Criptomonedas cero en casa: sin bancos en la era de los ataques Wrench y el phishing | Jameson Lopp y Beau

Ryan:
[0:00] Hoy contamos con dos expertos en seguridad en el podcast. Además de mí mismo, está Ryan Sean Adams. David no puede estar con nosotros hoy. Déjenme explicarles por qué estoy haciendo este episodio.

Ryan:
[0:10] Ha habido un aumento de los ataques físicos a inversores en criptomonedas. Probablemente haya ocurrido durante el último año o los dos últimos años en particular. Podría compartir una docena o más de historias. Esto está causando ansiedad en la comunidad criptográfica. Quizás, como oyente, te esté causando cierta ansiedad, ya que has visto algunos de estos casos en los titulares. Por lo tanto, este episodio es una forma de recuperar algo de control. Este episodio trata sobre tácticas. Se trata de formas de reforzar tu seguridad física contra los ataques físicos y tu seguridad digital contra los ataques de phishing. Incluye un enfoque que me gusta llamado «cero criptomonedas en casa». Al menos así es como yo lo llamo. Y significa más o menos lo que dice. Se trata de diseñar un sistema para que no puedas acceder a las criptomonedas en casa utilizando multifirmas, retrasos temporales y verificación de terceros cuando sea necesario. Ahora bien, sé que esto añade cierta fricción al proceso. Sé que en algunos aspectos no es lo ideal, pero es algo que aconsejo y que es importante, sobre todo si eres un inversor en criptomonedas doxado. No eres un seudónimo y tu nombre está ahí fuera. Porque una cosa que creo que oirás si has escuchado el podcast Bankless durante algún tiempo es que creemos que el propósito de las criptomonedas es la libertad. Quieres ser tu propio banco, pero no quieres ser el guardia de seguridad de tu banco. Eso no es libertad. Así que averigüemos cómo prescindir de los bancos en la era de los ataques wrench.

Ryan:
[1:37] Bankless Nation está haciendo este episodio porque parece muy oportuno. Y la verdad es que he estado retrasando este episodio durante bastante tiempo.

Ryan:
[1:45] porque me produce cierta ansiedad. Pero la razón por la que creo que lo necesitamos ahora es porque los nativos de las criptomonedas y quizás la industria de las criptomonedas están sintiendo cierta ansiedad por la seguridad, una mayor ansiedad por la seguridad. Así que tengo dos invitados que van a hablar de eso. Y mi esperanza es que obtengamos una visión clara del problema al que se enfrentan los nativos criptográficos. Y también, que salgamos de esto con algo de optimismo y algunas soluciones. Así que, si eres un nativo criptográfico, si llevas un tiempo en esta industria, este es un episodio que te interesará escuchar, porque profundizamos bastante en algunos temas relacionados con la seguridad, la protección y los ataques Wrench. Para ello, cuento con los dos mejores invitados: Jameson Lopp, cofundador de Casa Security, y Beau, exagente de la CIA que ahora se encarga de la seguridad en Pudgy Penguins. Jameson, Beau, gracias por acompañarnos. Encantados de estar aquí.

Beau:
[2:44] Gracias por invitarme.

Ryan:
[2:45] Muy bien. Ahora que comenzamos 2026, me gustaría conocer su opinión sobre las mayores amenazas a las que se enfrentan los nativos criptográficos. ¿Cómo las clasificarían y qué dirían, Jameson?

Jameson:
[2:56] Bueno, creo que la mayor amenaza es la misma de siempre, que son los terceros de confianza y el hecho de no custodiar tus propios activos, porque hay un millón de cosas que pueden salir mal en este ámbito. Y, al menos, cuando controlas tus claves, limitas quién puede cometer todos esos errores. Más allá de eso, la privacidad es realmente importante. Hablaremos de ello porque, básicamente, considero que la privacidad es la capa más externa de la seguridad. Si puedes detener a la gente en la capa de privacidad, es de esperar que ni siquiera lleguen a poner a prueba ninguna de tus otras capas de seguridad. Y luego, realmente... Probablemente acabaremos dedicando algún tiempo a hablar de ello, pero creo que es lo que menos preocupa a la gente porque es lo menos frecuente, aunque cada vez recibe más atención: los ataques físicos reales. Pero es algo novedoso en este ámbito y ha ido recibiendo más atención simplemente por su naturaleza atroz.

Ryan:
[3:54] De acuerdo, quiero profundizar en eso un momento, Jameson. Piensa en todas las amenazas a las que se enfrentan hoy en día los titulares de criptomonedas y los nativos de las criptomonedas. Algunas de las amenazas de las que vamos a hablar, como los ataques brunch, quizá, son mucho más lejanas que la amenaza real de perder tus activos criptográficos con algún tipo de tercero. Y por tercero, te refieres a una bolsa, por ejemplo, o un custodio, un FTX o un BlockFi del que no estás seguro. ¿Sigues considerando esas amenazas mucho más graves que algunas de las que vamos a comentar sobre la posibilidad de prescindir de los bancos con tus criptoactivos?

Jameson:
[4:29] Sí, o incluso hacer autocustodia con contratos inteligentes novedosos que no han sido suficientemente examinados y auditados y cosas así. Y el problema con cualquiera de estas opciones es que todas pueden conducir a pérdidas catastróficas. Pero en este tipo de cosas a gran escala, si miras las estadísticas totales de pérdidas y los tipos de pérdidas que se han producido en los últimos años, siguen siendo en su mayoría terceros de confianza, sistemas mal auditados. Y aunque los ataques de wrench están aumentando, en términos relativos, cuando los comparas con el ecosistema más amplio de amenazas, siguen siendo muy pequeños.

Ryan:
[5:07] De acuerdo. Bo, ¿qué dirías a esta misma pregunta, cuáles son las mayores amenazas a las que se enfrentarán los nativos criptográficos en 2026?

Beau:
[5:13] Estoy bastante de acuerdo con la priorización de Jameson. Creo que, sobre todo teniendo en cuenta que es posible que nos dirijamos hacia un mercado bajista. Estamos en un mercado bajista, se mire como se mire. Los riesgos que has mencionado, como FTX o Robinhood en el último ciclo, hicieron que la gente vendiera sus tokens de Solana cerca de los mínimos del mercado, ¿verdad? Cuando no controlas tus propios tokens, pueden pasar muchas cosas malas. Desde...

Beau:
[5:39] Ya sabes, desde una bolsa que intenta hacer lo correcto desde el punto de vista normativo hasta una bolsa que quiebra. Jameson aludió un poco a esto, pero, ya sabes, a medida que las empresas de criptomonedas empiezan a despedir a sus equipos de desarrollo porque hay menos dinero en el sector, esos contratos inteligentes no se van a auditar con tanta frecuencia. Los estafadores se van a centrar, ya sabes, potencialmente en eso más que en los inversores individuales, porque saben que hay menos gente protegiendo ese tipo de activos financieros. Así que yo, no tengo mucho que añadir a eso. Creo que yo también opino lo mismo. Y añadiría que, a medida que los ataques de wrench se convierten en un tema de conversación, suenan aterradores, pero, para el inversor medio que está escuchando este podcast,

Beau:
[6:26] primero hay que ocuparse de la seguridad digital. Porque, ya sabes, las probabilidades de que te ocurra un ataque Wrench son mínimas en comparación con los cientos de intentos de phishing que ves cada día en Internet a través de X, Discord o Telegram, así que hay que prepararse para lo que es más probable que te encuentres a diario. Estoy totalmente de acuerdo con Jameson en eso.

Ryan:
[6:48] En realidad, Bo, quizá ese sea un buen punto de partida. Y reduzcamos un poco la audiencia. Como probablemente sabéis, en el podcast Bankless defendemos la idea de prescindir de los bancos, ¿verdad? Y eso es lo que hemos defendido desde el primer día por algunas de las razones que ambos habéis mencionado. Los terceros son los que a menudo fallan en la configuración de la seguridad, y son los que pierden tus activos. Entonces, ¿cómo se resuelve eso? La forma de las criptomonedas, la forma de Bitcoin, la forma de Ethereum es prescindir de los bancos. Ahora bien, creo que cada vez hay más fisuras en esa armadura. A veces, la experiencia del usuario es un poco difícil de llevar a cabo. Hablaremos de eso. Pero se puede superar todo eso y aprender a custodiar bien los activos criptográficos. Sin embargo, lo que realmente me ha dejado desconcertado han sido los ataques de phishing que han...

Ryan:
[7:42] Cada vez más sofisticados y que han engañado incluso a los nativos criptográficos más experimentados para que entreguen sus activos. Así que esa es una dimensión que ha sido una especie de grieta en la armadura del consejo de prescindir de los bancos para resolver esto si se quiere una seguridad del 100 %. Y la otra cosa ha sido, francamente, los ataques de wrench. Y estos, aunque son poco frecuentes, dan mucho miedo. Y les han estado ocurriendo a los nativos criptográficos del sector. Así que quizá estas sean las dos cosas en las que quiero centrarme. Y Beau, acabas de darnos algunas prioridades. Has dicho que, con diferencia, la mayor amenaza en términos de probabilidad a la que te vas a enfrentar si custodias tú mismo tus activos es probablemente algún tipo de ataque de phishing. Y has dicho que la seguridad digital, creo, es lo más importante. ¿Puedes hablarnos de los tipos de ataques que se dirigen a los nativos criptográficos en lo que respecta al phishing? Y luego darnos algunos ejemplos para que podamos...

Ryan:
[8:41] pensar en ello y luego hablaremos de cómo proteger tu seguridad digital.

Beau:
[8:46] Claro, y sí, creo que para ponerlo en un marco un poco más amplio, ya sabes, tengo experiencia en el ejército y en inteligencia. Así que, cuando planificamos, hablamos de la línea de actuación más probable y de la más peligrosa. Para las personas que están preocupadas por las amenazas relacionadas con las criptomonedas, la línea de actuación más probable es que se vayan a encontrar con estas amenazas digitales. Podemos hablar de los detalles en un momento. Pero la línea de acción más peligrosa es la idea de que alguien vaya a aparecer en tu casa, te amenace a ti y a tu familia, y pueda incluso quitarte la vida, en un intento de conseguir tus criptomonedas, ¿verdad? Por eso es importante planificar tanto la opción más probable como la más peligrosa. No hay que descartar en absoluto la amenaza de un ataque con llave inglesa. Pero sí, creo que algunos de los intentos de phishing que hemos visto, ya sabes...

Beau:
[9:36] En realidad, los estafadores intentan hacer una de dos cosas.

Beau:
[9:40] Y eso es comprometer tus claves privadas o engañarte para que les des permiso para hacer algo en la cadena. Tengo experiencia en NFT porque...

Beau:
[9:49] trabajo con.

Beau:
[9:50] Pudgy Penguins. Usando un ejemplo de NFT, cuando intercambias NFT en Ethereum, tienes que conceder aprobaciones de contratos inteligentes para que mercados como OpenSea puedan tomar el activo que estás vendiendo de tu monedero y transferirlo al comprador. Y cuando concedes estas aprobaciones, estás dando permiso para que ese contrato inteligente entre en tu monedero, tome esos activos y los mueva. Por eso, los estafadores crean sitios de phishing que, básicamente, se hacen pasar por marcas de renombre en el sector, como OpenSea o Pudgy Penguins, e intentan engañar al usuario para que visite ese sitio. Así que puede que estés navegando por tu feed en X y veas que Pudgy Penguins está lanzando un nuevo airdrop, ya sabes, ven a reclamarlo ahora. Irás a ese sitio y te parecerá igual que nuestro sitio web. Verás un botón para conectar la cartera. Conectarás tu monedero y el sitio web lo escaneará para ver qué activos tienes. Y si tienes los activos valiosos que buscan, te presentarán una firma que activa el contrato inteligente para el que has dado tu aprobación. Así que utilizarán los permisos que le diste a OpenSea para tomar un NFT de Pudgy Penguin de tu monedero y lo transferirán a ellos mismos. Y pueden utilizar solicitudes de firma sin gas para hacerlo. No queda muy claro lo que estás firmando. Por lo tanto, si no prestas atención o estás cansado, puedes regalar tus activos en cuestión de segundos.

Beau:
[11:18] Y luego otro vector que mencioné, ¿verdad?, es que quieren comprometer tus claves privadas. Y una de las principales formas en que los atacantes intentan hacerlo es sembrando malware en los dispositivos que podrían proteger tus claves privadas. Estoy seguro de que mucha gente entra en este espacio, igual que yo.

