El empresario Mark Cuban fue hackeado por introducir su frase semilla en un Metamask falso. Sin más, no hay mayor historia que contar aquí.
Por otro lado el trader Daniel Muvdi, haciendo referencia al caso de Mark Cuban, aseguró que le robaron 300 ETH de su billetera de Metamask. Así que decidió dejar de usar billeteras de software para pasarse a «hacer todo» con su Ledger.
Daniel Muvdi demonizó a las billeteras de software como Metamask, confiando al 100% en su Ledger, ¿pero tiene razón?
Te diré por qué van a seguir drenando la billetera de Daniel Muvdi a pesar de usar una Ledger. ¿Quieres saber dónde está el error de Daniel? Sigue leyendo y lo descubrirás.
Lo que tienen en común las cold wallets (hardware) y las hot wallets (software)
Antes de meternos en materia, deberías conocer las diferencias entre las billeteras de software y las de hardware. Para ello te voy a exponer primero en qué se parecen, y después haremos un repaso de sus diferencias. Así te resultará más sencillo quedarte con las diferencias.
¿Cómo se instala?
Una billetera de software se instala en un dispositivo móvil o un PC. Una billetera de hardware, por lo general, requiere de un software que se instala en un dispositivo móvil o un PC.
¿Qué responsabilidad tiene la empresa que gestiona la billetera?
La empresa que gestiona ese software o la billetera de hardware no custodia tu cartera, por lo que en el caso de que pierdas la frase semilla, estarás bien jodido en los dos casos (tanto si usas cold wallet como si usas hot wallet).
Tabla de similitudes
| Cold Wallet (Ledger, BitBox02…) | Hot Wallet (Metamask, Trust Wallet…) |
|---|---|
| Puede requerir un software en PC o smartphone | Requiere un software en PC o smartphone |
| La empresa no custodia tu cartera | La empresa no custodia tu cartera |
Hasta aquí estamos viendo ligeras diferencias, pero en principio se parecen mucho, ¿verdad?
En ambos casos necesitaremos un software, la empresa no es custodia de tus fondos, y te genera una clave privada para que tú custodies tus carteras.
¿En qué se diferencian las cold wallets y hot wallets?
Cuando creas tu cartera en una billetera de software o de hardware, se genera una clave privada y así puedes obtener las 12 ó 24 palabras de seguridad (frase semilla) para su custodia.
Pero hay una diferencia que debes conocer.
¿Dónde se genera la clave privada?
Bien, en primer lugar podemos observar una diferencia muy importante: dónde se genera y almacena la clave privada de nuestra billetera. La clave privada es la llave de nuestra caja fuerte, es elemento fundamental. Esa clave nos da acceso a vuestros fondos.
Una de las principales diferencias es el DÓNDE.
En este caso, DÓNDE se genera la clave privada.
Cuando instalas una hot wallet como Metamask en tu móvil o PC, la única forma que tiene Metamask de permitir que veas la frase semilla es a través del mismo móvil o PC.
¿Estás seguro que tu pantalla no la está viendo nadie más? Recuerda que es un dispositivo conectado a internet, y hay hackers, hay códigos maliciosos, y hay programas que te podrían espiar.
Pero eso no es todo. La clave privada queda almacenada en tu móvil o PC. ¿Qué ocurriría si de alguna forma alguien pudiera acceder a esos dispositivos en un futuro? ¿Quién te asegura que tu PC o smartphone no acaba en la chatarra y alguien busca de forma intencionada en sus entrañas?
Bien, y ahora te hablaré de la otra gran diferencia, el CÓMO.
¿Cómo se firman las transacciones en las cold wallets y en las hot wallets?
| Cold Wallet (Ledger, BitBox02…) | Hot Wallet (Metamask, Trust Wallet…) |
|---|---|
| La clave privada se genera y almacena en un dispositivo aislado de internet | La clave privada se genera y almacena en móvil o PC conectado a internet |
| La transacción se firma desde el dispositivo OFFLINE | La transacción se firma desde el PC o el móvil ONLINE |
Y aquí tenemos la mayor virtud de las billeteras físicas, el CÓMO FIRMAN LAS TRANSACCIONES.
