Las Billeteras y sus Vectores de Ataque

Español Educación
, ,
1

Traducción al español :es:

Documento Original publicado por cortesía de ADAtainment.com

Las Billeteras y sus Vectores de Ataque

El término “billetera” ya es confuso. Porque sus ADA no están en la billetera en su PC. No, mejor piensa que las billeteras son como los navegadores web y tus ADA son como sitios web que puedes controlar con el conocimiento de las direcciones correspondientes. (claves privadas)

Creo que esto se acerca mucho más a la realidad. Entonces, no es de extrañar que pueda instalar una billetera con las mismas palabras clave en varios PCs y que todos muestren el mismo contenido, porque simplemente consultan la blockchain (cadena de bloques).

Existen básicamente 3 tipos de billeteras: las de software, las de papel y las de hardware (dispositivo). También me gustaría hablar de las billeteras web, que son, para ser precisos, también billeteras de software.

Todas las billeteras tienen sus propios vectores de ataque, pero tienen una cosa en común: si alguien se las arregla para conseguir tus palabras semilla, se acabó. Sus ADA se habrán ido. Para siempre.

Ocasionalmente encontrará dos términos adicionales: billetera fría (cold wallet) y billetera caliente (hot wallet), que me gustaría mencionar brevemente.

Una billetera fría no está conectada a Internet, como una billetera de papel (paper wallet). Daedalus puede crear tales billeteras de papel.

Por otro lado, una billetera caliente está conectada a Internet, es decir, cualquier billetera de software como Daedalus o Yoroi.

Las billeteras de hardware son tipos especiales de billeteras frías. La mayoría de las veces están desconectadas, pero de vez en cuando están conectadas a una computadora. El chip seguro en el que está almacenada su clave privada está separado del resto del sistema y siempre “offline”.

Un enfoque comprobado es asegurar una pequeña porción de su ADA en una billetera caliente y la mayor parte de su ADA en una billetera fría. Puedes participar (stake) tu ADA con cualquier tipo de billetera, por cierto. Incluso desde una billetera de papel.

Billeteras de Software

DAEDALUS, YOROI

Las billeteras de software, como Daedalus o Yoroi, son el tipo más común. Cuando se crea la billetera, se genera una clave privada y se encripta utilizando la contraseña de gastos en un archivo de la billetera en la computadora o el teléfono inteligente.

Algunas personas podrían pensar que la contraseña de gastos protegería adicionalmente las palabras clave (seed words). Sin embargo, este no es el caso. Quienquiera que tenga las palabras clave, no necesita una contraseña para gastar. Sólo está ahí para encriptar su clave privada en el disco duro, en caso de que sea robada. Por esta razón, también debe ingresar la contraseña de gastos cuando envíe ADA, delegue a un grupo o vote. La billetera tiene que acceder a la clave privada en este momento y sólo puede hacerlo si usted introduce la contraseña.

Si alguna vez olvida su contraseña de gastos, puede simplemente borrar la billetera y reinstalar todo con las palabras clave.

Vectores de Ataque
Las billeteras de software suelen ser atacadas con malware:

Robo de archivo de billetera
El archivo cifrado puede ser robado por un programa malicioso o por alguien que tenga acceso al ordenador. Además, un atacante debe recibir la contraseña de gastos.

La contraseña puede ser registrada inmediatamente por el programa malicioso. Una contraseña incorrecta también puede ser “adivinada” por los ordenadores si es muy corta o si aparece en un diccionario. (Fuerza bruta)

Billetera falsa
Otro vector de ataque es, desplegar una billetera falsa en el PC o teléfono inteligente de la víctima. Tan pronto como el usuario instala la billetera e introduce sus palabras semilla, la billetera falsa envía todos los ADA a una dirección almacenada por el atacante.

Estas billeteras falsas aparecen tanto en el escritorio como en las tiendas de aplicaciones. Copian el aspecto de otras billeteras e incluso el nombre del desarrollador. Los nombres de los desarrolladores son únicos en la tienda, pero una elección inteligente de caracteres podría, por ejemplo, confundir “ADAtainment” con “ADAtalnment”.

Por lo tanto, siempre debe descargar billeteras y actualizaciones de fuentes fiables y comprobar el archivo descargado con un hash después.