Ryan:
[11:35] Que eres tú

Beau:
[11:36] Descargar una cartera MetaMask. Ya sabes, es una cartera caliente. Tus claves se generan en línea. Se almacenan, ya sabes, localmente. Y si descargas malware, este puede robar tus claves privadas y comprometer por completo tu cartera. Y eso puede distribuirse de un millón de formas diferentes, desde descargar una modificación a un juego si utilizas un PC para juegos para cosas relacionadas con las criptomonedas. Hemos visto entrevistas de trabajo falsas en las que el estafador intenta que la víctima descargue un software de reuniones que puede parecerse a Zoom. Versiones falsas de Ledger Live u otras carteras de hardware, software local. Y el objetivo es conseguir acceso a tu dispositivo que protege esas claves privadas. Así que creo que, a alto nivel, esos son dos ejemplos del phishing que vemos. Creo que podemos hablar de ingeniería social en términos más generales, pero casi todos estos intentos tienen elementos de ingeniería social, que consiste realmente en intentar manipular las emociones de alguien para que haga algo que de otra manera no haría. Por ejemplo, reclamar un airdrop, vas a conseguir dinero gratis. Esta es una respuesta emocional que la gente va a tener.

Beau:
[12:54] Alguien que te ofrece un trabajo puede provocar reacciones similares. Voy a hacer una pausa aquí.

Ryan:
[13:00] Jameson, ¿qué añadirías a las amenazas digitales?

Jameson:
[13:03] Sí, creo que es un buen resumen del panorama de las amenazas. Y luego diría que las técnicas para combatirlas no son tan difíciles. Se trata principalmente de simplicidad y de minimizar la superficie de ataque. Así que, si realizas cualquier tipo de operación habitual o interactúas con redes criptográficas en un navegador o en un ordenador portátil o de sobremesa, debes minimizar el número de tipos de software que instalas en ellos. Cada vez que instalas un nuevo software, se crea un vector de amenaza potencial. Además, debes separar los diferentes tipos de carteras.

Ryan:
[13:43] Piensa en ello de la misma manera que, por ejemplo, tienes tu cartera que llevas contigo con un poco de dinero en efectivo, tarjetas de crédito y otras cosas. Esa es tu cartera de gastos. No llevas contigo decenas de miles o cientos de miles de dólares con

Jameson:
[13:57] en el bolsillo trasero. No deberías hacer lo mismo con tus criptoactivos. Deberías tener una caja fuerte de alta seguridad completamente separada y, a ser posible, un almacenamiento en frío y, con suerte, con claves distribuidas si se trata de una cantidad de dinero que te cambiaría la vida. Y luego tienes tu pequeña cuenta de gastos con la que corres más riesgos, y que no te arruinará la vida si algo sale mal.

Ryan:
[14:21] Todo eso tiene sentido. Supongo que volviendo a algunas de las cosas que estáis diciendo, Bo, mientras lo describías, casi parecía que se producía una parálisis, como si quisiera la solución fácil. Y quizá la solución fácil sea simplemente no hacer nada en la cadena.

Ryan:
[14:42] Estás diciendo que, por ejemplo, con los contratos inteligentes, me podrían engañar para que hiciera clic en el enlace equivocado y realizara una especie de contrato inteligente de phishing. Bueno, tal vez simplemente dejara de hacer cosas en la cadena por completo. ¿Es esa la respuesta? Porque creo que esto es parte del desafío al que se enfrentarán los oyentes de Bankless cuando escuchen algunos de estos escenarios, que es como, bueno, tal vez la respuesta sea que debería dejar de hacer cosas en la cadena. Vas aún más lejos. Quizás la respuesta sea que debería poner mis criptoactivos en ETF de custodia y dejar que sigan su curso. Bo, ¿hay alguna forma de evitar esto? Porque me preocupa que los ataques se vuelvan más sofisticados. No siempre voy a estar alerta. Ya sabes, podría haber una cuenta de Telegram de un compañero de trabajo que fuera hackeada y en la que analizaran nuestro historial de conversaciones. Suenan igual que la persona con la que estaba hablando. Estoy un poco somnoliento, un poco aturdido. Siempre hago clic en este enlace de Zoom y luego hago clic en el enlace de Zoom y me conecto y es un deepfake. Se parece a la persona con la que he interactuado y, de alguna manera, son capaces de obtener mis claves privadas mediante ingeniería social. Bueno, simplemente no quiero hacer clic en ningún enlace de Internet. No quiero participar en ninguna reunión de Zoom. ¿Qué medidas de seguridad prácticas podemos tomar en el ámbito de la seguridad digital que sean factibles, pero que nos permitan seguir viviendo nuestra vida cotidiana y hacer cosas en el ámbito de las criptomonedas?

Beau:
[16:11] Sí, creo que es una gran pregunta. Y no voy a quitarle protagonismo a Jameson en lo que respecta a los ETF, porque sé que tiene algunos y ha hablado mucho sobre ello. Pero no creo que la respuesta sea, ya sabes, simplemente no hacer cosas en la cadena, o no creo que la respuesta sea: «No voy a tener bitcoins, voy a tener un ETF en su lugar», ¿verdad? Creo que, especialmente en el mundo de los NFT, tienes estos activos porque te dan acceso a cosas. Así que comprarlos y dejarlos en una cartera sin hacer nada con ellos es como ir en contra del propósito. Es similar a si te interesa DeFi, ¿verdad? Y quieres abrir posiciones de liquidez o prestar tu dinero o cualquiera de esas cosas, estás dejando un montón de opciones sobre la mesa si solo dices:

Ryan:
[16:58] No voy a participar.

Beau:
[17:00] Y, bueno, creo que, en la práctica, lo que Jameson comentaba sobre la segregación de carteras es muy importante. Yo tengo lo que describiría como un sistema de tres carteras: la cartera que uso a diario, que llevo conmigo para pequeñas transacciones, y otras carteras que utilizo para actividades más arriesgadas. Así que, si quisiera vender un activo o interactuar con un contrato inteligente,

Ryan:
[17:25] Aprobaciones de subvenciones, ese tipo de cosas, lo hago principalmente en una cartera dedicada

Beau:
[17:29] conjunto de carteras. Y luego tengo carteras en las que nunca concedo aprobaciones.

Beau:
[17:34] Y nunca hago nada con ellas, excepto transferir activos hacia y desde ellas. Eso me ayuda a saber que mi actividad más arriesgada está lejos de mis activos más valiosos. Y, en realidad, ese sistema es como apostar contra mí mismo en cierto modo, porque si acabo cometiendo un error, sé que no lo habré cometido en una cartera que contiene mis activos más valiosos. Por eso creo que es importante tener un sistema sencillo en el que sepas lo que estás haciendo con cada cartera y entiendas con qué te has permitido interactuar. Eso es realmente importante. Y otra cosa que diría en general es que los proveedores de carteras han mejorado. Las opciones de carteras han mejorado.

Beau:
[18:23] Tanto en la detección de estafas.

Beau:
[18:25] En proteger tus claves privadas. Creo que la empresa de Jameson, Casa, es un buen ejemplo de ello. Hay un montón de alternativas para, oh, hice clic en este enlace de Zoom y de repente todos mis activos han desaparecido. Y eso no es realmente así como funciona. Pero hay un montón de alternativas para, sí, si descargo malware en mi MacBook ahora mismo, podría perder unos cientos de dólares en una cartera caliente. Pero sé con certeza que la forma en que he almacenado mis claves privadas, la forma en que he mantenido mis frases semilla fuera de línea, no están en la aplicación de notas de mi iPhone o mi MacBook, así que esas cosas no se van a ver comprometidas. Así que, ya sabes, no me preocupa tanto qué pasará si descargo malware. ¿Afectará a mis criptoactivos? Porque el sistema que he configurado me permite tener cierta confianza y no preocuparme tanto por esas estafas. Por eso creo que es muy importante, cuando incorporamos a gente nueva al espacio por primera vez, ayudarles a comprender las consecuencias de ciertas decisiones.

Beau:
[19:29] Mucha gente utiliza la misma cartera para todo lo que hace en la cadena y nunca piensa en los riesgos de poner todos los huevos en la misma cesta. Por simple que sea, el hecho de tener una cartera con una frase semilla separada que esté escrita y utilizar una cartera de hardware o firmantes distribuidos protegerá gran parte de tus activos en comparación con si lo guardas todo en una cartera MetaMask, por ejemplo, o en una cartera caliente. Así que creo que...

Beau:
[20:03] Solo añadiría que no hay que poner todos los huevos en la misma cesta. Aprovecha las ventajas de las carteras de hardware que guardan tus claves almacenadas fuera de línea. Es algo en lo que debería pensar cualquiera que tenga más de 1000 dólares en criptomonedas. Sal y gasta 100 dólares en una cartera de hardware y empieza a trasladar esos activos desde la cartera de la extensión de tu navegador o desde la cartera de la aplicación de tu iPhone a algo

Beau:
[20:30] un poco más seguro.

Ryan:
[20:32] De acuerdo, entonces, segregación de carteras. Creo que hemos elegido nuestra primera táctica a seguir de este episodio. Ahora vamos a desarrollar eso un poco más. Vale, lo que quiero es un enfoque de segregación de carteras que vosotros dos calificarías con un 9 sobre 10, por ejemplo. En este momento, parece que lo peor que se puede hacer es guardar todos los activos criptográficos en una sola cartera en la extensión del navegador MetaMask. No lo hagáis. Es lo peor que se puede hacer. Pero, ¿qué tipo de enfoque de segregación funciona para la gran mayoría de la gente? ¿Es una especie de monedero caliente y monedero frío? ¿Hay dos tipos? Y en el monedero frío, ¿es multifirma? ¿Está respaldado por hardware? Y luego, ¿cómo se delimita lo que se guarda en el monedero caliente frente al monedero frío? ¿Hay algo intermedio? ¿Existe la idea de un monedero tibio? Quizás, Jameson, podrías explicar cómo sería un enfoque de segmentación de monederos bastante bueno para alguien que nos esté escuchando.

Jameson:
[21:35] Bueno, yo suelo decir que no se debe guardar en una cartera caliente más valor del que se llevaría en efectivo en una cartera que se guarda en el bolsillo. Para mí, eso sería quizás unos 1000 dólares. Es muy cómodo, pero también es muy propenso a sufrir diferentes tipos de pérdidas. Realmente, si tienes más de unos pocos miles de dólares en activos, empieza a tener sentido lógico gastar 100 dólares en comprar una de las marcas de hardware de carteras frías bien evaluadas y de buena reputación, ya sea Trezor, Ledger, Bitbox, lo que sea. Hay muchas por ahí. No hace falta investigar mucho para averiguar cuáles llevan mucho tiempo en el mercado y tienen buena reputación.

Beau:
[22:20] Y eso es bueno porque puedes llevarla contigo si es necesario.

Jameson:
[22:24] Son dispositivos increíblemente pequeños y solo tienes que conectarlos a tu teléfono, ordenador portátil o lo que tengas si necesitas interactuar con una red de criptoactivos para hacer algo. Y eso te protege de aproximadamente el 95 % de las cosas malas que pasan por ahí. Lo único que hay que entender en ese momento es que nunca, jamás, se debe escribir esa frase semilla en nada que no sea el propio dispositivo de almacenamiento en frío, porque ahí es donde entra en juego la ingeniería social. Nuestras mejores prácticas en materia de seguridad han mejorado tanto en la última década que la ingeniería social se ha convertido en la forma más común de ataque hoy en día, porque los actores maliciosos saben que no van a poder comprometer estos dispositivos, que son increíblemente resistentes, sencillos y difíciles de infectar con malware, ya que están diseñados para resistirlo. Así que, en cambio, el punto débil de la mayoría de la gente hoy en día está justo aquí, entre tus ojos, ya que van a intentar engañarte y van a utilizar tácticas muy comunes, como el miedo, la duda o la urgencia, para intentar hacerte creer que hay algún tipo de emergencia en la que debes actuar y saltar por el aro sin pensarlo demasiado. Y creo que la gente debe entender que, en cuanto se hace cargo de sus activos,

Beau:
[23:51] Un gran poder conlleva una gran responsabilidad.