Cuando vamos a sacar fondos de nuestra billetera, tenemos que firmar con nuestra clave privada esa transacción. Esto es así siempre y con cualquier tipo de billetera.
Dijimos antes que las hot wallets generan y almacenan la clave privada en el propio smartphone o PC. Por lo tanto, cuando queremos mover fondos de nuestra cartera, sólo tendremos que introducir un pin o nuestra huella para firmar la transacción y liberar la transacción.
Esto es muy cómodo.
Y muy peligroso…
¿Qué ocurriría si alguien te robara el móvil con tu billetera de Metamask repleta de Ethereum?
Sí, estoy convencido de que tienes tu huella biométrica para acceder. ¿Crees que eso no es hackeable?
Sin embargo, las cold wallets requieren del dispositivo físico para firmar una transacción. Tienes que conectar el dispositivo al móvil o al PC en el que esté instalado su software y autorizar la transacción desde el dispositivo, el cual también incorpora un PIN.
En el caso de la cold wallet, si alguien te roba el móvil, podría acceder al software en el que tienes los fondos, pero nunca podría moverlos, pues la clave privada no está en el móvil. Necesitaría el dispositivo. Y, aunque tuviera acceso al dispositivo junto al móvil, si no conoce el PIN, tampoco podría hacer nada. La seguridad es mucho mayor que la de un simple móvil.
💡 APRENDE MÁS
Sensación de seguridad de las cold wallets
Hasta aquí genial. Vemos que las cold wallets añaden una capa de seguridad máxima a nuestros fondos. Una seguridad que no te va a dar nunca una hot wallet.
Esto es así, pero…
Hay una falsa sensación de seguridad que te hace cometer errores como los que cometió Daniel Muvdi y seguirá cometiendo aún custodiando sus fondos en una Ledger.
¿Sabes por qué?
El error más común que vas a cometer, y el más peligroso
Este exceso de confianza nos lleva a hacer tonterías.
Tonterías como conectar nuestra cold wallet en la web3 y empezar a firmar contratos para recibir airdrops o cualquier cosa parecida.
Claro, nadie te va a poder robar los fondos si no tiene tu dispositivo, ¿no?
ERROR
Como firmes un smart contract malicioso y le des permiso al caco para que te vacíe la cartera, créeme, te la va a vaciar aunque tengas la cold wallet más segura del mercado. ¿Por qué?
Muy fácil.
Cuando firmas con tu cold wallet un contrato malicioso, sin saberlo le estás diciendo que puede mover esos fondos cuando quiera y en la cantidad que quiera. Vas a firmar una vez, y luego el hacker ya tendrá vía libre para drenarte tu billetera cuando lo desee.
Esto es lo que le ocurrirá a Daniel Muvdi
Así que si Daniel sigue «haciendo de todo» con su Ledger como afirma en el post, es cuestión de tiempo que firme un contrato malicioso con el que le robarán otros 300 ETH.
Concluyendo
💡 APRENDE MÁS
Una cold wallet es muy segura, pero tú eres el eslabón más débil de la cadena de seguridad. Tú eres un humano, y cometes fallos, demasiados.
Lo único que tienes que hacer para mantener tu cartera a salvo es:
- No interactuar en la Web3 con tu dispositivo físico
- No firmar ningún contrato, jamás
- No expongas tu frase semilla
- Úsalo únicamente para almacenar fondos
- Cuando quieras enviar fondos a otra billetera, firma la transacción sin problema
- Mantenlo actualizado siempre
- Descarga software únicamente de los sitios oficiales (cuidado con la suplantación de páginas web y apps) para que no te ocurra como a Mark Cuban
Con estos consejos, te aseguro que aumentarás el nivel de seguridad al máximo nivel a la hora de custodiar tus criptomonedas.