ASPECTOS
SEGURIDAD
En la autocustodia, la responsabilidad de la seguridad de tus activos digitales recae íntegramente sobre ti. Por ello, necesitas equiparte con herramientas y procedimientos que sigan las mejores prácticas del sector para reforzar cada aspecto de la ciberseguridad y lograr la máxima protección posible.
En esta sección, resaltamos todos los aspectos de seguridad que Cuvex ha perfeccionado para ti, fortaleciendo notablemente tu hoja de ruta y ayudándote a alcanzar tus objetivos.
Almacenaje
La estrategia de almacenamiento que elijas depende del tipo de operación que realices. El caso de uso de un holder es muy distinto al de un trader. También es diferente almacenar las claves de tu patrimonio en Bitcoin en comparación con almacenar las claves de tus NFTs u otros criptoactivos. Necesitarás diseñar una estrategia ad-hoc, y el mercado ofrece numerosas opciones adaptadas a tus necesidades. Sin embargo, hay un factor común: la frase semilla. Como su nombre indica, es el origen de las claves con las que controlas tus criptoactivos, por lo que es en ella en donde debes centrarte más en cuanto a la seguridad del almacenamiento. Si lo piensas un momento, la semilla es la verdadera clave de tus criptoactivos. Con ella en tu poder, puedes moverte donde quieras. Cualquier wallet, en cualquier plataforma, siempre tendrás el control soberano de lo que es tuyo. Tanto la clave privada maestra como la clave pública maestra derivan de ella y, por tanto, dependen de ella. Si no proteges la semilla, cualquiera que llegue a tenerla obtendrá acceso a tus claves y, por ende, a tu patrimonio. Por ello, almacenar tu semilla de forma segura es imprescindible. Y aquí es donde Cuvex te ofrece algo que nadie más hace: la posibilidad de cifrar tu semilla de forma offline y almacenarla de forma segura. El dispositivo Cuvex proporciona un flujo de cifrado completamente offline, que, basado en el algoritmo de criptografía simétrica AES256-GCM, convierte la semilla (o los datos que desees) en un criptograma almacenado en una tarjeta NFC. Como resultado, dispones de un sistema de protección de datos de grado militar que hace impracticable cualquier ataque orientado a obtener el secreto. El dispositivo no almacena nada internamente y, simplemente desconectando la alimentación, se pierde cualquier dato que pudiera haberse procesado. El almacenamiento real del criptograma se realiza en la tarjeta NFC, un medio de almacenamiento fácil de transportar y con una vida útil estimada de 10 años. Cabe destacar, además, que el algoritmo de cifrado se implementa a nivel de hardware, lo que significa que el software no interviene en este proceso, eliminando así más vectores de riesgo.
Redundancia
Cuando se trata de la frase semilla, Cuvex facilita el fortalecimiento de este aspecto. Simplemente "clona" tantas copias como consideres necesarias. Cuantas más copias tengas y mejor distribuidas, mayor será tu capacidad para hacer frente a cualquier imprevisto. En cualquier caso, debes ser muy disciplinado. Aquí tienes algunos aspectos a considerar: Al cifrar, utiliza un alias descriptivo que te ayude a identificar tus tarjetas. Define ubicaciones separadas para diversificar los puntos de riesgo (robo, inundaciones, incendios, etc.). Realiza tareas de verificación periódicas de tus copias de seguridad. Esto no solo te ayuda a monitorizar su estado, sino que también te permite practicar el esquema que has implementado. No mezcles secretos; utiliza tarjetas diferentes para cada uno. Estas buenas prácticas también deben replicarse en cualquier otro dispositivo que hayas incluido en tu configuración de seguridad (hardware wallet, hardware signer, etc.). Dependiendo del fabricante de cada dispositivo, deberás evaluar las opciones de redundancia que ofrece. Si no ofrece nada en este sentido, siempre puedes usar Cuvex para almacenar esos secretos (claves de wallet, frases de paso, claves de intercambio, etc.).
Integridad Fisica
Como podrás imaginar, no necesitas una bóveda o caja fuerte para tu tarjeta Cuvex. Un ladrón encontrará tu criptograma inútil sin la contraseña que permita acceder a él. Estás a años luz por delante de los bancos y lo has logrado con tan solo unos pocos dólares. Sin embargo, deberías considerar proteger tus tarjetas contra interferencias electromagnéticas, inducción de corriente o perturbaciones eléctricas. Puedes lograrlo utilizando una jaula de Faraday. Hay muchas opciones en el mercado, aunque nosotros recomendamos la nuestra. Consulta las opciones disponibles en nuestra tienda. En cuanto al dispositivo Cuvex, la conexión física a los circuitos electrónicos está restringida de fábrica. Esto significa que el acceso físico a los microcontroladores para la depuración o modificación no es posible. Una vez que el componente de software denominado "Bootloader" se instala en nuestra fábrica, no podemos modificar nada en el circuito, ni siquiera acceder a estos componentes. Si algo sale mal, lo único que podemos hacer es descartar la electrónica del dispositivo, ya que se vuelve irreparable.