Jameson:
[23:53] Estás asumiendo un gran poder porque ya no tienes que pedir permiso para utilizar tus activos como desees. Pero ahora tú eres el banco. Y los bancos se esfuerzan mucho en su seguridad por una razón. Hay una razón por la que existen los bancos. Es porque la gente, en general, prefiere externalizar todas las complejidades de la seguridad. Una forma en la que me gusta verlo es: ¿sabes que hay muchos medicamentos en los que la etiqueta dice «no manejar maquinaria pesada mientras se toma este medicamento»? Creo que deberías verlo como que nunca debes manejar una cartera criptográfica cuando no estás en plenas facultades cognitivas. Si estás bajo la influencia de algo, si estás cansado, si estás enfermo, eso puede hacer que no estés tan atento y no te des cuenta de que alguien está intentando engañarte. Por eso, yo suelo interactuar con las redes criptográficas lo menos posible. Y cuando lo hago, solo lo hago, ya sabes. A mediodía, cuando estoy completamente despierto y no tengo ningún tipo de problema que pueda hacerme pasar algo por alto. Así que hay que tener mucho cuidado al interactuar con la cartera, ya que es una operación potencialmente catastrófica porque, si se comete un error, si se cae en una trampa, no hay nadie que pueda deshacerlo.

Ryan:
[25:17] Así que supongo que tal vez sea una cuestión de instinto, si sientes algún tipo de prisa por parte de alguna fuente para realizar esta transacción ahora, sea cual sea la causa de esa fuente, realmente deberías hacer una pausa, respirar hondo e intentar esperar, ya sabes, al menos 24 horas para que ese pánico remita. No debes hacer nada con prisas ni con pánico cuando se trata de activos en cadena. En cuanto a la ingeniería social, ¿qué tal si reducimos los canales? Creo que muchos oyentes de criptomonedas y oyentes sin banco probablemente reciben mensajes de texto y llamadas spam debido a fugas de datos en el pasado, que pretenden ser de Google o del servicio técnico de Coinbase. ¿La regla es simplemente no responder a nada de eso? O en Telegram, por ejemplo, recibes mensajes directos y es que esto ocurre todo el tiempo. La gente dice: «Oye, ¿tal persona es empleada de Bankless? Me han pedido que me una a este canal para una entrevista». Y la respuesta siempre es «no». No es así como nos ponemos en contacto contigo. Pero, ¿la respuesta es simplemente no responder a un mensaje directo o a un mensaje de Telegram de una fuente en la que no confías o que no has autenticado a través de múltiples canales? ¿Tenéis alguna regla general?

Ryan:
[26:35] ¿Para evitar y blindarte contra la ingeniería social a través de un correo electrónico, un enlace, algo que ocurre en línea, un mensaje de texto?

Jameson:
[26:45] Sí, la palabra clave que has utilizado es «autenticar». Y la versión resumida es que casi todos los canales de comunicación que existen no están autenticados. Hay muy pocos, tal vez, básicamente canales cifrados de extremo a extremo, como si tuvieras un chat de Signal preestablecido con alguien en el que ya has verificado que ha sido históricamente, tal vez WhatsApp, más allá de eso, el correo electrónico, los mensajes de texto, Discord, Telegram, todas estas otras cosas no están autenticadas y es muy fácil para la gente fingir ser otra persona. Así que, en resumen, no confío en ningún mensaje entrante. Si recibes un mensaje entrante que te parece sospechoso, lo que debes hacer es buscar cómo contactar con esa persona por tu cuenta, preferiblemente a través de un canal de comunicación diferente, y preguntarle: «Oye, ¿eres tú? ¿Puedes confirmarlo o desmentirlo?».

Ryan:
[27:43] Ahora bien, con este tipo de cosas se producen juegos del gato y el ratón. Algunos de los ataques son cada vez más sofisticados. Imagina una situación en la que te llama un ser querido y suena como su voz, por ejemplo, y te pide dinero para algún tipo de urgencia. Y suena igual que ellos. Quizás incluso parezca que viene de su número de teléfono. He oído hablar de gente que establece palabras de seguridad para sus contactos sociales cercanos, que son una especie de indicador o una forma de avisar a uno de tus seres queridos, a tu persona, con la que acuerdas la palabra de seguridad por adelantado, y eso te permite autentificarte. ¿Cuáles son algunas de las mejores prácticas en este sentido, Jameson?

Jameson:
[28:25] Sí, bueno, la razón principal por la que no soy partidario de las palabras de seguridad es porque, a menos que elijas algo único y lo practiques con regularidad, cuando te encuentres en una situación en la que alguien esté bajo coacción, es muy posible que lo olvides. Prefiero utilizar conocimientos compartidos entre nosotros. Así que, si tú y un amigo o tú y un ser querido tenéis una larga historia juntos, no os faltarán acontecimientos memorables que compartís y que no son públicos y que podéis preguntaros el uno al otro. Y, por supuesto, podéis hablar de ello con antelación. Pero creo que eso es algo más fácil de recordar y así te aseguras de que no te quedarás en blanco si te encuentras en una situación así. No querrás que te salga una palabra aleatoria de la que solo hablaste una vez hace cinco años y que has olvidado por completo.

Ryan:
[29:16] Así que, si usas una palabra de seguridad, asegúrate de practicarla de forma habitual o, si no, puedes autentificarte llamando, ya sabes, recordando algún tipo de recuerdo compartido, algo que solo vosotros dos sepáis. Y supongo que, ya sabes, espero que funcione. Pero Bo, ¿tienes algo que añadir en cuanto a la ingeniería social?

Beau:
[29:35] Sí, creo que, en cuanto a las palabras de seguridad, es un concepto que, obviamente, es muy común en el mundo de la inteligencia. Cuando conoces a alguien en la vida real, quieres establecer la buena fe, quieres asegurarte de que es la persona con la que realmente has quedado, ¿verdad? Y James tiene toda la razón, eso requiere práctica, ¿no? Así que hacer algo más natural, como compartir recuerdos, es mucho más eficaz que, ya sabes, intentar obligar a tu ser querido a sacar el tema de los plátanos en una conversación, ¿no? Especialmente si se trata de una situación de ataque con llave inglesa en la que están bajo coacción, ese tipo de cosas. En cuanto a la ingeniería social en general, creo que mi regla de oro es que si recibo un mensaje de una página web de criptomonedas o de cualquier cosa relacionada con las criptomonedas, una página web de intercambio, una aplicación, si me preocupa el contenido del mensaje, entro directamente en esa página web. No hago clic en el enlace del correo electrónico o del mensaje de texto. No llamo al número de teléfono que aparece en el mensaje.

Beau:
[30:40] Me indica el mensaje.

Beau:
[30:41] Para llamar. Siempre puedo iniciar sesión en mi cuenta de Coinbase y comprobar si hay algún inicio de sesión sospechoso. Hay un lugar para verlo en la configuración de seguridad de tu cuenta de Coinbase. Así que, ya sabes, confiando directamente en esa fuente, autenticando que la información que recibes de Coinbase es realmente de Coinbase, puedes hacerlo iniciando sesión en Coinbase, ¿verdad? Por supuesto, eso depende de que lo hagas de forma independiente, escribiendo la dirección correcta de la página web en tu navegador, iniciando sesión y asegurándote de que es la página web correcta, ¿verdad? Ya sabes.

Beau:
[31:20] Ese mensaje que dice: «Oye, tu cuenta de Coinbase ha sido pirateada, haz clic aquí para restablecer tu contraseña», nunca te va a ayudar.

Jameson:
[31:28] Sí. Otra cosa muy común que muy poca gente, creo, aprecia es de cuántos tipos de ataques te protege un simple gestor de contraseñas. Y la razón es, como decía Bo, que a menudo estos mensajes entrantes tienen enlaces y los phishers básicamente intentan engañarte para que introduzcas tus credenciales en su portal web, que luego cogerán y utilizarán para iniciar sesión en tu cuenta y vaciarla. Pero si utilizas un gestor de contraseñas, solo tienes que hacer clic en él para que rellene automáticamente tu nombre de usuario y contraseña. Y la razón por la que esto es tan eficaz es que existen prácticas como el typo squatting, en las que compran dominios que...

Beau:
[32:13] El ojo humano.

Jameson:
[32:13] Se parecen exactamente al dominio del objetivo, como coinbase.com o cualquier otro, pero el gestor de contraseñas puede distinguir la diferencia y, si acabas haciendo clic en uno de estos enlaces de phishing a un dominio que parece igual, el gestor de contraseñas no lo rellenará automáticamente, y esa es otra señal de alarma importante, ¿de acuerdo?

Ryan:
[32:29] Así que otra recomendación es usar gestores de contraseñas. Adelante, Bo.

Beau:
[32:33] Sí, y creo que es un concepto muy similar al que describe Jameson con la autenticación de dos factores y la autenticación multifactorial. Ya sabes, cuando utilizas una llave como YubiKey o incluso la mayoría de las llaves de acceso, estas no se autentican en esos sitios web falsos de phishing. Sin embargo, si utilizas Google Authenticator y te da un código de seis dígitos, eres vulnerable, ya que puedes proporcionar ese código de seis dígitos en un sitio web de phishing si no prestas atención. Y en ese momento, tu 2FA no te ha servido de nada, porque esos sitios web ejecutan un script en segundo plano para tomar inmediatamente tu código 2FA e introducirlo en el sitio web real de Coinbase, por ejemplo. Así que un punto a favor de los gestores de contraseñas. Y cuando pienses en la 2FA, creo que comprar una YubiKey por 50 dólares es una gran inversión para cualquiera, sin más. Pero especialmente para las personas que se dedican a las criptomonedas. Así que, ya sabes, es algo que puedes añadir a tu cuenta de Coinbase. Es algo que puedes añadir a la mayoría de las demás plataformas de intercambio.

Ryan:
[33:36] Así que un gran punto a favor para los gestores de contraseñas, además de la 2FA para todas tus cuentas en general. Y el estándar de oro para la 2FA es acostumbrarse a utilizar una YubiKey física en cierto nivel y almacenarla, protegerla y hacer una copia de seguridad adecuada. SMS para la autenticación de dos factores. No, gracias.

Beau:
[33:58] Sí, no nos gusta el SMS.

Ryan:
[34:00] ¿Verdad? La razón, por supuesto, es que si recibes un mensaje de texto, te podrían cambiar la tarjeta SIM. Es increíblemente inseguro. No utilices SMS. Los códigos de autenticación son mejores que los SMS si no hay más remedio, pero el estándar de oro sería una YubiKey. Parece que esa es la recomendación.

Jameson:
[34:16] Sí, te lo diré. Lo que exigimos a nuestros empleados en CASA es... Lo que más preferimos es YubiKey, como FIDO2, TAP o Passkey en YubiKey, la nueva YubiKey compatible con Passkeys. Y, como ha dicho Bo, Passkeys es una gran mejora con respecto a todos los demás tipos de 2FA porque está vinculado al nombre de dominio.

Jameson:
[34:41] El siguiente es el TOTP, las contraseñas de un solo uso basadas en el tiempo, que son contraseñas rotativas de seis dígitos. Mucha gente solo menciona Google Authenticator porque es el software más común. Pero yo detesto Google Authenticator porque, por defecto, sube todos tus secretos a la nube, a tu Google Drive. Así que, si tu cuenta de Google se ve expuesta, pueden hacerse con todos ellos. Lo bueno de YubiKey, una vez más, es que creo que mucha gente no sabe que, aunque un servicio no sea compatible con FIDO U2F o la clave de acceso de YubiKey, existe un software para YubiKey llamado Yubico Authenticator. Es similar a Google Authenticator, excepto que almacena los secretos en el propio dispositivo de hardware. Así que, una vez más, se obtiene toda esa seguridad física, ya que, a menos que un atacante tome el control físico de ese YubiKey, no puede hacer nada. Y luego, el último vestigio de 2FA más allá de eso sería el correo electrónico y, potencialmente, los SMS. De hecho, todavía hay bancos que solo admiten la 2FA por SMS y no hay mucho que se pueda hacer al respecto. Personalmente, lo que hago es tener un montón de números de teléfono virtuales diferentes y, ya sabes, esos servicios de números de teléfono virtuales están segregados y se configuran por separado.

Jameson:
[36:07] Las credenciales no se pueden transferir. Así que es lo mejor que se puede conseguir en cuanto a seguridad de SMS.