Secuestro de portapapeles
Los programas maliciosos que cambian el portapapeles, los llamados secuestradores de portapapeles, funcionan de la siguiente manera: monitorean constantemente el portapapeles y tan pronto como se copia una dirección, se reemplaza silenciosa y secretamente con la dirección del atacante. Si no compruebas la dirección de nuevo después de pegar, no tienes suerte.

Los programas maliciosos “buenos” tienen un gran número de direcciones alternativas y seleccionan la más similar a la dirección de sustitución. Mi consejo: después de insertar, compruebe al menos los 10 primeros y los 10 últimos caracteres de una dirección.

Conclusión
Daedalus y Yoroi son generalmente recomendadas sin restricciones, pero ambas tienen sus ventajas y desventajas. Si todavía está pensando en cuál de las dos billeteras utilizar, nuestra página de comparación de billeteras le ayudará.

Billeteras Web

ADA LITE

Las billeteras web también son billeteras de software, pero me gustaría tratarlas por separado aquí, ya que hay que visitar un sitio web para utilizarlas. En el sitio web puede introducir las palabras clave, cargar la clave privada a través de un archivo o conectarse con una billetera de hardware.

Vectores de Ataque
Las grandes billeteras web, como el Ada Lite, funcionan casi completamente “localmente” en el navegador y no transfieren datos críticos como la clave privada. El mayor peligro no es visitar el sitio web correcto, sino uno malicioso. Y hay muchas maneras de que esto pueda suceder:

*Secuestros-DNS-
Para poder mostrar la información de un sitio web, el ordenador debe recibir primero las direcciones IP de la dirección legible introducida, como por ejemplo adatainment.com. Esto se imagina mejor como una guía telefónica. La dirección adatainment.com es el nombre y la dirección IP es el número. El ordenador debe buscar en una guía telefónica (servidor DNS) el número que pertenece al nombre.

Una parte muy especial de esta agenda es el archivo host en el PC. Allí puede, por ejemplo, configurar cosas para redirigir o bloquear páginas. Si alguien con acceso al PC o un programa malicioso manipula este archivo, podría introducir un número diferente para cualquier sitio web. Como resultado, al ingresar a adatainment.com, usted termina en una página preparada por el atacante. Puede ser 100% parecido al sitio real pero hacer cosas maliciosas.

En aras de la integridad, debe mencionarse aquí que cambiar el archivo de host no es la única forma de realizar un secuestro de DNS. También puede, entre otras cosas, cambiar la entrada del servidor DNS, que por supuesto es más compleja.

Cambiar marcadores
Este ataque es muy fácil de llevar a cabo. Un programa malicioso o alguien con acceso al PC cambia el sitio web detrás del marcador. Si hace clic en el marcador, se le llevará a otra página. Por supuesto, también hay otra dirección en la barra de direcciones. Por lo tanto, para tales ataques se utilizan a menudo direcciones que son muy similares entre sí, por ejemplo, adatainment.com se sustituye por adatalnment.com.

Correos / Mensajes de phishing
También puede ser redirigido a un sitio web falso mediante correos electrónicos de phishing o mensajes con enlaces a una “nueva versión especial de lujo”, una “actualización muy importante” u otras cosas tentadoras.

Otros PCs
La ventaja de las billeteras web es que no necesita ningún otro software. Es posible que se incline a utilizar billeteras web de otros PCs. No lo hagas. Nunca se sabe cuál es la situación de seguridad de este PC. Posiblemente un programa que registra todo se está ejecutando intencionadamente o quizás el PC ya está infectado involuntariamente con malware.

Conveniencia
Dado que a menudo necesita su clave privada o las palabras clave para una billetera web, los usuarios pueden tener la tentación de guardarlas sin cifrar en un archivo de texto en el PC. Allí, pueden ser robados rápidamente.

Secuestro de portapapeles
Al igual que con las billeteras de software, los programas maliciosos que cambian el portapapeles también serían un posible vector de ataque aquí.

Conclusión
Ada Lite es una buena pieza de software. Sin embargo, por las razones mencionadas, en general desaconsejo las billeteras web. Simplemente porque son páginas web y terminas en una dirección equivocada demasiado rápido. Si los utiliza, por favor, sólo junto con una billetera de hardware. De esta manera puede estar seguro de que no se transferirán datos críticos.