Actualización de Software
Esta es una medida que debe ejecutarse rigurosamente; es fundamental mantener siempre actualizado todo el software dentro del esquema implementado, ya que esto ayuda a prevenir y proteger contra las vulnerabilidades conocidas que los hackers explotan. En lo que respecta a Cuvex, el proceso de actualización está diseñado para garantizar un mantenimiento adecuado del software en todo momento sin comprometer las operaciones de cifrado ni el aislamiento del elemento seguro. El único canal de comunicación elegido para la actualización es el protocolo Bluetooth, mediante una implementación de enlace temporal unidireccional. La aplicación móvil actúa como un air gap respecto a Internet para descargar el firmware y, a continuación, lo envía de forma sincrónica al dispositivo Cuvex a través de BLE. Cada vez que haya una nueva actualización disponible, recibirás una notificación push en tu móvil para que, cuando lo decidas, puedas proceder a descargarla e instalarla en el dispositivo. Cabe destacar que la tecnología Bluetooth se encuentra aislada en una partición de memoria gobernada por el Bootloader, cuya función es gestionar y preservar la integridad del firmware del dispositivo. Por lo tanto, es imposible utilizar ese canal desde el propio firmware, que implementa todos los procesos funcionales (cifrado, descifrado, escritura en tarjetas, etc.). En otras palabras, incluso si un atacante lograra conectarse vía Bluetooth, no podría modificar ni capturar ningún proceso funcional, ya que el canal solo se comunica con la partición del Bootloader, la cual únicamente permite actualizaciones del firmware.
Robo y amenazas
Muchos no se toman en serio este aspecto de la seguridad, descartando la posibilidad de que les pueda ocurrir a ellos. Incluso algunos lo presumen: publican información relevante sobre sus criptoactivos en redes sociales, ponen el adhesivo de su hardware wallet en la ventana de su coche, etc. La verdad es que asaltar a alguien que se autocustodia puede ser muy lucrativo, y las estadísticas están creciendo de forma exponencial. Es prudente estar preparado, tanto física como mentalmente, para esta eventualidad, incluyendo medidas en el esquema que hayas diseñado. En lo que se refiere a hardware wallets, cada vez más ofrecen la posibilidad de gestionar “wallets secundarias”, lo que te permite mantener oculta la verdadera y disponer de una superficial para despistar al atacante. Además, si creas una passphrase al definir tu seed, añades una capa extra de seguridad que te permitirá controlar una situación de amenaza en la que te veas forzado a entregar las claves. Como medida adicional, Cuvex ofrece la opción de multisignatura al crear tu criptograma. Esto fortalece enormemente tu esquema al permitirte diversificar la propiedad de la clave de tu secreto. Incluso si el ladrón te amenaza con una llave inglesa, tendrá que conformarse con que solo posees un fragmento de la clave que abre el cofre. Si tu implementación también involucra el ciberespacio, debes ser aún más precavido. Aquí se concentra la principal vía de robo y amenazas, y cualquier medida que tomes será de gran ayuda. La mejor práctica es destinar un ordenador exclusivamente para este fin, no utilizar ningún software desconocido y conectarte siempre mediante VPN, preferiblemente a través de TOR. Cabe recordarte que, en lo que respecta a Cuvex, ninguno de los procesos del dispositivo requiere conexión a Internet. Incluso la actualización del firmware se realiza sin conexión; la app se encarga de descargar la actualización y luego enviarla a través de un canal Bluetooth seguro y unidireccional.
Suplantación y estafas
Continuando con las medidas descritas en el punto anterior, ten en cuenta las posibles estafas a las que podrías ser víctima. El ciberespacio está lleno de trampas diseñadas para robar tu patrimonio. Presta especial atención a los detalles de los sitios que visitas, verifica las fuentes, busca pruebas de autenticidad, investiga y, sobre todo, no proporciones ningún dato personal ni nada relacionado con tus criptoactivos. En el ámbito físico, los dispositivos que elijas deben contar con mecanismos que te permitan verificar su integridad y autenticidad, y, por supuesto, siempre compra directamente al fabricante. En lo que respecta a Cuvex, tanto el embalaje como el dispositivo vienen sellados con una etiqueta de seguridad que te permite saber de un vistazo si ha sido manipulado. Además, puedes validar la trazabilidad del envío utilizando el servicio ofrecido por la Cuvex App, en el que, al introducir los códigos de la etiqueta, confirmas la autenticidad de lo que has recibido. En cuanto a las comunicaciones entre el dispositivo y la App para el proceso de actualización de software, el emparejamiento requiere validación OTP y el intercambio de certificados. Esto impide que terceros utilicen esa conexión y garantiza la autoría de la actualización. Por último, a nivel de software, cabe destacar que el dispositivo Cuvex solo permite la instalación de firmware original firmado por Cuvex. El bootloader realiza esto mediante autenticación asimétrica de la firma RSA del software a instalar (firmware). Así, incluso si alguno de los procesos descritos fallara, el dispositivo autenticará el firmware a instalar y eliminará cualquier intento de instalar software falsificado.