Ryan:
[36:14] ¿Podemos decir algo sobre la seguridad digital en relación con el correo electrónico? Porque, como dijo recientemente el fundador de ProtonMail, el correo electrónico ya no es solo correo electrónico. El correo electrónico es, en realidad, identidad. Y el reto aquí es que, si te hackean el correo electrónico, muchos oyentes utilizan Gmail y Gmail plantea muchos retos. Yo abogo por una protección avanzada, por ejemplo, eliminar el número de teléfono de recuperación y la dirección de correo electrónico de recuperación. Esos valores predeterminados son tan perniciosos como los valores predeterminados de Google Authenticator. Y luego, siempre que sea posible, no utilices Gmail, ¿de acuerdo? Puedes utilizar ProtonMail. De hecho, puedes configurar alias e identidades para varias cuentas. Jameson, ¿qué opinas de ese consejo y qué añadirías a la conversación sobre el correo electrónico?

Beau:
[37:02] Sí.

Jameson:
[37:02] Lo que vemos con más frecuencia en la ingeniería social es que intentan acceder a tu cuenta de correo electrónico porque, a menudo, la mayoría de la gente no tiene una autenticación de dos factores sólida. Y si tienes la cuenta de correo electrónico de alguien, puedes restablecer sus contraseñas y su 2FA y luego acceder a cualquier servicio de terceros que deseen. Por lo tanto, diría que la cuenta de correo electrónico es, para la mayoría de la gente, el aspecto más importante de su vida digital. Por eso, vuelvo a decir que YubiKey es la respuesta. Puedes comprar varios Yubikys. No tienes por qué comprar solo uno, porque, obviamente, si lo pierdes o se rompe, eso se convierte en un gran problema. Puedes comprar tres, cuatro, cinco y tener varios como respaldo. Incluso puedes guardar uno en la caja fuerte de un banco, por ejemplo. Así sabrás que no se va a perder y que se trata solo de un caso extremo de recuperación. Pero esto es de un nivel muy, muy alto, como todo lo que estamos hablando, todos los tipos de ciberseguridad, el poder más fuerte. El modelo de seguridad que puedes crear es cuando puedes tomar todos estos problemas de seguridad digital y trasladarlos al mundo real, convirtiéndolos en un problema de seguridad física. Y, por lo general, la forma de hacerlo es mediante algún tipo de dispositivo físico de seguridad, ya sea uno de los libros de contabilidad del tesoro o cualquier otro del lado criptográfico, o las claves u otros gestores de secretos digitales que se utilizan para una variedad de mecanismos de autenticación diferentes. Solo quiero...

Ryan:
[38:32] Dar unas palabras de ánimo a los oyentes en este punto de la conversación, que es la inversión que harías en claves de acceso, en YubiKeys, en proteger tus cuentas. Se trata de una inversión pionera, porque creo firmemente que los ataques que se están produciendo contra las criptomonedas son como la punta de lanza. Los ataques que se están produciendo en el ámbito de las criptomonedas, con métodos tan sofisticados, están llegando a todo, y en el futuro todo el mundo tendrá este tipo de protecciones y medidas de seguridad, porque será algo básico; si no lo haces, te quedarán completamente dominado. Lo que quiero decir es que esta inversión que estás haciendo para proteger tus cuentas, en claves de acceso, YubiKeys, gestores de contraseñas y toda la inversión en seguridad,

Ryan:
[39:19] eso te va a dar ventaja sobre todos los demás. Pero todos los demás también tendrán que adaptarse a este mundo. Así que no es una pérdida de tiempo. No es solo algo específico del mundo de las criptomonedas. Todo el mundo necesitará este tipo de seguridad en el futuro, independientemente de si el resto del mundo tarda entre tres y cinco años en ponerse al día.

Jameson:
[39:35] El aspecto desafortunado de la seguridad en general es que, como sabes, siempre habrá atacantes. Por lo tanto, nunca vas a tener una seguridad perfecta. Lo único que quieres es tener una seguridad mejor que la de los demás, porque ellos serán los que se conviertan en el blanco. El atacante estudiará el panorama de los posibles objetivos y dirá: «Oh, eso parece demasiado difícil. Voy a pasar a tu vecino».

Ryan:
[39:57] Antes de dejar el tema de la seguridad digital, quiero mencionar que he visto casos en los que alguien ha hecho clic en un enlace, por ejemplo, y ha descargado el software malicioso Zoom, y todo su equipo ha quedado completamente controlado, con acceso de nivel raíz a todo. Por supuesto, la solución es no dejar que eso ocurra en primer lugar, pero aún así puede suceder. Y quiero hacer una pregunta sobre otra cosa que he oído que hacen algunos expertos en criptomonedas, y que puede ser un poco más avanzada, por lo que quizá no sea para todo el mundo. Además de las firmas múltiples, las carteras de hardware y la segregación de las que hemos hablado, ¿qué tal un ordenador independiente exclusivamente para firmar que ni siquiera se conecte a tu red Wi-Fi pública? ¿Qué opinas de eso como método infalible en el que no se realizan transacciones criptográficas en la máquina que se utiliza habitualmente? Si alguna vez las realizas, las haces en una máquina de firma de transacciones que está segregada, que no hace clic en enlaces de Zoom, que no abre correos electrónicos y que solo tiene un propósito. Y ese propósito es cuando tienes que firmar una transacción criptográfica importante.

Jameson:
[41:02] Sí, quiero decir, esto entra dentro de la minimización de la superficie de ataque. Antes, Trezor fue el primer dispositivo de hardware criptográfico que se lanzó, y eso fue en 2014, y antes de eso, los portátiles con aislamiento físico eran realmente el estándar de oro para hacer cualquier cosa.

Ryan:
[41:19] De acuerdo. Sí. Así que tal vez estemos cerrando el círculo. Muy bien. James, acabas de señalar que lo que quieres intentar hacer es trasladar parte de lo digital al ámbito físico.

Ryan:
[41:29] Así que tienes dispositivos de hardware y YubiKeys y quizás portátiles aislados y ese tipo de cosas. Pero hablemos más sobre el ámbito físico, porque los atacantes también se han trasladado al ámbito físico. Hablemos de lo que tú, Bo, has calificado como el tipo de ataque más peligroso. Ya hemos abordado los más probables. Esperamos que ahora, oyentes, tengáis algunos consejos sobre cómo afrontarlos y cómo protegeros. Hablemos de una forma concreta de ataque preocupante, quizá la más peligrosa.

Ryan:
[41:56] tipo de ataque, que son estos ataques violentos en persona. Bo, ¿qué opinas al respecto? ¿Puedes darnos algunas cifras sobre este tipo de ataques, ataques con llaves inglesas, cifras como un perfil de lo que suele ocurrir, a quiénes se dirigen? Danos una idea de cómo serán las cosas en 2026.

Beau:
[42:17] Sí, creo que el año pasado hubo algo más de 70 ataques de los que tenemos constancia, ¿verdad? Suponemos que muchos de estos ataques no se denuncian o, si se denuncian, es posible que no se identifique una conexión con las criptomonedas. Sí. De cara a 2026, creo que hemos visto 10 u 11 hasta ahora este año, quizá un par más. Así que, ya sabes, definitivamente hay, de nuevo, cuando piensas en la escala de la humanidad, ¿verdad? Hay 8000 millones de personas en el planeta, y estamos hablando de 100 incidentes en los últimos 12 meses de los que tenemos constancia, ¿verdad? Así que es una escala relativamente pequeña, pero muy específica. Por lo tanto, realmente empieza con tu seguridad digital y tu privacidad, ¿verdad? Estos atacantes buscan identificar a personas en el mundo real que tengan control sobre estos activos digitales. Así que miran las cuentas de Twitter de la gente. Miran las carteras en cadena de la gente. Buscan a personas que alardean de su riqueza. Y es obvio que esta persona tiene dinero. Podría ser un objetivo de interés. Y a partir de ahí, intentan averiguar quién es esta persona. Muchos de nosotros operamos bajo seudónimos. No diría que de forma anónima, porque ninguno de nosotros es realmente anónimo, pero muchos utilizamos seudónimos en Internet para ocultar nuestro verdadero nombre.

Beau:
[43:39] Si logran superar esa barrera de identificar quién podría ser esta persona, comenzarán a hacer lo que llamamos investigación de código abierto o investigación OSINT, buscando la información que puedan obtener sobre esa persona en línea. Esto consiste, por ejemplo, en comprar datos en la web oscura o utilizar motores de búsqueda online baratos o gratuitos que permiten buscar direcciones de correo electrónico, números de teléfono y direcciones postales para identificar dónde podría estar físicamente esa persona, ¿no? Te sorprendería saber en cuántos estados de Estados Unidos se puede encontrar la dirección particular de alguien basándose únicamente en los registros del censo electoral o en multas de tráfico o comparecencias judiciales. Nuestro sistema no está diseñado pensando en la privacidad en la era digital. Así que, en realidad, todo el mundo tiene este problema si lleva más de 10 años conectado a Internet. Todas las cuentas en las que te has registrado... Hace un par de semanas estuve ayudando a alguien con una filtración de datos: su dirección particular se filtró en una aerolínea, en una filtración de datos en la que tuvieron que proporcionar su fecha de nacimiento, su dirección particular, como su residencia y ciudadanía, y su número de teléfono. Así que todos estos datos se unen para que un posible atacante pueda identificar realmente dónde está esta persona.

Beau:
[45:06] persona que han encontrado en Internet podría estar localizada en el mundo real. Y a veces vemos esto cuando la gente hace sus propias investigaciones. Es como una organización sofisticada que tiene gente haciendo estas investigaciones, gente sobre el terreno. Otras veces vemos que personas en el espacio digital venden estos datos a personas que están dispuestas a llevar a cabo esos ataques en el mundo real. Los ataques son un poco diferentes dependiendo de la situación, pero a menudo vemos que ocurren en casa. Ya sabes, alguien se acerca a tu puerta fingiendo ser un repartidor o un agente de policía, con alguna excusa plausible para estar en tu casa. Llaman a la puerta, tú la abres y entonces, ya sabes, o bien intentan convencerte de que les dejes entrar en la casa, o bien entran por la fuerza, esgrimiendo un arma o empujando físicamente para entrar en la casa. Y luego, ya sabes, algo que hemos visto a menudo es que los atacantes retienen a las personas, las atan a una silla o algo así, las amenazan, básicamente intentando que les digan dónde están.

Beau:
[46:17] Ya sabes, las carteras criptográficas están donde están sus frases semilla. Y entonces su objetivo en ese momento es encontrar esa información y salir lo antes posible. También hemos visto casos en los que esto se convierte en una situación de secuestro para pedir rescate, en la que, por ejemplo, irrumpen en una casa y las llaves no están allí o la persona equivocada está en casa, etc., entonces pueden ponerse en contacto con la persona que controla los fondos y decirle: «Tengo a tu ser querido, envíame 10 millones de dólares en bitcoins, ¿de acuerdo?». Esas son algunas de las tácticas que hemos visto. Depende un poco de la situación, pero hemos visto casos en los que han secuestrado a personas en la calle, hemos visto casos de atracos, ¿no? Entrando y saliendo de edificios de oficinas, en su mayor parte, se dirigen a figuras conocidas en el sector, personas influyentes, ejecutivos de empresas de criptomonedas, sus familiares, sí. Así que eso es, más o menos, de la A a la Z, ¿cómo funciona? Y dejaré que Jameson añada algo si tiene algo que decir.

Ryan:
[47:23] Sí. Y Jameson, mientras añades algo, ¿puedes contarnos qué está pasando en Francia ahora mismo? Porque parece que hay un grupo muy activo en Francia. Y la gente de la comunidad criptográfica en Francia está lidiando con esto, pero no se limita a Francia. Quiero decir, este tipo de ataques están ocurriendo en toda Europa. Sin duda están atacando, están ocurriendo en Estados Unidos y han ocurrido en 2025 en Estados Unidos, tal y como describía Beau. Pero parece que hay un grupo en Francia. ¿Cuál es el patrón allí y por qué?

Jameson:
[47:54] Creo que hay varios factores en juego, aunque debo señalar que hice un análisis exhaustivo de esto en una presentación que di el año pasado. Y, en términos per cápita, Francia aún no se encontraba entre los primeros puestos. En realidad, era Dubái, en términos per cápita, el lugar con más ataques de «wrench». Y, si no recuerdo mal, casi todos ellos se debían a personas que realizaban transacciones OTC presenciales de alto valor. Básicamente, alguien se presentaba en una habitación de hotel con un maletín lleno de dinero en efectivo y quería hacer un intercambio de una forma u otra. Pero lo otro interesante es que Dubái también tiene la tasa más alta de llevados a los delincuentes ante la justicia, con una tasa de captura del 100 %, probablemente debido a su alto nivel de vigilancia en toda la ciudad. Entonces, ¿qué está pasando en Francia? Quiero decir, creo que...

