Recomendaciones de OPSEC para garantizar la seguridad criptográfica

cryptoshitcompra.com/wp-content/uploads/2023/04/Recomendaciones-de-OPSEC-para-garantizar-la-seguridad-criptografica.jpeg» width=»» class=»content-img» alt=»»/>

Ron Stoner es el jefe de seguridad del especialista en criptoseguridad con sede en EE. UU. Hogar.
__________

La seguridad operativa, u OPSEC, es el proceso de realizar la gestión de riesgos definiendo qué información está tratando de proteger, qué se requiere para lograr ese objetivo y luego tomando los pasos prácticos necesarios.

La filosofía detrás de OPSEC se centra principalmente en pensar como su atacante, comprender quién podría ser ese atacante y qué pasos podría tomar para explotarlo.

Realizar un buen OPSEC es especialmente esencial para los dispositivos de firma de claves de criptomonedas, como las billeteras de hardware. Las billeteras de hardware se consideran «billeteras frías» porque no tienen capacidad directa de Internet y necesitan estar conectadas a otro dispositivo, como un teléfono inteligente o una PC, para conectarse a Internet y ejecutar una transacción.

Estos dispositivos de hardware y el puente a través del cual se conectan son los puntos de falla más cruciales al ejecutar transacciones de criptomonedas.

Con 2022 convirtiéndose en el peor año registrado para los hackeos de criptomonedas, con $ 3.8 mil millones robados, OPSEC nunca ha sido más crítico. A medida que el espacio de activos digitales se vuelve más generalizado, los atacantes buscan nuevas formas de explotar usuarios y plataformas.

Si bien las apuestas y el perfil de riesgo de cada entidad que utiliza activos digitales variarán, todos los usuarios deben seguir las mejores prácticas para proteger su valor.

Protección del entorno de la firma

Antes de firmar transacciones, observe su entorno para identificar Nada que podría servir como vector de ataque.

Suponiendo que se encuentre en un entorno privado, como su hogar, esto incluye cosas como cámaras o micrófonos, que se encuentran en casi todas las computadoras portátiles y dispositivos móviles modernos.

No olvide varios productos de Internet de las cosas (IoT) como televisores inteligentes, Alexa, etc. Cualquiera de estos puede ser potencialmente usado para espiarte mientras ejecuta una transacción.

Por lo tanto, es esencial «limpiar» su espacio de trabajo de cualquier cosa que pueda ser explotada, apagando o incluso eliminando estos dispositivos del área operativa por completo.

Si bien esto puede sonar un poco paranoico, si hay en juego grandes cantidades de dinero, es un aspecto importante para protegerse de los atacantes.

Por lo general, no se recomienda firmar transacciones desde cualquier espacio público, como una oficina, biblioteca o cafetería, pero a veces es posible que no tenga otra alternativa. Si es así, hay varios pasos que puede seguir para maximizar su seguridad.

Nuevamente, querrá tener en cuenta las cámaras de seguridad en el área. Hoy en día, las cámaras de CCTV, especialmente las cámaras de resolución HD y 4K, pueden leer fácilmente lo que se muestra en la pantalla de una computadora o teléfono móvil dentro del campo de visión.

Obviamente, y con suerte, esto es evidente, no debería haber otras personas en el área inmediata. Lo mejor es encontrar el espacio más aislado posible, como un taller vacío.

Actualizar todos los dispositivos afectados

Quizás lo más importante, actualice todo el software y el firmware en todos los dispositivos involucrados en el proceso de firma.

Si no usa una computadora o dispositivo móvil directamente, su billetera de hardware deberá conectarse a uno para transmitir una transacción.

Teóricamente, las billeteras de hardware están diseñadas de tal manera que no debería importar si la unidad a la que se conectan está comprometida. Todos los procesos tienen lugar en la billetera misma; Las PC o los teléfonos inteligentes solo se utilizan para transmitir la transacción.

Sin embargo, algunas formas de malware pueden alterar varios aspectos de una transacción, incluido el monto y la dirección del destinatario. La dirección de intercambio, una dirección a la que va el resto de una transacción después de que se haya enviado la cantidad elegida al destinatario, también se puede manipular, un campo que es fácil pasar por alto.

Si usa un teléfono o una computadora, le recomendamos que actualice su sistema operativo con el último parche de seguridad. El firmware de su billetera también debe estar actualizado desde un punto de vista regulatorio.

Sin embargo, a menos que la actualización plantee una amenaza de seguridad urgente y específica, a menudo es mejor esperar unos días después de una nueva versión para actualizar. Esto se debe a que es común tener errores en los últimos parches, que tienden a solucionarse rápidamente pero pueden causar dolores de cabeza. Por esta razón, es una buena idea dar a las actualizaciones no críticas algo de espacio para que se prueben.