Billeteras de Papel

DAEDALUS

Las billeteras de papel (paper wallets), como las creadas por Daedalus, son muy seguras en cuanto a que “pueden ser pirateadas”. Nadie puede hackear un pedazo de papel, especialmente si está en una caja de seguridad.

La gran desventaja es que ya no puedes usar tus ADA. Sus ADA primero tendrían que importar la billetera de papel a Daedalus o Yoroi. Tan pronto como se importa una billetera de papel, ya no es tan segura como antes, porque la clave privada se almacena en un ordenador.

El principio: si se importa una billetera de papel, entonces ya no es una billetera fría. Se convierte en una billetera caliente y usted no debe usar más esta billetera de papel.

Vectores de Ataque
Nadie puede hackear un trozo de papel, pero pueden robarlo. El propósito de una billetera de papel es, no almacenar sus palabras semilla digitalmente. Por eso no debe guardar una billetera en papel como PDF, fotografiarla o hacer una captura de pantalla de la misma. En algunas empresas, todas las impresiones se archivan digitalmente, por lo que es preferible que no imprima su billetera de papel en la oficina.

Robo
El robo es sin duda el vector de ataque número 1. Esto incluye fotografiar o copiar las palabras clave.

Pérdida / Destrucción
También pueden ser fácilmente perdidos o destruidos por el agua y el fuego.

Generadores maliciosos
Si utiliza un programa malicioso para crear una billetera de papel porque acaba de buscar en Google “Paper Wallet Generator”, experimentará el impacto de su vida, cuando intente importar la billetera de nuevo. Sus ADA se habrán ido. Para siempre.

Por cierto: el hecho de que usted utilice un generador de billetera de papel “offline” no significa que esté en el lado seguro. Un programa malicioso puede generar muchas direcciones aparentemente correctas. Pero estos son fácilmente calculables por el programador del generador. Esto significa que incluso si utiliza un programa de este tipo en un PC que nunca ha estado conectado a Internet antes, sus ADA desaparecerán. Para siempre.

Daedalus es la única billetera que crea billeteras de papel. Pueden ser importados desde el propio Daedalus o desde Yoroi.

Conclusión
Las billeteras de papel son impresionantes para el almacenamiento a largo plazo de grandes cantidades de ADA, cuando usted tiene una manera de almacenarlos de manera segura.

Billeteras de Hardware

LEDGER NANO S, LEDGER NANO X, TREZOR-T

Lo bueno de una billetera de hardware es que, a diferencia de una billetera de papel, se puede utilizar aunque la clave privada esté protegida. Es un poco como una mezcla de billetera de software y billetera de papel.

En una billetera de hardware, la clave privada se almacena en un chip especial. A través de este chip la clave privada está aislada del resto del sistema y no puede ser utilizada directamente. Una vez almacenada, sólo se puede utilizar a través de una interfaz. Esta interfaz no tiene la opción de mostrar la clave privada, pero puede firmar, por ejemplo, las transacciones con ella. Este proceso se muestra en la pantalla de la billetera de hardware y debe ser confirmado con un botón.

Tienes que pensar en ello como una caja blindada con una ranura en la parte superior e inferior. En la parte superior se introduce la transacción deseada y en la parte inferior la transacción firmada simplemente se realiza. A continuación, se envía a la red. Este diseño hace que la clave privada de una billetera de hardware sea segura incluso si está conectada a un ordenador que ejecuta algún tipo de malware. Mientras el ser humano no pueda ser burlado para confirmar una transacción que no quiere hacer.

Vectores de Ataque
Como muestra el equipo de Wallet.fail, las billeteras de hardware son cualquier cosa menos libres de errores y los vectores de ataque pueden ser bastante creativos. Al igual que con una billetera de papel, primero necesita tener acceso al dispositivo en sí. Por lo tanto, primero debe ser robado o haber sido manipulado en la cadena de suministro / ruta de transporte hasta el cliente.