Beau:
[48:45] Ha habido.

Jameson:
[48:45] Varias bandas organizadas que han estado operando. Sé que había una en la que creo que el cerebro operaba desde Marruecos, y creo que lo detuvieron el año pasado. Otra cosa que ha pasado es que sabemos que había un funcionario fiscal corrupto que vendía datos privados de la gente. Así que la información relacionada con las criptomonedas que figuraba en las declaraciones de impuestos de algunas personas se vendía a algún tipo de grupo del crimen organizado.

Ryan:
[49:11] Es una locura. Básicamente, un soborno del Gobierno para saber quién tiene criptomonedas y quién es probable que tenga este valor. En Francia hay que informar de estas cosas al Gobierno. Así que simplemente sobornan a un funcionario y este les da nombres y direcciones.

Jameson:
[49:24] Sí. Y hubo un problema similar en Suecia, donde se exige que toda la información fiscal sea pública. Así que hubo una serie de ataques en Suecia porque básicamente tenías que decirle al mundo entero: «Oigan, voy a declarar mis criptomonedas en mi declaración de impuestos». No sé, hace mucho que no voy a Francia, pero veo muchos comentarios en estas publicaciones de gente que básicamente denuncia una especie de declive cultural en Francia, donde parece que hay una falta de aplicación de la ley. Parece que están deteniendo a varias personas, pero también parece que muchas de las personas detenidas no están recibiendo castigos especialmente severos. Y, como tú dices,

Ryan:
[50:04] Jameson, el patrón es que a menudo hay un actor externo que actúa como cerebro y que puede estar completamente alejado. Intenta analizar los datos del objetivo y luego, no sé, contrata, trabaja con, se divide, procede con una especie de grupo más local de matones, matones jóvenes que no tienen nada que perder, ya sabes, tal vez no, no tienen la capacidad de hacer toda la inteligencia operativa necesaria para atacar a las personas. Y a veces puede ser muy difícil localizar a ese cerebro, incluso si se captura a los matones locales. Sí.

Jameson:
[50:39] Y luego recuerda que Ledger tiene su sede en Francia. Estoy seguro de que tienen muchos clientes franceses y han sufrido varias violaciones de datos a lo largo de los años, aunque no creo que tengamos ninguna información que vincule directamente las violaciones de datos con los ataques, pero parece bastante plausible que ese sea otro factor más aquí. En cuanto a los grupos del crimen organizado, otra pauta que hemos observado, aunque se ha dado principalmente en el sudeste asiático, es que las bandas del crimen organizado de un país buscan información sobre los ciudadanos de ese país. Y luego, cuando esos ciudadanos se van de vacaciones a otro país, normalmente en el sudeste asiático, envían a gente allí, les atacan y luego vuelven. Y creo que se trata de un interesante tipo de actividad delictiva organizada de arbitraje jurisdiccional transfronterizo.

Beau:
[51:30] Especialmente en la UE, donde se puede viajar de Francia a Suiza sin mostrar el pasaporte, o de Francia a España. Se sale de una jurisdicción muy rápidamente. Creo que en uno de los ataques más recientes en Francia, los atacantes acabaron siendo capturados en un tren en el que viajaban de París hacia el sur de Francia, cerca de la frontera con Suiza. Así que, ya sabes, la idea de llevar a cabo el ataque y luego desplazarse rápidamente a otra jurisdicción o lejos, creo que eso es lo atractivo de Europa.

Ryan:
[52:01] Vale, entonces la versión más aterradora de esto, creo, para mucha gente que quizá esté escuchando, no es la versión en la que se encuentran con alguien en un aparcamiento o muestran sus activos en las redes sociales. En cierto modo, creo que la mayoría de los oyentes son lo suficientemente inteligentes como para no hacer ese tipo de cosas. La versión más aterradora, si piensas en la categoría más peligrosa, Beau, es... Que algún genio haya localizado tu dirección física y, como tú dices, eso es increíblemente fácil de hacer en los tiempos que corren. Quiero decir, quizá podamos hablar de si hay alguna forma de proteger tu dirección física y mantenerla privada. Pero ellos conocen tu ubicación y quizá también tengan alguna idea de que eres propietario de criptomonedas gracias a fugas de datos, quizá una fuga de datos de una cartera de hardware, quizá una fuga de datos de una plataforma de intercambio. Quizás el software fiscal que utilizas. Creo que esto también fue un factor en algunos de los ataques en Francia. Ya sabes, utilizas un software fiscal para enviar tu declaración, si es automatizado, envías tus direcciones y ¿qué pasa si se filtra esa información? Y entonces toda esa información está ahí fuera. Y luego, digamos que te localizan y un atacante conoce tus direcciones,

Ryan:
[53:14] Sabe cuántos activos criptográficos puedes tener, tiene alguna idea de cómo puedes tener esos activos y entra en tu casa, te amenaza a ti y a tu familia. Quiero decir, eso es como una pesadilla para mucha gente que nos está escuchando. Y ya hemos dicho al principio que esto sigue siendo extremadamente raro y no es el vector de ataque por el que la mayoría de los oyentes deberían preocuparse.

Ryan:
[53:41] Sin embargo, creo que es el ataque que más pánico y preocupación provoca. ¿Podemos hablar de cómo mitigar eso? Sé que no existe la seguridad 100 % garantizada,

Ryan:
[53:55] Pero creo, y después de haber investigado un poco sobre esto y haber hablado con ustedes dos, que hay una serie de cosas que los oyentes pueden hacer para reducir la superficie de este tipo de ataques y, aunque no eliminarlos, sí reforzar la defensa contra ellos. Así que hablemos de eso. Jameson, ¿cómo puede alguien que está escuchando esto protegerse contra los ataques físicos de allanamiento de morada con llaves inglesas?

Jameson:
[54:22] Bueno, como dije al principio, lo más importante, o diría que lo más fácil que se puede hacer, es proteger la privacidad, evitar convertirse en un objetivo en primer lugar. Pero, como has señalado, eso puede ser muy complicado, sobre todo dependiendo de la jurisdicción en la que vivas. Tendrás diferentes herramientas a tu disposición, diferentes cosas que quizá tengas que revelar. Al menos en Estados Unidos, contamos con excelentes herramientas legales, como los fideicomisos y las sociedades de responsabilidad limitada, que permiten ocultar la verdadera propiedad, los activos registrados públicamente, como viviendas, vehículos y demás. Y yo aprovecho todas ellas. Además, tienes que sentirte muy cómodo con no incluir la dirección de tu domicilio en ningún tipo de base de datos o registro extranjero. Tienes que asumir que, tarde o temprano, esa información se filtrará. Por eso, tengo varios buzones repartidos por ahí que utilizo cada vez que me piden una dirección física.

Jameson:
[55:23] Pero otra cosa que me gustaría señalar es que este problema de los ataques Wrench no se limita a la autocustodia. Veo que mucha gente financia la autocustodia, como si, bueno, si no fueras el custodio de tus activos, entonces no tendrías que preocuparte por los ataques Wrench. Pero en varios de estos casos, la gente en realidad guardaba sus activos con un custodio. Y el atacante con llave inglesa simplemente dice: «Vale, autentifícate en ese custodio y retira todos los activos». Así que en realidad no supone una gran diferencia para el propio atacante, porque todo se reduce a puntos únicos de fallo. Y aquí es donde las cosas se complican, porque muy poca gente piensa de forma adversaria sobre su postura de seguridad. En resumen, y la razón por la que los atacantes de tipo «wrench» tienen tanto éxito, creo que generalmente tienen una tasa de éxito superior al 50 %. Y según las métricas de las que tenemos conocimiento anualmente, vemos que se llevan decenas de millones de dólares. Y eso solo en los ataques en los que revelan la cantidad que se han llevado. En muchos de estos ataques, nunca revelan la cantidad.

Jameson:
[56:31] Pero piénsalo de esta manera. Si puedes transferir grandes cantidades de dinero sin salir de casa, entonces tienes un único punto débil, porque básicamente tienes que considerar un ataque con llave inglesa como una situación en la que tu cuerpo o el de alguien a quien quieres está bajo coacción física. Y todos tus procedimientos normales de autenticación pueden ser eludidos porque tú mismo los eludirás, ya que sabes cómo hacerlo. Así que la única forma de plantear verdaderos problemas...

Beau:
[57:12] Un ataque con llave inglesa para que tenga éxito.

Jameson:
[57:15] Si ya han superado todas las protecciones de privacidad que tienes, es eliminarte a ti mismo de la ecuación como único punto de fallo. Lo que básicamente significa que no debes configurar, al menos, tus ahorros a largo plazo, el almacenamiento en frío, de tal manera que puedas autenticar y transferir ese valor sin tener que ir físicamente a múltiples lugares y pasar por múltiples procedimientos de autenticación física.

Jameson:
[57:45] Esta es una de las cosas que ayudamos a configurar en CASA, que es básicamente un sistema de claves distribuidas en el que se dispone de dispositivos físicos distribuidos geográficamente y se utilizan múltiples fabricantes diferentes para prevenir cosas como los ataques a la cadena de suministro. Y simplemente asegurarse de que se tiene fuerza a través de la diversidad. Es un aspecto muy interesante de la seguridad cuando se pueden tener múltiples claves con diferentes propiedades de seguridad. Se obtiene este fantástico aspecto de seguridad adicional en la configuración, del que creo que muy poca gente es consciente. Y la razón por la que todo esto me parece fascinante y por la que llevo más de una década dedicándome a ello es porque sostengo que, si se diseña adecuadamente con redes criptográficas públicas sin permiso, se pueden conseguir modelos de seguridad que superan con creces lo que puede hacer un banco o incluso Fort Knox. Incluso Fort Knox es un único punto de fallo, y puedes distribuir tus claves y tu seguridad por varios continentes si lo deseas, como hacemos con algunos clientes extremos que, literalmente, tienen que coger un avión y pasar por todos los controles de seguridad física de la TSA y el aeropuerto, y cosas por el estilo, ya que sabes que nadie te va a retener bajo coacción y podrás pasar por ese nivel de seguridad física para llegar a tus otras claves.

Ryan:
[59:10] Vamos a profundizar en eso, porque de hecho escribí un artículo sobre esto y lo publiqué

Ryan:
[59:15] en X y en Bankless. Básicamente, se trataba de la idea de no tener criptomonedas en casa. Y esto es una especie de revelación después de escuchar a los expertos en seguridad durante un tiempo, que el estándar de oro para defenderse de un ataque con llave inglesa exitoso es, en realidad, Jameson, como tú dices, tener casi cero, cero, cero criptomonedas en casa. Así que la forma en que defino esto en un formato memético es no tener en casa ninguna cartera caliente con fondos superiores a 1000 dólares. No llevarías eso en casa ni contigo. No tener ninguna cartera fría en casa, y punto.

Ryan:
[59:52] Y nada de intercambios, esto es clave, que permitan mover fondos sin verificación y sin retrasos. Así que cero criptomonedas en casa, sabes que las tienes cuando no tienes la posibilidad de acceder a tus fondos sin un retraso. Sin múltiples ubicaciones, sin algún tipo de autenticación de terceros, por ejemplo, una caja de seguridad o algún otro lugar donde puedas acceder a una de las partes de tu multifirma y lo conviertas en algo real. Haces de eso tu postura. Por supuesto, podrías seguir sin banco, pero simplemente no tendrías acceso a ninguno de tus activos criptográficos. Y para mí, mientras descubría esto, tal vez profundicemos un poco más en ello, de hecho, Jamison. Entonces, si alguien quiere implementar lo que tú dices y lo que yo escribí, que es cero criptomonedas en casa, ¿qué tipo de herramientas necesita para implementar eso? Creo que la clave es algún tipo de monedero multifirma, posiblemente con retrasos temporales y una forma de, y también si guardan algún activo criptográfico en intercambios, configurarlo de tal manera que se requiera algo antes de poder acceder a esos fondos, tal vez un retraso temporal antes de añadir un monedero o algo por el estilo. ¿Puedes explicar en qué consiste una estrategia de cero criptomonedas en casa para el oyente medio que intenta hacer las cosas de forma un poco más segura?

