# Cómo evitar los ataques a las criptocarteras *Author: William M. Peaster* *Published: Jan 31, 2023* *Source: https://www.bankless.com/es/untitled-8* --- **Querida Nación Bankless,** La semana pasada, el creador de Moonbirds, Kevin Rose, fue presa de un ataque de phishing que llevó a su cartera a ser hackeada por un valor de ~684 ETH de NFTs. Si le puede pasar a un gurú de Web3, te puede pasar a ti también. Echa un vistazo a nuestras mejores prácticas de seguridad de billeteras y pon tus criptoactivos bajo candado de seguridad hoy mismo. **- Equipo Bankless** --- Los hackeos de billeteras de criptomonedas ya han provocado robos de activos digitales por valor de millones de dólares en 2023. Esta táctica de Bankless le mostrará cómo utilizar un enfoque en capas y multifacético para defender decididamente sus billeteras de ser vaciadas de sus criptomonedas y NFTs. - **Objetivo**: Aprender a configurar un sistema defensivo de billeteras - **Skill**: Intermedio a Avanzado - **Effort**: Un par de horas - **ROI**: Tranquilidad al saber que sus activos están protegidos --- ## **Una defensa estratégica para proteger su cripto** ![](https://bankless.ghost.io/content/images/2024/02/https-3a-2f-2fsubstack-post-media-s3-amazonaws-com-2fpublic-2fimages-2f82093e3b-e621-4671-99ef-7eddc5425beb_1600x1066-jpeg.jpg) ### **Firmar o no firmar: los peligros básicos de los monederos de criptomonedas** Los monederos de criptomonedas "calientes" son monederos de software en línea, concretamente extensiones de navegador como MetaMask y aplicaciones móviles como Rainbow. Este tipo de monederos son especialmente populares por su facilidad de uso. Sin embargo, ¿el problema? Un hacker puede vaciar fácilmente los monederos si compromete la contraseña de tu cuenta o tu frase de semilla. Aquí es donde entran en juego los monederos de criptomonedas "fríos". Desde monederos de papel a monederos de hardware, estos métodos aseguran que las claves privadas de tus direcciones estén siempre protegidas de Internet, mitigando así muchos vectores de hackeo. Aquí, ten en cuenta que MetaMask y otros monederos calientes son sólo interfaces. Puede vincular su billetera de hardware fría, como un Ledger, para usar a través de estas interfaces populares y obtener lo mejor de ambos mundos: UX *y *sólida seguridad. Sin embargo, los recursos como las billeteras de hardware no son una solución universal para defender su cripto y NFT. La seguridad subyacente que proporcionan estos dispositivos es tan buena como las transacciones que se firman. > A la luz de los recientes acontecimientos, he visto muchas preguntas sobre qué es seguro firmar y qué no lo es, así como muchas respuestas mal informadas.Es importante que intentemos comprender las firmas, no evitarlas. Son un componente clave de una web descentralizada3.1/🧵— quit.q00t.eth (@0xQuit) [27 de enero de 2023](https://twitter.com/0xQuit/status/1619058638798336000?ref_src=twsrc%5Etfw) En otras palabras, si te engañan para que firmes una transacción nefasta elaborada por un hacker, pueden abusar de cualquier [aprobación de tokens activa](https://consensys.net/blog/metamask/the-seal-of-approval-know-what-youre-consenting-to-with-permissions-and-approvals-in-metamask/) que tengas para vaciar de tu monedero todos los tokens aprobados que tengas. ### **Un cripto-insider es golpeado con una firma maliciosa** La semana pasada, el espacio cripto se recordó lo mordaz que puede ser este vector de ataque cuando Kevin Rose, el cofundador de proyectos como Proof Collective y Moonbirds, vio una de sus carteras drenada de docenas de NFT grails al firmar una transacción aparentemente legítima, pero en realidad maliciosa. > Parece que [@kevinrose](https://twitter.com/kevinrose?ref_src=twsrc%5Etfw) billetera acaba de ser comprometida...Millones y millones en NFTs drenados.... [pic.twitter.com/GjK2gdHbmU](https://t.co/GjK2gdHbmU)— Cirrus (@CirrusNFT) [25 de enero de 2023](https://twitter.com/CirrusNFT/status/1618320159743303683?ref_src=twsrc%5Etfw) Es tristemente comprensible: ya hemos visto muchos robos de este tipo. Rose pensó que estaba acuñando de una verdadera [Memes Collection by 