Durante las últimas semanas se han producido múltiples ataques a protocolos DeFi (el pan de cada día en cripto). En este artículo voy a compartir algunas recomendaciones de seguridad muy importantes para protegernos en cualquier ecosistema DeFi.
Estos consejos los puedes extrapolar a cualquier protocolo de la web3, o incluso para proteger tu tarjeta de crédito en entornos inseguros.
El asunto es el siguiente: cuanto más popular se vuelve una DApp, más probable es que ésta atraiga a agentes maliciosos.
¿Cuáles son los peligros?
☠️ Sitios web falsos (imitaciones maliciosas)
Actualmente, el ataque más común que existe: el atacante clona el código fuente de la interfaz de usuario de la DApp, creando un sitio web idéntico en un dominio ligeramente diferente. Algunos buscadores podrían llegar a indexarlo como un sitio legítimo, por lo que caer en esta trampa es más fácil de lo que parece.
🔍 Verifica que la URL sea oficial
Lo primero y más importante: verifica siempre el dominio del sitio web que abras en el navegador. Si no estás en la URL correcta, cierra la página inmediatamente y elimina el historial de navegación. Si no sabes cómo has abierto esa página, elimina todas las extensiones del navegador y ejecuta un análisis antivirus con un software de confianza (malwarebytes, por ejemplo).
🔖 Usa siempre tus marcadores (nunca un buscador)
Añade tu DApp a marcadores; de ahora en adelante, abre la app DeFi SOLO desde tu marcador.
📄 Utiliza un archivo de hosts
El archivo de hosts está presente en todos los principales sistemas operativos, Windows, MacOS, Linux. Se encuentra en C:\Windows\System32\drivers\etc o /etc/hosts. Si conoces un sitio web de phishing conocido, no tengas miedo de bloquearle el acceso desde el archivo «hosts».
Agrega una línea con el siguiente formato:
0.0.0.0 url-maliciosa
Así tu navegador nunca podrá cargar el sitio web de phishing. También se puede hacer en la dirección opuesta para vincular la dirección IP legítima a un sitio web legítimo.
☠️ Ataques en redes inseguras
Es posible que el dominio sea correcto, pero aún así podrías estar en una app falsa. Sí, esto puede pasar. La traducción del dominio es un proceso complejo, depende de múltiples servidores DNS, ISP y de tu propia configuración.
Por ejemplo: imagina que accediste a la app DeFi a través de una red Wi-Fi pública. La configuración de la red generalmente utiliza de forma predeterminada la configuración de DNS del proveedor, por lo que el propietario la red WiFi puede obligarte a cargar el sitio web desde una dirección IP diferente (el hecho de que aparezca el icono de un candado al lado de la URL no garantiza nada).
Por lo tanto: no uses nunca redes WiFi públicas para hacer nada relacionado con criptografía (o ya que estamos, con tu tarjeta de crédito).
🔑Usa VPN siempre que puedas
Utiliza siempre un servicio VPN de confianza, especialmente si la red es pública o insegura. Yo personalmente uso Surfshark (escríbeme si quieres mi enlace de referidos para conseguir un descuento), pero hay muchos más. Yo utilizo la VPN incluso cuando hago operaciones desde casa. ¿Qué garantías tenemos de que nuestra propia red WiFi no esté comprometida?
🌍 Configura tus propios DNS
También puedes configurar manualmente tu PC para usar el servidor DNS de confianza. Por ejemplo, los servidores Open DNS de Google son 8.8.8.8 (primario) y 4.4.4.4 (secundario). Abre la configuración de red y configura explícitamente estas direcciones u otras en las que confíes.
🔐 Usa una billetera de hardware
Ya hablamos de las carteras frías o hardware en nuestro artículo de introducción a la blockchain. Esto te obligará a aprobar manualmente cada transacción individual con el dispositivo.
Consejos de seguridad para usar correctamente una wallet fría
- Cómprala desde el sitio web oficial y desde una computadora confiable, desde un navegador en modo incógnito sin extensiones de navegador instaladas, desde una red de confianza y usando VPN.
- La dirección de envío NO debe ser la dirección de tu casa. Usa la dirección del trabajo,un punto de recogida o un apartado de correos.
- Preferiblemente, desde una dirección de correo electrónico que no hayas registrado en ningún exchange, foro sobre cripto, etc.
- Verifica el paquete por cualquier daño antes de abrirlo. Si se da ese caso, documéntalo y devuélvelo al fabricante antes de usarlo.
- Genera un nuevo par de claves y escribe la frase semilla, idealmente en papel. Guárdala en varios lugares, dividida en «pedazos».
- Nunca guardes esta clave en tu casa, utiliza una caja fuerte o la caja de seguridad de un banco.
- Nunca escribas tu frase inicial en ningún dispositivo electrónico con acceso a Internet.
- Ten una wallet de respaldo. Ante la sospecha de una vulnerabilidad envía tus fondos a esta dirección.
☠️ Ingeniería social
Nunca compartas tus claves privadas con nadie en Telegram ni en ninguna otra plataforma, especialmente si se hacen pasar por soporte oficial. En general desconfía de cualquiera que te pida constraseñas, una transacción o cualquier tipo de información personal (aunque sea tu correo electrónico).
👀 En resumen…
Cuando se trata de protocolos descentralizados estás abandonado a tu suerte, a tus conocimientos sobre seguridad y a tu sentido común. Es fácil ser presa de estos ataques, incluso cuando se trata de usuarios avanzados. No obstante, estos consejos pueden ayudarte a protegerte del 99% de los ataques:
- Usa un navegador (o perfil) Chrome/Brave dedicado solo a tu app DeFi
- Usa marcadores para acceder a los sitios delicados.
- Usa VPN y DNS de confianza.
- Usa una «cold wallet» (billetera hardware).
- Ignora a los desconocidos que te pidan cosas en redes sociales.
Recuerda que en nuestra comunidad de Discord ofrecemos ayuda desinteresada sobre cripto y otros temas relacionados con la blockchain y las telecomunicaciones. También puedes suscribirte a nuestra Newsletter gratuita para recibir informes actualizados.
- Foto de portada: cottonbro
- Fuente: Important advice from an ethical hacker