¿Qué sigue en materia de seguridad para las billeteras Bitcoin ?

Últimamente, el mundo de las billeteras de Bitcoin ha estado muy activo. Dos billeteras de hardware, Trezor y BTChip, finalmente se lanzaron, y la seguridad de las billeteras continúa mejorando.

A pesar de todo esto, sin embargo, hay quienes deberían saberlo mejor.Todavía están siendo robados porque no agregan más protección a sus tenencias de Bitcoin .

Para abordar el problema de las vulnerabilidades de las billeteras de Bitcoin , es importante observar las protecciones de seguridad que están actualmente disponibles para las billeteras y explorar qué trabajo aún queda por hacer en el futuro.

Multifirma

2014 iba a ser el año de las firmas múltiples (multisig), segúnGavin Andresen en su discurso sobre el estado de Bitcoin de 2014Ha habido mucha actividad en este ámbito. La multifirma ofrece a los propietarios de billeteras una mayor seguridad al exigir la aprobación de un tercero antes de finalizar las transacciones.

Esto allana el camino para los servicios de riesgo de terceros, dijo Gary Rowe, director ejecutivo de la popular billetera Bitcoin Multibit:

"Si compras un coche de 10.000 libras o algo similar con Bitcoin, es posible que te envíen un mensaje de texto para confirmar la transacción".

Multibit se basa en Bitcoinj, una implementación de Bitcoin basada en Java. Bitcoinj ahora incorpora compatibilidad con multifirma, junto con firmantes de transacciones conectables. Sin embargo, ni Multibit ni Hive, ambos basados ​​en Bitcoinj, admiten multifirma al momento de escribir este artículo.

Otras billeteras, como BitGo y Armory, que están más enfocadas en los usuarios empresariales, tienen soporte multifirma incorporado.

Pero no deberíamos depositar todas nuestras esperanzas de seguridad en las billeteras multifirma.

"No todo el mundo los aceptará como parte del espíritu descentralizado de Bitcoin, por lo que no se puede confiar en ellos como la única solución al problema", dijo Rowe, quien agregó que las billeteras multifirma también son más complejas de usar que las billeteras deterministas.

Carteras deterministas

Las primeras billeteras de Bitcoin generaban direcciones aleatoriamente. Las direcciones de Bitcoin no deben reutilizarse, lo que significa que, si se usan correctamente, debería haber varias direcciones en una sola billetera. Esto dificulta recuperarlas si se pierden.

Las billeteras deterministas crean direcciones usando una frase simple de varias palabras, creada aleatoriamente por el usuario. Esta frase también generará el mismo conjunto de direcciones.

Todo esto hace que sea más fácil resolver el problema de las copias de seguridad, dijo Aaron Vosine, creador de Breadwallet basado en iOS:

Si una billetera es determinista, entonces su semilla es todo lo que necesita. Esta semilla debe registrarse fuera de línea, por ejemplo, con una contraseña larga, o en un dispositivo de hardware seguro, bloqueado con un código PIN fácil de recordar.

Ahora, las billeteras deterministas jerárquicas (HD) están añadiendo una nueva dimensión. Crean "árboles" de direcciones usando una frase semilla. Cualquier rama del árbol puede compartirse con otro usuario, sin revelar todo el árbol. Esto permite que las billeteras HD sean fácilmente intercambiables con otros usuarios sin comprometer la Privacidad y fácilmente replicables.

Todos estos son grandes avances, pero quizás una de las mayores evoluciones de este año ha sido el auge de la billetera de hardware. El líder del proyecto Bitcoinj, Mike Hearn, elogió el envío de Trezor:

"Vale la pena repetirlo: no existe un dispositivo de autenticación financiera más sofisticado en el mundo, hasta donde yo sé. El estándar utilizado por los bancos en la UE y en otros lugares (TAPA) no es tan fácil de usar, y una vez que Trezor integre la compatibilidad con el protocolo de pago, también será más seguro que CAP. Los bancos estadounidenses T siquiera se acercan.

Otras billeteras están implementando rápidamente la compatibilidad con billeteras de hardware. La integración de Trezor con Multibit debería estar disponible en un par de semanas, afirmó Rowe.

Margen de mejora

A pesar de los avances logrados este año, aún quedan desafíos importantes para las billeteras.

Una de las mayores preocupaciones es el malware, dijo Vosine de Breadwallet. El amenaza de malwareEs probable que esto sólo aumente y Android ha sido un foco de actividad de malware.

Vosine explicó:

Creo firmemente que el malware que roba bitcoins es la mayor amenaza actualmente, especialmente para las billeteras de escritorio. Una parte considerable del malware que se está descubriendo actualmente es malware que roba Bitcoin , y aun así, el Bitcoin sigue siendo muy pequeño.

Esta es otra razón para pasarse a las billeteras de hardware, dijeron los comentaristas, pero el hardware también tiene margen de mejora.