6529](https://twitter.com/PartSasquatch/status/1618326257351163904) gota, pero en realidad era un sitio web trampa que solicitaba una firma para una falsa acuñación. La solicitud de firma parecía ininteligible para el ojo humano, similar a esto: > Es increíble la cantidad de cripto bros ver esto y todavía culpar al usuario ... [pic.twitter.com/jrEiUSGEDy](https://t.co/jrEiUSGEDy)— 6457.eth (@JKrantz) [26 de enero de 2023](https://twitter.com/JKrantz/status/1618626787579400192?ref_src=twsrc%5Etfw) Pero, en realidad, la firma que firmó Rose era para una transacción venenosa de un paquete de ventas de OpenSea especialmente diseñado que se dirigía a todos los NFT para los que tenía aprobaciones activas, barriéndolos así al atacante esencialmente de forma gratuita. Ten en cuenta que en los ecosistemas DeFi y NFT es habitual realizar transacciones de aprobación para los tokens con los que estás comerciando. Esto permite que un contrato inteligente acceda a tus tokens. Si le das a OpenSea aprobación ilimitada para gastar tus Bored Apes, por ejemplo, esto te permite listar cualquiera de los BAYC NFT que tengas en el protocolo SeaPort de OpenSea. Sin embargo, ¡un hacker puede hacer lo mismo si se apodera de tu cartera! Así pues, el pirateo del monedero de Kevin Rose se aprovechó del efecto acumulativo de tres factores: - El sitio de la casa de la moneda falsa lo suficientemente convincente - La transacción de robo realmente firmada - Aprobaciones de tokens de gran valor disponibles para aprovecharse de ellas ## **The L.A.S.H. Defense 101** ¿Las buenas noticias? Hay *hay *una serie específica de recursos de seguridad que, cuando se usan adecuadamente en tándem, pueden blindar decididamente tus carteras para que no te las vacíen. Yo llamo a estos recursos y a sus aplicaciones complementarias en conjunto el sistema **L.A.S.H. (Layered Software and Hardware)** para la seguridad criptográfica. - **📱 Empieza con monederos hardware ***- *Utiliza monederos fríos como los dispositivos Ledger, que protegen las claves privadas para que nunca toquen internet, para apuntalar e interconectarse con sus principales cuentas de criptomonedas ocasionales - **💎 Consolídese con una bóveda** *-*Cree una bóveda digital para sus criptomonedas y NFT más valiosos a través de soluciones de cuentas avanzadas como Safe (para crear carteras multisignature wallets) y/o Argent (para crear smart contract wallets con guardianes de recuperación social) - **🔏 Double down with security apps** *- *Reposee en apps de seguridad como delegate.cash (para cortafuegos de monederos fríos importantes), Stelo (para advertencias de transacciones legibles por humanos) y revoke.cash (para limpiar tus tokens permitidos) para defender tu red de monederos ### Monederos hardware como comando base ![](https://bankless.ghost.io/content/images/2024/02/https-3a-2f-2fsubstack-post-media-s3-amazonaws-com-2fpublic-2fimages-2f89799534-7b0b-41f5-9dc6-dc6c000bb92c_1600x1058-jpeg.jpg)**La nueva cartera de hardware Ledger Stax** Ledgers, Trezors, GridPlus Lattices, ¡oh cielos! ¡La elección es tuya, pero tienes que elegir. Quieres mantener tus huevos digitales en diferentes cestas, por así decirlo, así que digamos que quieres tener tres carteras casuales diferentes: una para actividades DeFi generales, una para acuñar tus propios NFTs, y una para recoger los NFTs de otras personas. Buena idea, pero considera el uso de una cartera de hardware separada para apuntalar cada una de estas direcciones! De esa manera un hacker no puede raspar cualquiera de sus cuentas casuales, incluso si, digamos, comprometieron la contraseña de su extensión MetaMask. Aquí, sin embargo, hay un par de cosas importantes a tener en cuenta: - Sólo compra monederos de hardware directamente de los sitios web de los fabricantes *- *no querrás enfrentarte a la posibilidad, por improbable que sea, de que tu dispositivo haya sido manipulado en una tienda de terceros - Asegura de forma segura tus frases de semillas *- *ya sea que utilices una caja fuerte a prueba de incendios, múltiples cajas de depósito bancarias a través de [compartir secretos de Shamir](https://en.wikipedia.org/wiki/Shamir%27s_secret_sharing), o