Jameson:
[1:01:21] Sí, como he dicho, nuestro objetivo principal en Casa es eliminar los puntos únicos de fallo. Y eso incluye a la propia Casa como empresa. Si Casa fracasa, seguiremos pudiendo dormir tranquilos sabiendo que nuestros clientes pueden prescindir de nosotros y seguir accediendo a sus fondos. Pero lo primero, la parte fundamental, es utilizar estos dispositivos aislados, los libros de contabilidad, los tesoreros y demás, para sacar esas claves de Internet. Porque, como he dicho, eso te protege de alrededor del 95 % de los ataques. En cuanto haces algo en un dispositivo conectado a Internet, básicamente tienes una puerta abierta a 8000 millones de personas que pueden llamar y tratar de entrar. Más allá de eso, una vez que hayas desconectado esas claves y las tengas bajo tu custodia, los mayores problemas con los que te vas a encontrar...

Jameson:
[1:02:09] Suelen ser errores propios, ya sabes, cometes un error, algo sale mal, hay algún tipo de fallo ambiental, ya sabes, los incendios domésticos son algo que ocurre, y no deberías guardar todo en casa, porque ese es un único punto de fallo. Así que se convierte menos en un problema de hackers y atacantes, y más en un problema de tener suficiente redundancia y resiliencia, de modo que cuando algo salga mal, porque algo saldrá mal eventualmente, pero cuando algo salga mal, no sea un fallo catastrófico. Y ahí es donde, una vez más, entra en juego la multifirma. Es genial porque te da la flexibilidad de configurar una caja fuerte digital con muchas claves diferentes. Quizás tenga tres claves, cinco claves, diez claves, tantas como quieras.

Jameson:
[1:03:00] Y entonces puedes tener suficiente flexibilidad como para que, si pierdes una, dos o tres claves, lo más probable es que tengas otras claves disponibles. Pero, por supuesto, aquí es donde no es la panacea. La clave está realmente en los detalles. Si creas una caja fuerte con cinco claves y guardas todas esas cinco claves en casa, y hemos visto a gente hacerlo, sigues teniendo un único punto de fallo. Lo importante es distribuir esas claves para que tengan una variedad de atributos diferentes. Ya sabes, poner las claves en diferentes dispositivos de hardware de diferentes fabricantes en diferentes ubicaciones geográficas. Y todas estas cosas conllevan decisiones. Y ahí es donde creo que la gente puede quedarse muy paralizada. Y por eso creo que servicios como Casa son muy útiles, porque en esencia somos un servicio de consultoría de seguridad. Te ayudamos a comprender cuáles son las ventajas y desventajas de estas decisiones. Y, por lo general, cada una de estas decisiones consistirá en que tú intentes sopesar la comodidad frente a la seguridad. Un ejemplo sencillo es: ¿a qué distancia vas a colocar esas claves? Puedes colocarlas...

Beau:
[1:04:08] Una casa más abajo, lo cual es muy conveniente, pero quizás no muy seguro.

Jameson:
[1:04:13] El ejemplo extremo que ya he dado es que puedes colocarlas en continentes diferentes, lo que te obligaría a coger aviones, lo cual es un nivel extremo de seguridad. Incluso llegas al punto del arbitraje jurisdiccional si hay algún tipo de acción a nivel gubernamental contra las criptomonedas. Pero, por supuesto, es increíblemente incómodo. Así que realmente se reduce a la solidez y a la capacidad de recuperarse de un fallo. Y eso se consigue distribuyendo las claves entre tantos vectores diferentes como sea posible.

Ryan:
[1:04:45] Analicemos eso con el escenario de ataque del que estamos hablando, que es, digamos, que eres objeto de algún tipo de ataque.

Ryan:
[1:04:51] Tienes una configuración de multifirma, ya sea Kasa. Y Kasa, creo, es compatible con Bitcoin, Ethereum, stablecoins y esos activos criptográficos. También hay otras tecnologías de multifirma. Por ejemplo, SAFE. He oído hablar de gente que utiliza cámaras acorazadas de Bitcoin como Zengo. En cualquier caso, tienes tu configuración de multifirma. Entonces, ¿qué ocurre en un escenario de ataque con llave inglesa? Alguien irrumpe en tu casa y ¿entonces qué? Tú dices: «No tengo ninguna cripto en casa». Es obvio que no pueden llevarse los criptoactivos, pero ¿podrían ir a otro lugar para intentar hacerse con tus otras firmas múltiples? ¿Qué pasaría? ¿Cómo evita tu plan de contingencia, Jameson, que un ataque con llave inglesa tenga éxito?

Jameson:
[1:05:38] Sí. Obviamente, la siguiente pregunta que se harán es: «Vale, ¿qué se necesita realmente para acceder a estas claves?». Y ahí es donde los detalles cobran importancia. Si solo dejas las claves en casa de un amigo o vecino que vive a pocos minutos, probablemente no sea una buena idea. Y debes asumir que te obligarán a decir la verdad porque estarás bajo coacción. Va a ser una situación muy mala. Y mentir y que te pillen mintiendo solo va a empeorar las cosas para ti. Por eso es muy importante tener las llaves bajo custodia física, donde solo se pueda acceder a ellas, quizás durante ciertas horas del día, en horario comercial, y donde haya otras capas de autenticación física para asegurarse de que realmente eres tú quien las está utilizando.

Ryan:
[1:06:32] Entonces, una caja de seguridad en un banco es un ejemplo clásico de esto, ¿verdad?

Jameson:
[1:06:36] Sí. Y por eso también es importante la multifirma, porque yo no recomendaría llevar una sola llave a una cartera de firma única y guardarla en una caja de seguridad de un banco, porque sigue siendo un único punto de fallo. El banco podría tener un empleado corrupto. O incluso hemos visto casos en los que las fuerzas del orden han entrado y se han llevado toda la caja de seguridad.

Ryan:
[1:07:00] Esto está ocurriendo en California. Hay otros estados que han hecho lo mismo.

Jameson:
[1:07:03] Sí, pero si solo tienes una clave para una firma múltiple, una vez más, podrías perder el acceso a ella. Podría ser robada o destruida y no pasa nada. Puedes recuperarla con tus otras claves.

Ryan:
[1:07:13] De acuerdo, entonces, si lo haces correctamente, el atacante básicamente no puede obtener nada. Quiero decir, ¿se frustrarán por no poder obtener nada? ¿Te creerán? Ya sabes, ¿qué...?

Jameson:
[1:07:25] ¿Qué más puedes hacer? No importa si te creen. Y ahora, por supuesto, la siguiente pregunta es: ¿qué van a hacer como resultado de su frustración? Y la siguiente pregunta lógica que se hace la mayoría de la gente es: bueno, ¿debería tener una cartera de coacción para intentar pagarles y hacer que se vayan? Y, por desgracia, no tenemos ningún dato que demuestre que las carteras de coacción funcionan. De hecho, hemos visto lo contrario, que la gente ha entregado inmediatamente todo lo que tenía y el atacante ha creído que intentaban engañarlo con una cartera de coacción, y ha seguido torturándolos durante mucho tiempo antes de frustrarse finalmente y huir. Lo único que diría que, en mi opinión, favorece a las víctimas en este caso es que la tasa de homicidios por estos ataques es increíblemente baja. Si lo piensas bien, se trata de ladrones. Están dispuestos a utilizar la intimidación y cierto grado de violencia para obtener una gran recompensa, pero por lo general no están dispuestos a asesinar a alguien y que las fuerzas del orden los persigan por asesinato. Porque cualquier delincuente que tenga cierta experiencia y comprenda la forma en que las fuerzas del orden y el sistema judicial dan prioridad a la persecución de los agresores sabe que el homicidio tiene la tasa de resolución más alta y se le asignan los mayores recursos. Por lo tanto, no conviene estar en el punto de mira de las fuerzas del orden por homicidio.

Ryan:
[1:08:49] Sí. De acuerdo. Esto es lo que añadí cuando estaba pensando en mi artículo sobre Zero Crypto at Home. Así que el primer paso es implementar Zero Crypto at Home. En realidad, no lo tengas, no tengas acceso a él. Y utilizando algunos de los mecanismos que Jameson acaba de describir, otra idea que se me ocurrió es escribir una nota, o tener algo preparado de antemano que diga: «No tengo criptomonedas en casa». No guardo criptomonedas en casa ni en mi teléfono, solo calderilla. Tengo calderilla, menos de 1000 dólares. Llévatela. No tengo nada más. Y luego creo que, si eres una persona pública, hay formas de señalarlo o hablar de ello. Vitalik Buterin lo ha hecho bastante bien en algunos sitios y en respuestas a tuits, por ejemplo. Ha hablado de su configuración de multifirma y la describe como una M de N, algunas claves las tienes tú, pero no las suficientes como para bloquear la recuperación, y el resto las tienen personas en las que confías. Así que tiene una especie de mecanismo de recuperación social. No reveles quiénes son esas otras personas, ni siquiera entre ustedes. Y así...

Ryan:
[1:09:51] Y Vitalik ha dicho públicamente que no tiene criptomonedas en casa. Así que si un atacante consigue acceder a él de alguna manera, no hay nada que pueda hacer. Y creo que, como has dicho antes, Jameson, gran parte de estos ataques han tenido éxito hasta ahora. Y por eso siguen ocurriendo. Por eso se propagan. Si ese 50 % se reduce al 2 % o al 1 %, el retorno de la inversión de los atacantes que invaden hogares y realizan ataques de alquiler se vuelve muy negativo, y dejarán de hacerlo. Eso no va a suceder de la noche a la mañana, pero así es como nosotros, como industria, podemos tomar el control. Ahora bien, por supuesto, el escenario ideal es que tu casa no sea invadida en primer lugar. Y tal vez, Beau, podrías hablar de eso en cierto modo. Entonces, ¿cómo se puede estar alerta contra un invasor? Tal vez sea un repartidor, por ejemplo, o en medio de la noche, alguien que derriba tus puertas. ¿Cuáles son algunas de las medidas prácticas que alguien puede tomar para reforzar su ubicación? Supongamos que la privacidad no es una opción en este momento. Tal vez tendrían que mudarse de casa y hacer algunas de las cosas que Jason Bourne hace y que Jameson está poniendo en práctica para proteger su dirección. Digamos que eso no es una opción. Entonces, saben que su dirección está ahí fuera. ¿Hay formas de reforzar su casa o de establecer protocolos para protegerse también?

Beau:
[1:11:17] Y volviendo a lo que Jameson dijo antes sobre que a veces no es necesario ser la persona más segura del mundo. Solo hay que ser más seguro que, ya sabes, el siguiente de la lista. Y, ya sabes, convertirse en un objetivo difícil es... Es realmente como pensar, o supongo que pensar en tu casa como un objetivo difícil frente a un objetivo fácil es lo que realmente importa. Así que, ya sabes, añadir algunas cámaras en la parte delantera de tu casa que sean visibles, pero también eficaces para identificar quién se acerca a tu puerta. Me gusta la idea de los focos por la noche, ¿no?, que tienen sensores de movimiento y, si alguien se acerca, trepa por la valla de tu jardín y se dirige a tu casa, de repente, ¡bum!, le da en la cara una luz. Soy un gran fan del concepto de utilizar un sistema de seguridad para el hogar, o incluso hay algunas opciones bastante baratas, como botones de pánico que puedes colocar cerca de la puerta principal o en tu oficina, donde probablemente te llevarán si entran en tu casa.

Beau:
[1:12:19] Obviamente, creo que hay algo de sentido común en lo que insinúas, en no dejar entrar a tu casa a personas desconocidas, ¿verdad? En San Francisco, vimos un ejemplo de un ataque en el que un falso repartidor pedía una firma y fingía no tener un bolígrafo para que el cliente firmara. Así que preguntó si podía entrar para coger un bolígrafo para que el cliente firmara el albarán del paquete. Y esa fue la mentira que utilizó para entrar en la casa. Así que hay que ser consciente de que la gente puede darte una excusa que parezca legítima y no dejarles entrar. Hay un par de cosas más que me gustaría recomendar a la gente: identifica algún tipo de... Deberías hablar con las personas con las que vives en casa sobre estos conceptos, ¿de acuerdo? Ya sea tu cónyuge, tu compañero de piso o quien sea, para que comprendan ese mismo tipo de riesgo. Y, lo que es muy importante, en ese momento tienes un plan, ¿verdad? Quizás la habitación segura que designes sea tu dormitorio, que tiene otra cerradura en la puerta, donde quizás haya un teléfono con el que puedas alertar a la policía, o quizás sea ahí donde pongas un botón de pánico.