Una última cosa que debe recordar es actualizar continuamente todo el software y el firmware solo de fuentes oficiales, como un sitio web o un repositorio.

Trate de aprender a usar herramientas como GPG para verificar las firmas de los archivos con las documentadas oficialmente para confirmar que todos los datos coincidan con lo que debería estar allí.

Nunca confíe en ningún enlace, incluso en los que provienen de una pieza de software en particular, ya que hay demasiadas formas en que pueden usarse como medio de ataque.

Por ejemplo, la popular billetera Bitcoin Electro sufrió un ataque en 2020 que permitió a actores malintencionados enviar un mensaje a todos los usuarios a través de la propia aplicación, alegando la necesidad de una actualización con un enlace proporcionado.

Resultó que el enlace era una estafa de phishing que instalaba una versión corrupta de Electrum en la máquina de la víctima. Esto les dio a los atacantes el control total sobre las billeteras de quienes instalaron el software malicioso, lo que resultó en la pérdida de millones de dólares en fondos de los usuarios.

Los procedimientos de OPSEC se pasan por alto fácilmente

Uno de los vectores de ataque más obvios a enfrentar es el error humano. Incluso si cree que tiene una buena seguridad, los humanos tienden a desarrollar una falsa sensación de seguridad cuando nada sale mal, lo que lleva a prácticas laxas.

Los peores fracasos ocurren cuando bajas la guardia. Nunca apresure un evento de firma; asegúrese de tener mucho tiempo sin interrupciones.

Apresurarse o distraerse son excelentes maneras de pasar por alto algo como verificar dos veces los detalles de la transacción antes de confirmar una firma.

Si bien hemos mencionado varias líneas de defensa, esta nunca debe darse por sentada. Verifique dos y tres veces los montos y las direcciones involucradas en cualquier transacción porque podría evitar que cometa un error grave.

Además, tenga mucho cuidado al usar estaciones de carga públicas o incluso cables USB de terceros desconocidos. Hay cables USB aparentemente inofensivos circulante con pequeños chips dentro de sus cabezas que pueden interceptar e inyectar datos, secuestrando una transacción de criptomonedas y causando estragos.

Combinado con algunos problemas de compatibilidad y el desgaste del dispositivo, siempre es mejor usar los cables USB que vienen con cualquier dispositivo de firma externo.

Los chequeos de salud pueden brindar confianza rápida en sus llaves

Finalmente, existe una técnica que ofrecen algunos dispositivos de firma que puede ser invaluable para aumentar la seguridad. Conocido como un «Chequeo de salud”, esta técnica proporciona una manera fácil de verificar que sus claves están disponibles para firmar transacciones.

Si tuviera que ejecutar una verificación de estado en un teléfono celular, la verificación primero confirmaría que su clave está disponible localmente y que el dispositivo funciona correctamente. También garantizará que se haga una copia de seguridad de la misma clave válida en la nube.

Todo esto se puede automatizar con un simple clic y el usuario será notificado si algo anda mal.

Los mismos pasos básicos se aplican a las billeteras de hardware, pero el dispositivo externo deberá estar conectado a una computadora o teléfono móvil. También se pueden realizar comprobaciones de estado para varias claves en monederos de varias firmas.

Es importante destacar que si estas claves se almacenan en diferentes dispositivos, la verificación de estado se debe realizar en cada unidad relevante.

Si bien el mundo de OPSEC es complejo y está en constante cambio, proteger su entorno, mantener todos sus dispositivos actualizados y verificar problemas que se pasan por alto fácilmente son pasos esenciales para mantenerse a la vanguardia de los atacantes.

Al combinar estas estrategias con controles de salud regulares cada seis meses, los usuarios pueden mejorar significativamente la seguridad que protege sus fondos en criptomonedas.

____

Aprende más:

– Trezor emite una advertencia de seguridad
– Esta popular billetera de hardware ha sido pirateada por una empresa de seguridad cibernética. ¿Debería preocuparse?

– Los piratas informáticos y estafadores de criptomonedas robaron $ 1.62 mil millones solo en el cuarto trimestre
– Web3 perdió casi $ 4 mil millones por estafadores el año pasado – Las cosas mejorarán en 2023

– Cripto estafador obtiene $ 1.2 millones en tokens ARB a través de un ataque de «envenenamiento de direcciones» – Esto es lo que sucedió
– Crypto Wallet Maker Ledger recauda $ 109 millones en la última ronda de financiación: ¿ha vuelto el mercado alcista?

– MetaMask presenta más opciones de pago para comprar criptomonedas: ¿Adopción de criptomonedas en aumento?
– Apple aprueba la aplicación de billetera descentralizada Uniswap para iOS: así es como funciona

– ¿Cómo elegir una billetera Bitcoin?
– 3 formas de configurar una billetera Ethereum