taquigrafía + un tatuaje ([¡Es posible!](https://officercia.mirror.xyz/8ecJG-s_5E6J1t-h8gUNGqV3hbX8If-E5NnrFrOJHUA)), tómate en serio tu almacenamiento de frases semilla porque son como contraseñas en "modo dios" para tus direcciones asociadas ### Crea una bóveda para tus mejores activos ![](https://bankless.ghost.io/content/images/2024/02/https-3a-2f-2fsubstack-post-media-s3-amazonaws-com-2fpublic-2fimages-2f62b8023d-89f3-4a32-a86a-e7b4f45bb01c_1280x720.png)**Ejemplos de la interfaz de usuario Safe mutli-sig** Una vez que te hayas ocupado de tus carteras ocasionales, es hora de preparar una bóveda digital. En el sentido coloquial, una bóveda es una cartera que designas para el almacenamiento a largo plazo de tus criptomonedas y NFT. La aíslas de actividades casuales, como la acuñación de nuevas gotas, para eludir las aprobaciones de tokens activos y los ataques a la firma de transacciones. > Imagina que existiera un billete de un millón de dólares y tuvieras uno¿lo guardarías en la cartera con la que solías ir al supermercado?probablemente no. te lo podrían robar, podrías usarlo para pagar por accidente, etc.sin embargo, hacemos este tipo de cosas en cripto todo el tiempo— DCinvestor.eth ⌐◨-◨ (@iamDCinvestor) [25 de enero de 2023](https://twitter.com/iamDCinvestor/status/1618387939175845888?ref_src=twsrc%5Etfw) La idea, por tanto, es transferir tus activos más valiosos a tu cámara acorazada y dejarlos allí a buen recaudo. Si llega el momento en que necesitas vender algo de tu bóveda, por ejemplo, un NFT con un piso de mooning, transfiérelo primero a una billetera separada para que tu bóveda nunca tenga que llevar aprobaciones activas de tokens. De esta manera, estará protegida de las amenazas. Pero, ¿cuál es la mejor manera de hacer una bóveda? Por supuesto, una "bóveda" es sólo una designación de estado. Puede utilizar una cartera de hardware de repuesto que tiene como una bóveda, por ejemplo. Pero yo recomiendo ir más allá con soluciones que puedan proteger tus criptomonedas y NFTs a través de múltiples capas de seguridad, como una [**Billetera**](https://safe.global/) multifirma o una [**Argent**](https://www.argent.xyz/) monedero de contratos inteligentes. Con Safe, puedes configurar una bóveda utilizando tres monederos de hardware diferentes para un multisig 2-de-3, o cinco monederos para un multisig 3-de-5, etc. En un 2-de-3, por ejemplo, se necesitaría cualquier combinación de dos firmas de sus tres monederos designados para confirmar cualquier transacción de su bóveda. Estas capas adicionales de redundancia de transacción son poderosas porque gracias a ellas un atacante ya no necesita comprometer sólo una dirección para robar sus griales sino *múltiples*direcciones, lo cual es improbable. Y afortunadamente, es sencillo utilizar Safe. Deberías: - Ir a [app.safe.global/welcome](https://app.safe.global/welcome), conectar un monedero y pulsar el botón **Crear nueva caja fuerte** - Seleccionar tu cadena de despliegue *- *Ethereum y otras 10 redes son compatibles actualmente - Nombrar tu caja fuerte, por ej.g. "Mi Bóveda" - Introduzca las otras direcciones con las que desea configurar su multisig - Pulse el botón **Crear **, luego complete la transacción de despliegue, y ¡voilá! En cuanto a Argent, es un sistema de billetera inteligente. Esto significa que cuando creas un monedero a través de Argent, en realidad es un contrato inteligente en Ethereum en lugar de una simple dirección. Este diseño es muy atractivo, ya que te permite evitar tratar con claves privadas, [recuperar socialmente tu cuenta](https://vitalik.ca/general/2021/01/11/recovery.html) y evitar transacciones no fiables [a través de Guardianes](https://support.argent.xyz/hc/en-us/articles/360022631992-About-Guardians). ![](https://bankless.ghost.io/content/images/2024/02/https-3a-2f-2fsubstack-post-media-s3-amazonaws-com-2fpublic-2fimages-2f2a5cbc6b-efb1-4a1f-9c29-42d0925a91df_1600x1200-jpeg.jpg)**El proceso de autorización del Tutor** En pocas palabras, un Tutor es un tercero de confianza que usted designa para que le ayude a mantener el control de su monedero. Puedes seleccionar a miembros de tu familia o amigos cercanos