Thomas Voegtlin, creador de la popular billetera Bitcoin ElectroDijo que ya cuenta con soporte para Trezor y que la integración con BTChip llegará pronto. Todo está listo para el siguiente paso evolutivo en las billeteras de hardware, sugirió.

Las billeteras de hardware representan un gran avance con respecto a las billeteras web y de escritorio; sin embargo, la generación actual aún debe confiar en un sistema host para los datos de la cadena de bloques y las direcciones de pago. Será un gran avance cuando las billeteras de hardware puedan ejecutar la verificación SPV y la validación del protocolo de pago en el dispositivo seguro.

Nicholas Bacca, creador de BTChip, ha creado una billetera de tarjeta inteligente que, según él, no puede ser recuperada fácilmente por un atacante que obtenga acceso físico al chip.

Bacca dijo que espera que la virtualización desempeñe un papel en el futuro:

"Busque más billeteras de hardware implementadas en elementos seguros y virtualizadas en entornos seguros como TEE [Entornos de ejecución confiables], sin embargo, no creo que esta virtualización esté disponible o sea portable antes de 2 o 3 años."

El uso de TEE y los módulos de plataforma confiable (TPM) asociados, ambos proporcionando áreas de hardware protegidas para la ejecución de código confidencial, podría terminar eliminando la necesidad de billeteras de hardware, argumentó Wendell Davis, fundador de Hive Wallet:

"Me imagino que los teléfonos móviles incorporarán algún tipo de TPM en algún momento, lo que podría ser el clavo en el ataúd proverbial de la billetera de hardware".

La gente también quiere llevar menos dispositivos, en lugar de más, afirmó, añadiendo que tienden a optar por opciones menos seguras pero más convenientes.

Biometría

Las compañías telefónicas ya están tratando de combinar seguridad y conveniencia, en forma de biometría; Breadwallet pronto tendrá soporte para TouchID de Apple, dijo Vosine.

Rowe, de Multibit, no es un gran defensor de la biometría. Dijo que le preocupa que las huellas dactilares, el reconocimiento de voz e incluso el escaneo del iris puedan verse comprometidos. En cualquier caso, advirtió que la precisión no es perfecta, lo que dificulta su adopción generalizada.

Vosine, por otro lado, está poniendo un código PIN límite en el teléfono para evitar que la gente...copia de huellas dactilaresy hackear un teléfono. Hearn también ha considerado usar una "placa" NFC que cualquiera puede llevar en el bolsillo para verificar el teléfono que está usando.

A medida que todas estas medidas de seguridad se incorporan a las billeteras de una forma u otra, ¿dónde deja esto a Bitcoin-Qt, la billetera de referencia creada por los desarrolladores CORE ? Anteriormente, el desarrollador principal de Bitcoin ha indicado que Bitcoin-Qt se separaría del proyecto CORE .

Puede ser significativo que las versiones recientes del demonio de Bitcoin (el código subyacente de Bitcoin que mantiene la red funcionando) ahora se puedan compilar sin ninguna funcionalidad de Bitcoin .

La diferencia entre la implementación de referencia y otras billeteras en el campo está creciendo, advirtió Hearn:

"Bitcoin-Qt aún no es ni siquiera HD, y mucho menos HD multisig conectable, por lo que creo que veremos a esta billetera quedarse cada vez más atrás".

Usabilidad

Además de todo esto, aún tenemos que lidiar con el problema de la usabilidad. Siempre hay un equilibrio entre seguridad y conveniencia, y lo mismo ocurre con las billeteras seguras, advirtió Hearn:

"Por ejemplo Autenticador de BitcoinEs bastante sencillo, pero aún tienes que escanear un código QR desde tu teléfono, escribir un par de semillas de billetera de 12 palabras, etc. Se puede simplificar, pero es un desafío constante.

ONE de los mayores problemas, según Davis de Hive Wallet, es que la gente todavía no Síguenos ni siquiera las pautas de seguridad básicas con las billeteras.

"Sabemos que una cantidad alarmante de usuarios simplemente ignoran las dos líneas de instrucciones sobre cómo escribir su frase inicial. Simplemente pasan de largo e ignoran la advertencia, marcada en rojo", explicó Davis.

Las billeteras Bitcoin son más seguras que nunca y, en muchos casos, ya son mucho más seguras que el arcano sistema de tarjetas de crédito de la industria bancaria, en el que usted proporciona a los comerciantes su nombre, los detalles de su tarjeta de crédito e incluso su código Secret , a menudo a través de Internet.

Sin embargo, aún queda trabajo por hacer. Las herramientas se pueden mejorar, sí; siempre hay algún truco técnico que añadir. Pero en este punto, cuando la seguridad técnica está superando a la del sector financiero convencional, quizás sea el comportamiento del usuario lo que deba mejorarse.

Imagen de seguridad de Bitcoin a través de CoinDesk