
Índice de contenido
- En el privado en Twitter me comentabas que los exchanges no son wallets online. Son iou. ¿Qué diferencia hay entre los dos conceptos y por qué es importante matizarlo?
- Me comentabas también que era mala idea fiarse de una empresa que imprime físicamente un código QR con la dirección de tu wallet, aunque a priori están auditados por Lambda Telematics). ¿Qué riesgos corremos al apostar por una cold wallet de este tipo?
- La alternativa, entiendo, sería apostar por una cold wallet que te permita a ti generar la clave privada. Algo como coolwallet, ¿quizás?. Pero entonces… también estamos asumiendo que debemos depender de un hardware que requiere conectividad y componentes eléctricos, y por tanto con el paso del tiempo es más probable que se degrade o incluso que deje de funcionar. ¿Hay alguna alternativa que coja lo mejor del mundo de las cold wallets sin asumir los riesgos que conllevan estos acercamientos?
- Abogabas, si lo he entendido bien, por utilizar siempre diferentes direcciones para recibir/enviar criptoactivos. Y ahí te doy toda la razón. Está claro que en el momento en que expones tu dirección, estás ofreciendo públicamente un sistema de seguimiento de tus transacciones. ¿Qué podemos hacer los usuarios de calle para trabajar con un sistema de direcciones dinámico… sin volvernos locos?
- Tenía entendido que para cambiar entre criptoactivos y dinero FIAT era necesario pasar por un exchange, pero, ¿existen otras alternativas? ¿Son seguras esas plataformas que intercambian criptos por tarjetas regalo, por ejemplo?
- Y para terminar, dónde podemos seguir aprendiendo sobre todos estos temas
En el privado en Twitter me comentabas que los exchanges no son wallets online. Son iou. ¿Qué diferencia hay entre los dos conceptos y por qué es importante matizarlo?
Una wallet (ES) no es mas que una herramienta que usando la criptografía de clave pública nos da las diferentes direcciones que derivan de la clave privada y se pueden compartir con otros usuarios sin problemas de seguridad, siempre manteniendo el control de las llaves privadas.
En los exchanges esto no es así, por norma general trabajan dándote una única address donde debes enviar los fondos y jamás tienes el control de estos. Lo que tienes es un apunte contable del mismo exchange que dice que tu tienes X monedas, pero en cualquier momento puede salir corriendo con tu dinero sin que puedas hacer nada (hay muchos casos para poner como ejemplo, mgox, quadriga y FTX recientemente son algunos…) Por eso es importante puntualizarlo y recalcar que:
Not your keys, not your coins.
Me comentabas también que era mala idea fiarse de una empresa que imprime físicamente un código QR con la dirección de tu wallet, aunque a priori están auditados por Lambda Telematics). ¿Qué riesgos corremos al apostar por una cold wallet de este tipo?
La generación de llaves privadas debe realizarse íntegramente por parte del usuario y de manera aislada de internet a poder ser. Eliminar tercera de confianza es algo que va en el ethos de bitcoin y esto es otro punto donde aplicarlo.
Esta empresa puede estar generando esas claves, ya a parte de tener problemas de privacidad al ser una dirección estática, puede tener problemas de seguridad porque alguien puede estar apuntando las llaves privadas y puede hacerte volar los fondos de ella sin tener que mancharse ni siquiera las manos ,sin necesitar efectuar ningún ataque y esto es un incentivo demasiado grande para obviarlo.
La alternativa, entiendo, sería apostar por una cold wallet que te permita a ti generar la clave privada. Algo como coolwallet, ¿quizás?. Pero entonces… también estamos asumiendo que debemos depender de un hardware que requiere conectividad y componentes eléctricos, y por tanto con el paso del tiempo es más probable que se degrade o incluso que deje de funcionar. ¿Hay alguna alternativa que coja lo mejor del mundo de las cold wallets sin asumir los riesgos que conllevan estos acercamientos?
¡Noooooooo!- *[Coldcard, foundation devices o seedsigner si]
Estos aparatos deben respetar también unos básicos, como ser openSource (coldcard ahora es source available) y en el caso de seedsigner incluso lo puedes montar tu mismo.
Tienes en el canal de @lunaticoin tres podcast de hardware wallets donde se analizan varias y se comentan todos estos puntos.
Este es el de este año 😉
En todos los casos la frase pnemónica no debe dejarse almacenada solo en el dispositivo de firma en frío, sino que debe hacerse un backup de la misma.
Abogabas, si lo he entendido bien, por utilizar siempre diferentes direcciones para recibir/enviar criptoactivos. Y ahí te doy toda la razón. Está claro que en el momento en que expones tu dirección, estás ofreciendo públicamente un sistema de seguimiento de tus transacciones. ¿Qué podemos hacer los usuarios de calle para trabajar con un sistema de direcciones dinámico… sin volvernos locos?
Existen billeteras que ya gestionan esto de forma óptima (Hierarchical deterministic) y no reutilizan direcciones a la hora de recibir fondos.
Samourai wallet o sparrow son dos alternativas buenísimas que respetan la privacidad en este sentido.
Te dejo un artículo donde se explica al completo el tema de las wallets jerárquicas deterministas (ES) que permiten esto.
Tenía entendido que para cambiar entre criptoactivos y dinero FIAT era necesario pasar por un exchange, pero, ¿existen otras alternativas? ¿Son seguras esas plataformas que intercambian criptos por tarjetas regalo, por ejemplo?
Lo ideal es trabajar p2p face to face sabiendo los riesgos que conlleva… Pero hay otras plataformas como Hodlhodl, robosats o bisq donde se realizan intercambios a través de contratos inteligentes que permiten asegurar que la operación se realiza de la mejor manera.
En el caso de salir a fiat, estas plataformas también te lo permiten haciendo intercambio con otros usuarios con muchas formas de pago, cada una con sus trade off.
Y si no, tienes empresas como Bitrefill que proporciona tarjetas regalo que compras usando btc de manera fácil,y solo te solicitan una dirección de email para ello, nada de KYC en ninguna de las plataformas mencionadas.
Y para terminar, dónde podemos seguir aprendiendo sobre todos estos temas
Para continuar con la educación puede dirigirse la gente a:
- Podcast de @lunaticoin (ES/hay listas de reproducción para todos los niveles)
- En youtube @Directobitcoin2140 (ES/Directos los jueves a las 21:40 siempre interesantes)
- Estudiobitcoin.com (ES) como página web gratuita de educación.
- Cursos de formación en privacidad de bitcoin impartidos por @multicripto y @P_Hold [Los encontráis en twitter o telegram https://t.me/lamadrigueradearkad ] (Un must para entender muchas cosas a todos los niveles
- Y por último en meetups físicos que podéis encontrar en muchas ciudades que podéis ver en
- https://2140meetups.com/ (También sirva esta última para hacer compra venta f2f en la comunidad local)
Imagínate recibir en tu correo semanalmente historias como esta
Suscríbete ahora a «Las 7 de la Semana», la newsletter sobre Nuevas Tecnologías y Seguridad de la Información. Cada lunes a las 7AM horario español un resumen con todo lo importante de estos últimos días.