o incluso carteras de hardware adicionales que controles. En Argent [designas las direcciones en las que confías](https://support.argent.xyz/hc/en-us/articles/360019647238-About-Argent-Vault), y luego interactuar con cualquier dirección *que no esté *en esa lista requerirá la aprobación de los Guardianes. Estos mecanismos de recuperación y confianza por capas hacen de Argent otra opción interesante para tu bóveda digital. Para crear un monedero Argent, debe: - Descargar la aplicación Argent [Android o iOS app](https://www.argent.xyz/) - Abre la app y pulsa **Crear nuevo monedero** cuando te lo pida - Reserva un nombre de usuario y luego lee y acepta los términos del servicio - Introduce tu dirección de correo electrónico y número de teléfono, a continuación, verifique su correo electrónico y suministre el código de verificación enviado por mensaje de texto a su teléfono - Elija un código de acceso para proteger su cartera y activar su cuenta de Ethereum, y [¡Ya está](https://support.argent.xyz/hc/en-us/articles/360005798177)! ### Aumenta tus defensas con aplicaciones de seguridad Por último, en el sistema L.A.S.H. quieres complementar tus monederos y bóveda base con algunas de las aplicaciones de seguridad criptográfica realmente útiles que están disponibles actualmente. Entre los ejemplos más destacados se incluyen: - **🤲 delegate.cash ***- *¿Tu bóveda ha sido incluida en la lista de permitidos de una nueva y atractiva acuñación NFT, pero no quieres acuñar desde allí? Los servicios [como delegate.cash](https://metaversal.banklesshq.com/p/saving-nfts-with-delegatecash) te permiten delegar los poderes de tu monedero frío a un monedero caliente de tu elección para que tus activos subyacentes permanezcan en silo en todo momento - **❌revoke.cash** *-*Conecta tu monedero a [revoke.cash](https://revoke.cash/) para revisar y eliminar las asignaciones de tokens que ya no utilices como parte de tu rutina habitual de seguridad criptográfica... ¡asombra a los atacantes antes de que puedan asaltarte a ti! - **🛡️ Stelo** *- *Esto es [una extensión de navegador](https://stelolabs.com/) que puedes descargar y que convertirá tus ininteligibles peticiones de firma de monedero en mensajes legibles por humanos o, en su caso, en advertencias legibles por humanos; esto puede convertirse en tu primera línea de defensa para evitar malas transacciones > 11/ Hemos hecho ingeniería inversa de la firma que [@kevinrose](https://twitter.com/kevinrose?ref_src=twsrc%5Etfw) firmó y la pasamos por Stelo.Si [@kevinrose](https://twitter.com/kevinrose?ref_src=twsrc%5Etfw) hubiera tenido Stelo esto es lo que habría visto: [pic.twitter.com/VODKWV71IO](https://t.co/VODKWV71IO)— Stelo - Keep your crypto safe (@stelolabs) [26 de enero de 2023](https://twitter.com/stelolabs/status/1618456370399031297?ref_src=twsrc%5Etfw) ## **Zooming out** El enfoque L.A.S.H. de la cripto seguridad ofrece capas de defensa tanto para tus carteras casuales como para las de bóveda. Cuando combinas las garantías proporcionadas por las billeteras de hardware, multisigs, delegación de cuentas, limpiezas rutinarias de aprobación de tokens, *y *firmas legibles por humanos, obtienes un sistema de seguridad que es redundante en sus protecciones y no tiene un solo punto de fallo. Si estás buscando reforzar tu seguridad criptográfica para siempre, te recomiendo que utilices esta gama de soluciones en tándem para una seguridad práctica y efectiva --- ### **Action steps** - **Doblar tu seguridad criptográfica**: Utiliza billeteras de hardware, una bóveda digital y apps de cripto seguridad como [**Stelo**](https://stelolabs.com/)** **🛡️ - **Lee mi táctica anterior si te la perdiste**: [**Cómo usar Stablecoins**](https://newsletter.banklesshq.com/p/how-to-use-decentralized-stablecoins) descentralizadas 🪙 --- *This article is brought to you by [Bitget](https://www.bankless.com/es/sponsor/bitget-1769543635?ref=untitled-8)* --- *\* Bankless team holds crypto assets and advise crypto projects. [GridPlus](https://www.bankless.com/es/gridplus) is included in our disclosures. See our complete investment disclosures [here](https://www.bankless.com/es/disclosures)*