Riesgo de contraparte
¿Qué pasa si desaparecemos mañana y se rompe tu Cuvex? Absolutamente nada. Conservas el control total, sin importar el papel que Cuvex desempeñe en tu vida en el futuro. Toda la tecnología de Cuvex, tanto en software como en hardware, es accesible, auditable, transparente y modificable por cualquiera. Puedes recrear por completo la tecnología de Cuvex sin nuestra intervención. Accede a toda nuestra información técnica en GitHub. Además, incluso si no cuentas con la experiencia técnica necesaria, cualquier persona, sin importar su formación, puede utilizar la aplicación de escritorio de Cuvex para descifrar cualquier secreto cifrado con un dispositivo Cuvex, a partir de la versión de firmware 1.1.0. En otras palabras, en cualquier escenario futuro en el que ya no dispongas de un dispositivo Cuvex para descifrar tu frase semilla, solo necesitarás descargar la aplicación de escritorio de Cuvex para hacerlo. Visita manual.cuvex.io para aprender a mitigar cualquier riesgo potencial de contraparte que pudiéramos representar.
Privacidad
Aunque ya hemos abordado este aspecto en puntos anteriores, merece una mención especial debido al alto riesgo que supone descuidarlo. Nuestra recomendación es que mantengas siempre un perfil bajo. Las amenazas de terceros suelen originarse a partir de la información que las propias víctimas comparten imprudentemente en redes sociales y otras plataformas. La mejor forma de reforzar este aspecto de la seguridad es quedándote fuera del radar de los delincuentes. No compartas información sobre tus tenencias de criptomonedas en línea y, si te ves obligado a someterte a procesos de KYC, piénsalo dos veces. Elige sabiamente las empresas a las que proporcionas tus datos, ya que cada una representa una potencial vulnerabilidad en tu esquema de autocustodia. Esto no solo se aplica a exchanges y fabricantes de dispositivos, sino también a gobiernos que pueden solicitar información sensible sobre tus criptoactivos. Más de una administración ha demostrado tener prácticas deficientes en ciberseguridad.
Plan de desastre
Si por cualquier motivo tus torres gemelas se derrumban, debes tener la capacidad de seguir adelante. Nada es infalible, por lo que necesitas contar con un plan para eventos catastróficos. Ya sea porque los gobiernos vayan tras el fabricante que elegiste o porque un desastre natural lo arrase todo, tienes que planificar qué hacer en esa situación para evitar que te tome por sorpresa. Este aspecto debe reforzarse con los puntos tratados anteriormente, pero es fundamental que dediques un tiempo específico a pensar en cómo gestionar la falla de cualquier elemento de tu solución. Aquí, el papel y el bolígrafo serán tus mejores aliados. Investiga a fondo las virtudes que ofrece cada proveedor que elijas y elimina los vectores de riesgo que identifiques. Haz las preguntas necesarias a las partes pertinentes y confía en tu círculo de confianza para aprovechar aspectos como la redundancia y la multifirma.
Aprendizaje continuo
Finalmente, aunque pueda parecer repetitivo, el estudio continuo de tu esquema es obligatorio. La tecnología avanza a un ritmo vertiginoso y no puedes descansar en tus laureles. Lo que hoy es una fortaleza, mañana puede convertirse en una debilidad. Debes mantenerte actualizado en todo momento; no hay otra opción. Y, por supuesto, debes exigir lo mismo a cada empresa que decidas incluir en tu esquema. Un proveedor que no muestre signos de vida es una señal de alerta en tu panel de control. Si notas que la tecnología que utilizas está siendo abandonada o no se dirige en la dirección deseada, no seas el último en abandonar el barco. Y no olvides a la comunidad, una de las mayores virtudes de esta industria. Al igual que Cuvex, cualquier otra tecnología que incluyas debería ser de código abierto para la comunidad. Esto te permite verificar que cumplen lo que aseguran y, además, enriquecer y fortalecer las virtudes de dicha tecnología. El código abierto es, sin duda, un gran activo para la ciberseguridad.