Ryan:
[1:13:37] Para alertar a la

Beau:
[1:13:39] policía en ese momento. Creo que se reduce a asegurarse de que, si alguien está vigilando tu casa, porque sabemos que lo hacen, van a estudiar tu propiedad antes de ir y llevar a cabo un ataque. Si ven cámaras en la entrada, si ven luces con sensores de movimiento, es posible que se desanimen y no lleven a cabo ese tipo de ataque. Y luego, una vez que suceda algo, no te dejes sorprender por lo que está pasando justo delante de ti. Habla contigo mismo y con las personas con las que vives con antelación sobre qué hacer si creemos que alguien está intentando entrar en la casa, ¿vale? La primera vez que pienses en eso no debería ser cuando te esté pasando a ti. Y puede ser tan simple como: «Tengo un botón de pánico en este lugar. Voy a pulsarlo. Alertará a mi empresa de seguridad. Me llamarán al móvil. No voy a contestar. Y así sé que la empresa de seguridad llamará a la policía.

Beau:
[1:14:36] Personalmente, soy partidario de la autodefensa. Creo que no voy a recomendar eso a la gente que está al teléfono porque creo que es una decisión muy personal si decides luchar contra un agresor, ya sea cogiendo un bate de béisbol o utilizando armas de fuego o cualquier otra cosa. Es posible que empeores las cosas si decides hacerlo. Si no estás entrenado, no sabes lo que estás haciendo. Pero eso forma parte de mi plan de seguridad personal, ¿no? Si alguien entra en mi casa, estoy preparado para responder con la fuerza, ¿no?

Beau:
[1:15:15] Creo que hay muchas opciones diferentes. Lo básico debería ser cómo convertir tu casa en un objetivo difícil y poco atractivo mediante el uso de cámaras, luces y cerraduras resistentes en las puertas. Quiero decir, las ventanas, la gente puede romperlas, ¿verdad? Un sistema de seguridad que alerte a la gente si alguien intenta entrar en tu casa. En Estados Unidos, esto es como el clásico sistema de seguridad ADT, esos botones de pánico que he mencionado. Y lo último que voy a mencionar es que mucha gente no vive en casas, ¿verdad? Viven en edificios de apartamentos. Viven en este tipo de espacios compartidos. Y eso puede ser una ventaja o una desventaja, ¿verdad? Si vives en un edificio de apartamentos que requiere llaves electrónicas para acceder al ascensor, que requiere, ya sabes, o que tiene un recepcionista o un guardia de seguridad las 24 horas del día, esos factores pueden disuadir a la gente, frente a...

Beau:
[1:16:15] Ya sabes, si cualquiera puede, ya sabes, como recuerdo en la universidad, ya sabes, cuando nos colábamos en los edificios de apartamentos de nuestros amigos para ir, ya sabes, a la fiesta previa al partido, ¿verdad? Como si siguieras a alguien al edificio y la seguridad fuera muy baja. Así que, cuando eliges dónde vivir, especialmente cuando te mudas, esos son algunos de los factores que debes tener en cuenta: ¿qué tan segura es la ubicación a la que me voy a mudar? ¿Disuade a un atacante porque hay una cámara en la entrada o hay un guardia de seguridad sentado en el mostrador? ¿Alguien podría escanear, caminar hasta el ascensor, pulsar un piso y salir, verdad? ¿O se necesita una llave electrónica para subir? Así que hay algunos factores que también puedes tener en cuenta, si no se trata de una casa independiente.

Ryan:
[1:16:59] Creo que es una lista de factores fantástica. Veo que Jameson quiere añadir algunas cosas. Yo también añadiré otras. Creo que, en cuanto a que alguien que no conoces y que no está anunciado llame a tu puerta, no hay que abrirla. Si quieres, habla con esa persona a través de una cámara. Establece esa norma en tu casa. Al principio puede parecer un poco incómodo socialmente, pero una vez que lo adoptas como parte de tu proceso de seguridad, piensas: «¿por qué no?». Otra cosa que diría es que, además de la autodefensa, como has mencionado, Beau, y creo que Jameson, has dado algunas estadísticas que, lamentablemente, solo el 6 % de todos estos ataques con llaves criptográficas se han defendido mediante la autodefensa. Así que, si lo haces, asegúrate de hacerlo bien. Yo diría que parte de esa autodefensa, no es que puedas externalizarla, pero puedes externalizarla a un perro grande. Sinceramente, creo que probablemente un protector subestimado del hogar es tener un perro que alerte, que tal vez responda ante este tipo de ataques. Tengo una pregunta para ti, Beau, y luego añadiremos a Jameson o cualquiera de los dos puede responderla. Es como, cuando se trata de, hablamos de cámaras, hablamos de sistemas de alarma. ¿Hay cosas que se pueden hacer para reforzar los puntos de entrada, las puertas y las ventanas? Creo que has escrito entradas en el blog sobre esto, Jameson. Así que habla de eso y comparte cualquier otra cosa que creas que puede ser útil.

Jameson:
[1:18:23] Sí, bueno, realmente depende de la construcción de tu casa. Pero al menos en Estados Unidos, la gran mayoría de las construcciones de viviendas son muy baratas. Solo se utilizan tornillos de tres cuartos de pulgada. Y por 20 dólares, puedes conseguir tornillos de doble enlace con placas de refuerzo endurecidas que mejoran enormemente la robustez de las bisagras de las puertas y los mecanismos de cierre del marco. Y si quieres ir un poco más allá, y de hecho he hecho algunas pruebas al respecto, hay varias láminas de seguridad en el mercado. Yo optaría por una lámina 3M y la haría instalar por un profesional en las ventanas. No las harán completamente impermeables, pero te darán probablemente entre 30 segundos y un minuto de tiempo adicional para que alguien intente romperlas antes de poder entrar en la casa.

Ryan:
[1:19:11] Y eso es lo que se busca con ese tipo de soluciones, incluso con puertas reforzadas con tornillos más largos. Básicamente, convierte algo que se puede derribar en cinco segundos en algo que te da 30 segundos y te da una buena ventaja. Y eso, obviamente, es algo muy alarmante. Te da tiempo. Sin duda, refuerza las cosas. Sí.

Jameson:
[1:19:31] Y, de hecho, has mencionado algo que yo iba a mencionar, y es que los perros son algo que se pasa por alto muy fácilmente. Y ni siquiera tiene por qué ser un perro grande. De hecho, en la mayoría de los casos, los perros pequeños son mejores para alertar cuando oyen algo.

Ryan:
[1:19:45] Y todo el mundo conoce a ese perro ladrador que no se calla nunca.

Jameson:
[1:19:49] Y el delincuente medio no quiere descubrir por las malas si se trata de un perro de ataque o simplemente de un perro curioso. Ahora bien, si realmente quieres ir a por todas, puedes comprar un pastor alemán o un malinois, pagar unos 20 000 dólares, someterlos a un entrenamiento de defensa de nivel avanzado y convertirlos en perros de ataque. Pero, una vez más, esto requiere tiempo, recursos, inversión y demás. Y hay otra cosa más. Solo la mencionaré brevemente, porque podría pasarme una hora entera hablando de ella, y tengo un extenso artículo titulado «Armas de fuego para la defensa del hogar» en mi blog. Adentrarse en el mundo de las armas de fuego implica tomar muchas decisiones y, una vez más, recursos, tiempo y entrenamiento.

Jameson:
[1:20:33] Y principalmente le digo a la gente: «Miren, no basta con comprar un arma y guardarla en una caja fuerte». Porque, dependiendo de la distribución de su casa, ¿qué pasa si el atacante se interpone entre usted y el arma? Por lo tanto, hay que pensar en todas las situaciones posibles. Y, como saben, yo tengo un sistema descentralizado de cajas fuertes, en el que cada habitación tiene una caja fuerte a unos tres o cuatro metros. Y no es una caja fuerte cualquiera. Es una caja fuerte de acceso rápido que se abre en menos de tres segundos. Tiene una cerradura mecánica simple, no biométrica ni electrónica. Funciona siempre, incluso si estoy bajo coacción, y todas las cajas fuertes contienen el mismo arma, así que sé que notengo que pensar en cómo voy a manejarla. Hay un montón de pequeños detalles y luego hay muchas decisiones que tomar, como qué arma, qué calibre, pensando en la penetración excesiva, cuál es la construcción de tu casa y la distribución, no quieres disparar a un atacante y golpear accidentalmente a alguien que te importa y luego...

Beau:
[1:21:37] Como ha dicho Bo, ya sabes, tanto si vives en una vivienda unifamiliar como si vives en algún tipo de complejo, también tienes que preocuparte por los vecinos.

Jameson:
[1:21:43] Hay muchos, muchos factores y no hay una respuesta sencilla a estas cosas.

Ryan:
[1:21:47] Así que, para los oyentes que se sienten abrumados, solo tienen que saber que yo también lo estoy. Cuando escucho hablar a Jameson, me da la impresión de que es un mago de la seguridad de nivel 99. Vale. Y la mayoría de los oyentes no están a ese nivel. Pero creo que lo importante es que pueden tomar esta lista de recomendaciones que han escuchado hoy tanto de Bo como de Jameson y ponerlas en práctica poco a poco con el tiempo. No tiene por qué suceder en una semana o en un mes. Creo que lo principal es que progreséis en esto año tras año. Y así, cuando miréis hacia febrero de 2027, la pregunta que debéis haceros es: ¿estoy más seguro? ¿Estoy en una mejor posición que el año pasado? ¿Tengo un proyecto en marcha para abordar una por una algunas de las cosas con mayor retorno de la inversión? ¿Tengo un plan activo para hacerlo? Y si dentro de un año estás mejor que hoy, ese es el camino que debes seguir. Así que no sientas que todas estas recomendaciones deben implementarse de la noche a la mañana. Bo, quiero preguntarte otra cosa, porque estábamos hablando de algunos de estos ataques dirigidos, ¿verdad? Y una de las cosas que creo que no nos gusta de la cadena de bloques en este momento es que no hay buenas técnicas nativas de privacidad en la cadena para ocultar las direcciones. Y esto le da a algún tipo de cerebro la capacidad potencial de...

Ryan:
[1:23:11] Si no tienes cuidado, o incluso a veces si tienes cuidado, la capacidad de identificar tus carteras y tus activos en la cadena.

Ryan:
[1:23:20] ¿Hay alguna forma de evitar ese tipo de cosas, de tener cuidado? En mi artículo, mencioné algunas obvias, como no vincular un nombre ENS o un NFT que utilice tu PFP a algunas de tus cuentas principales que contengan criptoactivos. No hagas eso. Es una mala idea, ¿verdad? Y ten en cuenta que cuando transfieres activos de una dirección a otra, eso obviamente puede vincularse a cualquiera que esté mirando en la cadena. Pero luego creo que cuando la gente profundiza en términos de privacidad, se pregunta: «Bueno, ¿cómo mantengo privadas algunas de mis direcciones?». ¿Tienes alguna solución para eso? ¿O qué recomendarías en cuanto a la privacidad de las direcciones en la cadena?

Beau:
[1:24:02] Sí, creo que la respuesta sencilla es que, si quieres crear un nuevo conjunto, nuevas carteras que sean privadas respecto a las antiguas, las financies desde una bolsa diferente a la que utilizaste para financiar tus primeras carteras. Ya sabes, eso no es verdadera privacidad, porque no estás ocultando tu identidad a las plataformas de intercambio, ¿verdad? Pero desde la perspectiva de un atacante, tengo carteras que he creado a través de una plataforma de intercambio centralizada diferente que no se comunican entre sí en la cadena. No comparto NFT. No utilizo Bo Security como nombre ENS.