Dispositivo preconfigurado
Esto nos lleva al clásico vector de ataque para billeteras de hardware: la billetera ya viene “preconfigurada”, a veces incluso con un bonito prospecto con 24 palabras ya ocupadas para la recuperación y un pequeño manual. Si usted utiliza una billetera “preconfigurada” de este tipo, pronto podría perders sus ADA. Por lo tanto, estos dos principios deben ser observados:

  1. Siempre compre directamente del fabricante, por ejemplo a través de este enlace de afiliado: www.ledger.com, si utiliza este enlace, el precio no es diferente y obtenemos una comisión.

  2. Siempre arregle una billetera de hardware usted mismo, tomando nota de las palabras clave. Después de la configuración, debe transferir un número muy pequeño de ADA y probar la recuperación primero.

Robo
A diferencia de una billetera de papel robada, una billetera de hardware requiere que usted ingrese un pin. Si este pin se introduce 3 veces de forma incorrecta, la billetera de hardware se borrará automáticamente. Entonces, sólo puede ser restaurado con las palabras semilla.

En el peor de los casos, por supuesto, si a través de una vulnerabilidad en el sistema, la clave privada o las palabras clave pueden ser extraídas de un dispositivo robado. Mostrado en TREZOR-T en el 35º Congreso de Comunicación del Caos (35C3) en diciembre de 2018.

Secuestro de portapapeles
Programas maliciosos que alteran el portapapeles también serían posibles aquí. Pero, como la dirección también se muestra en la pantalla de la billetera de hardware, este ataque es más fácil de detectar.

PC comprometida
Una forma de atacar una billetera de hardware es mostrarle al usuario algo diferente (una dirección de destino o cantidad diferente) de lo que realmente se envía a la billetera de hardware. Así que el ordenador ha sido comprometido de alguna manera. Esta es exactamente la razón por la que las billeteras de hardware tienen una pantalla y siempre debe coincidir con la cantidad y la dirección de destino. Sólo confirme la transacción si todo está bien. Por lo tanto, una billetera de hardware también es segura, si el ordenador ha sido comprometido, siempre y cuando el ser humano no pueda ser burlado.

Manipulación de hardware
Manipular la visualización de la billetera de hardware no es imposible, pero es mucho más complejo que, por ejemplo, simplemente cambiar el portapapeles del ordenador o la visualización en la pantalla del ordenador con un programa malicioso. La billetera tiene que ser robada y luego devuelta. Los ejemplos se muestran en el sitio web de Wallet.Fail.

Ataque de rescate
Otra posibilidad interesante de atacar una billetera de hardware apareció en Marzo de 2019. El ataque de rescate se basa en el hecho de que una billetera modificada (la PC ya tiene que estar comprometida) genera una dirección de recepción que pertenece a su clave privada, pero fue elegida al azar. Para entender esto, hay que saber que las billeteras normalmente generan direcciones a partir de la clave privada a través de un índice que comienza en 0 y luego aumenta en uno: 0,1,2,3… pequeños espacios como 4,5,15,16… también son posibles.

La billetera manipulada elige un índice aleatorio en el rango de mil millones. La transacción a su dirección se confirma normalmente en la blockchain, pero no aparece en su billetera. Siguen perteneciendo a la clave privada, pero sólo se pueden encontrar con el índice de clave correcto porque ningún software de billetera puede detectar o buscar un hueco tan grande en el índice de clave.

Algunos fabricantes como Ledger y TREZOR-T ya han anunciado con actualizaciones de firmware que el ataque es “fijo”. Pero tienes que entender que no hay manera de arreglarlo. Por ejemplo, Ledger emite un aviso si el índice clave está fuera de un rango muy alto (más de 50.000). Para el ataque en sí, sin embargo, es suficiente si el índice de la clave sólo salta unos pocos miles. La diferencia es que si ocurre un ataque de este tipo, usted puede volver a su ADA más rápido con un rango más bajo. (Ya que uno tendría que probar todas las posibilidades)

Conclusión
Aunque aquí se enumera una larga lista de vectores de ataque, es necesario tener acceso directo a la billetera o al propio PC para todos ellos. Con otras billeteras ya habrías perdido. Si conoce los vectores de ataque, las billeteras de hardware son bastante seguras y ofrecen una gran flexibilidad.

Lo que habla en contra de una billetera de hardware es, en cualquier caso, el precio. Por ejemplo, si usted compró ADA por 200 dólares, no vale la pena gastar entre 60 y 120 dólares en una billetera de hardware.

1 Like