Beau:
[1:24:40] Para mí, eso es algo que hice hace tiempo y me he quedado con ese sistema. Creo que hay muchas herramientas que han salido recientemente o se han desarrollado más recientemente, como Zcash con Near Intents como opción de privacidad. Existen herramientas de privacidad como Railgun. Obviamente, está el infame Tornado Cash, ¿verdad? Creo que si empiezas a jugar con esas cosas, corres el riesgo de tener más problemas de cumplimiento con los intercambios que utilizas, ese tipo de cosas. Depende un poco de cuál sea tu tolerancia al riesgo. Pero para la persona promedio, creo que la persona promedio no tiene necesariamente esta cuenta de Twitter vinculada a su billetera en cadena. Por lo tanto, puede que eso no sea un problema tan grande. Pero para las personas que quieren tomar su grupo de billeteras en cadena y separarlas de cualquier actividad que realicen en el futuro, la forma más sencilla de hacerlo, desde lo que el público en general puede observar, es simplemente crear nuevas billeteras a través de un intercambio diferente y transferir fondos de esa manera. Jameson puede tener una respuesta mucho más avanzada que la mía sobre este tema, pero creo que hay tantos riesgos de cumplimiento y otras cosas en las que te puedes meter al usar muchas de las herramientas de mezcla y otras cosas que no tengo mi tesis sobre esto completamente desarrollada, creo, sobre cuál es la mejor cosa a hacer.

Beau:
[1:26:07] Es, ya sabes.

Jameson:
[1:26:08] La mayoría de estas redes, redes públicas sin permiso que operan de forma totalmente transparente, están en tu contra. Intentar mantener la privacidad en una red completamente abierta es, como mínimo, difícil. Yo ni siquiera utilizo mezclas. Como has dicho, en realidad pueden causar problemas porque puedes verte asociado a otras actividades que no deseas. Y, realmente, si necesitas una privacidad sólida, aquí es donde le digo a la gente que utilice Monero, Zcash, una red en la que la privacidad sólida esté integrada en la capa de protocolo y no tengas que pasar por un montón de obstáculos y averiguar estas complejas maquinaciones técnicas para intentar crear privacidad en una red transparente. Así que, en general, no intento decirle a la gente qué hacer desde el punto de vista de la privacidad, porque hay muchos riesgos y es muy fácil meter la pata. Ya sabes, aunque hagas muchas cosas de forma privada, basta con cometer un solo error para echar por tierra todo lo que has hecho.

Ryan:
[1:27:16] Creo que eso refleja con certeza el estado actual de la privacidad. Y, por desgracia, esa es realmente la situación en la que nos encontramos como industria. En este momento no hay muchas soluciones excelentes para Bitcoin o Ethereum, aunque cada día surgen nuevas soluciones. Y creo que esta es un área importante de inversión. Vemos que protocolos como Zama son bastante interesantes. Es algo nuevo en el panorama, al igual que Aztec. Hay cosas que se están desarrollando. Es solo que todavía parece que estamos en el statu quo, lo mejor que se puede hacer es avanzar.

Ryan:
[1:27:46] fondos a través de una bolsa y crear una nueva cartera. Pero entonces, por supuesto, eso también es un vector, porque ¿qué pasa si la bolsa filtra datos? Ya sabes, lo invisible que es eso en realidad. Es como, definitivamente, no es genial en este momento. Como la privacidad no es genial en este momento en las criptomonedas. Y eso es solo una constatación. Otra cosa que añadiré es solo un énfasis en tener cuidado con la aplicación de seguimiento de impuestos que usas. Hay algunas versiones locales que mantienen toda la información fiscal local en tu máquina a la que puedes cambiar. Incluiremos algunos enlaces tal vez en las notas del programa para eso. Pero quiero decir que eso me preocupa mucho. Se trata de entidades que no necesariamente aplican prácticas de seguridad a nivel de intercambio en lugares que no son activos de custodia.

Beau:
[1:28:29] Y están basadas en la nube.

Ryan:
[1:28:30] Soluciones. Pueden ser pirateadas. Si alguien puede vincular tu perfil en la cadena y te dirige a esa información pirateada, identificar quién eres, entonces sabrá dónde están tus carteras. Así que eso es algo que podría ser procesable al terminar este episodio.

Jameson:
[1:28:45] Además, yo diría que no caigas en la tentación de introducir las claves API de Exchange en tu software de impuestos. Sí, les facilita la obtención de los datos, pero en realidad se han producido hackeos relacionados con eso en los que los atacantes obtienen las claves API y las utilizan para hacerse con el control de tu cuenta de Exchange. Así que sí, creo que cosas como Rockkey, por ejemplo, que es

Ryan:
[1:29:09] Como un local

Jameson:
[1:29:09] Es la mejor opción.

Ryan:
[1:29:12] Por desgracia, nos encontramos en una situación en la que los atacantes están utilizando herramientas cada vez más sofisticadas, con la capacidad de aprovechar la inteligencia artificial para reunir todos estos datos y planear qué objetivos atacar, lo que se está volviendo cada vez más sofisticado. Pero creo que el objetivo que ambos enfatizan es que no buscamos la perfección aquí. Solo tenemos que ser mejores, más fuertes que los demás. Y creo que algunas de las tácticas de las que hemos hablado ayudarán a los oyentes a conseguirlo hoy mismo. Supongo que me he encontrado con esto al pensar cada vez más en ello en 2026. Como he mencionado, escribí ese artículo Zero Crypto at Home, que es una especie de...

Ryan:
[1:29:49] Es decir, revelar algunas de mis ideas sobre las mejores prácticas para prevenir los ataques de wrench con muchas aportaciones de la comunidad de seguridad criptográfica, que es fantástica y a la que ambos habéis contribuido mucho. Pero parece un pequeño revés para la visión sin bancos. Eso es lo que me queda. Es como si no fuera toda la historia. Aún no hemos terminado. Y, sin duda, hay aún más retos con las soluciones de custodia que vemos en el mundo tradicional, por supuesto. Pero es una gran responsabilidad hacerse cargo de las claves privadas y ser tu propio banco. Así que, si asumes esa responsabilidad, asegúrate de no comprometerte a vigilar tu propia casa y tus propias claves privadas las 24 horas del día, los 7 días de la semana. Hay que ser más inteligente que eso. Pero, aun así, creo que es un pequeño revés. Puede que algunas personas estén escuchando este episodio y piensen: «Dios mío, chicos, eso es mucho. Puedo comprar criptoactivos en mi cuenta de corretaje y hay una cosa que se llama iBit y simplemente la compro. No tengo que preocuparme por nada de esto».

Beau:
[1:30:59] ¿Qué opinas?

Ryan:
[1:31:00] Bueno, sigo siendo optimista. Creo que quizá estemos en una especie de tramo local en términos de custodia y claves, en particular, la sensación que me han transmitido algunos de estos ataques criptográficos, estos ataques con llaves inglesas en persona, me ha hecho sentir así. Pero, ¿saldremos de eso? ¿Serán las criptomonedas de autocustodia el final del juego? ¿Habrá miles de millones de personas haciendo lo que hacen los oyentes de Bankless y controlando sus propias claves? ¿O es esto una especie de revés para la visión? Adelante, James.

Beau:
[1:31:29] Déjame echar un palo, nunca mejor dicho, en tu plan iBit, ¿vale? Digamos que tienes tu iBit en Robinhood y te atacan con una llave inglesa porque hablas de Bitcoin todo el tiempo, pero crees que estás a salvo porque lo tienes en un ETF. Y el atacante aparece, ya sabes, en tu casa entre las 9 de la mañana y las 4 de la tarde, en horario de negociación, y te dice: «Oye, vende todo tu iBit, compra Bitcoin en Robinhood y transfiérmelo a mí». Claro. Estoy seguro de que Robinhood tiene algunas medidas para evitar este tipo de cosas. Pero es algo teórico que podría suceder. Claro. Así que creo que, si quieres estar en el mundo de las criptomonedas, la autocustodia sigue siendo la mejor opción, porque estás haciendo uso de los activos. Es la ventaja de ser tu propio banco, de no depender de un gobierno para que apruebe la forma de moneda que utilizas, como si vinieras de un entorno de la Reserva Federal, ¿verdad? Es que veo las ventajas de este sistema con tanta claridad.

Beau:
[1:32:33] Y, como ha señalado Jameson hoy, si se toman las medidas adecuadas, se puede conseguir una seguridad mayor que la de los bancos, al tiempo que se disfruta de las ventajas de tomar tus propias decisiones sobre tu dinero. ¿Cuántas veces vemos a alguien publicar un artículo sobre cómo intentó sacar 20 000 dólares de su cuenta bancaria y, dos horas después, todavía está respondiendo preguntas sobre para qué va a usar ese dinero? Creo que las ventajas de ese sistema superarán los retos de seguridad, especialmente a medida que se introduzcan nuevas herramientas, mejoren las carteras y la policía sea consciente de estas tendencias y...

Beau:
[1:33:11] empieza a tomar medidas más duras contra el delito, ¿no?, a medida que fracasan más ataques de tipo «wrench» y fracasan más estafas. Creo que no hay ninguna razón por la que no podamos llegar a un punto muy similar en términos de seguridad de las criptomonedas, como es el entorno Web2 actual.

Ryan:
[1:33:29] Bien dicho. ¿Qué añadirías, Jameson?

Jameson:
[1:33:31] Sí, mira, la razón por la que he pasado la última década creando sistemas de autocustodia es porque sentía que estábamos luchando contra la naturaleza humana. Y la naturaleza humana es, en general, elegir la comodidad a costa de casi todo lo demás. Además, la sociedad y la civilización humanas se han desarrollado a lo largo de milenios mediante la especialización de tareas. Por lo tanto, los seres humanos estamos acostumbrados a externalizar gran parte de nuestras vidas, incluso nuestra propia producción de alimentos. Ya sabes, estas cosas son increíblemente importantes para nuestra vida cotidiana y a largo plazo. Y, por lo tanto, externalizar las cuestiones financieras también es algo natural. Así que es realmente ir contra corriente decirle a la gente que cambie por completo ese modelo y que asuma la responsabilidad de un aspecto muy importante de sus vidas y sus finanzas. Y por eso sentí que teníamos que seguir...

Jameson:
[1:34:30] Trabajar para que la autocustodia sea más cómoda y segura, porque si la persona media no confía en sí misma para poder hacerlo de forma segura, no podrá dormir por la noche yva a tirar la toalla y decir: «Vale, voy a delegarlo en alguien que realmente sepa lo que hace». Y, por supuesto, como todos sabemos, eso significa que están renunciando a la premisa más valiosa de los nuevos sistemas, que es no tener que confiar en un tercero y pedir permiso para usar tu dinero como tú quieras. Así que creo que voy a terminar con una cita que me viene a la mente constantemente y que creo que encaja bastante bien en esta situación, porque hemos pasado la última hora y media hablando de lo complicado que es esto y de las muchas cosas diferentes de las que hay que preocuparse si se quiere gestionar el cripto de forma segura. Y esa cita es la siguiente

Jameson:
[1:35:25] Si quieres construir un barco, no dividas a los hombres en equipos y los envíes al bosque a cortar madera. En lugar de eso, enséñales a anhelar el vasto e infinito mar. Y por eso predico el evangelio de la soberanía, el evangelio de empoderarte a ti mismo a través de estos protocolos públicos sin permisos, para que no tengas que depender de los caprichos de los banqueros, los reguladores, los gobiernos y demás. Y así, ya sabes, en cierto sentido, eso hará que los Michael Sayers del mundo nos tachen de criptoanarquistas paranoicos. Y no me importa. Solo quiero que el mayor número posible de personas comprenda que esta es una opción. Y si estás dispuesto a esforzarte, puedes empoderarte a ti mismo y a tu familia en gran medida para muchas generaciones venideras.

Ryan:
[1:36:13] Bien dicho. Y no creo que seamos paranoicos. Creo que simplemente estamos adelantados a los acontecimientos. Y el objetivo final, como bien has resumido, es la soberanía. Hay otra palabra para eso: libertad. Y creo que una forma en que los oyentes de Bankless pueden perder su libertad es si se convierten en guardias de seguridad de un banco y sienten esa presión todo el tiempo. Pero algunas de las herramientas de las que hemos hablado, como la firma múltiple, son fundamentales para ello. Una vez que tengas una buena configuración de firma múltiple, creo que te sentirás mucho mejor con tu posición. Si lo implementas, podrás recuperar tu libertad. Terminemos aquí. Debo advertirte, por supuesto, que las criptomonedas son arriesgadas. Podrías perder lo que inviertas, pero nos dirigimos hacia el oeste. Esta es la frontera. No es para todo el mundo, pero nos alegra que nos acompañes en este viaje sin bancos. Muchas gracias.