Introducción a la seguridad de la Web3

La Web3 es la web descentralizada. Aunque esta es la esencia de la Web3, la “descentralización” sigue siendo algo abstracto. A todos los efectos, la descentralización actual implica que los sitios y aplicaciones se alojan en redes blockchain, en lugar de en servidores centralizados (como sucede en la Web 2.0). Si bien la Web3 no depende necesariamente de las redes de criptomonedas y blockchains, hoy en día el concepto es casi indistinguible de la tecnología que la impulsa.

La Web3 es una innovación basada en nuevas tecnologías que aportan tanto ventajas como riesgos únicos. La Web3 pretende ser transparente, resistente a la censura y, lo que es más importante, descentralizada. Es esta descentralización la que presenta una importante contrapartida, puesto que hay más riesgo personal y responsabilidad para los usuarios.

En un mundo ideal, la Web3 no dependería de ninguna autoridad ni servidor central, y los usuarios no tendrían que confiar en tantos terceros. Pero la Web3 actual no elimina por completo la confianza en las autoridades centrales. Hoy en día, el mero hecho de conectarse a internet requiere un cierto grado de confianza. Confiamos en que los sitios web, las aplicaciones y el hardware hagan lo que dicen hacer y que protejan nuestros datos, dinero e identidades. Esto ya era cierto en la Web 2.0, y se sigue aplicando en la Web3. Por tanto, tal vez sea mejor definir la Web3 diciendo que pretende introducir un nuevo modelo de confianza, donde la confianza se minimiza y se deposita más en los procesos empresariales (a menudo llamados protocolos).

Los usuarios de la Web3 deben confiar en el código que compone las redes blockchain, las criptocarteras, los procesos de gobernanza y los contratos inteligentes sobre las que se construyen las apps descentralizadas (DApps). Por tanto, la Web3 no está completamente descentralizada ni ofrece una “fiabilidad al 100 %”. Pero esos son los principales objetivos finales de los defensores de la Web3. Y las mejoras avanzan día tras día.

En este breve artículo, hablaremos sobre los riesgos de seguridad que siguen presentes. Y cómo cubrirse las espaldas en la Web3.

Riesgos sistemáticos en la Web3

El riesgo sistemático se refiere a un riesgo amplio que afecta a todo el ecosistema y que, en su mayor parte, está fuera del control del usuario. Algunos ejemplos de riesgos sistemáticos en la Web3 son:

• Una recesión económica generalizada o volatilidad del mercado de las criptomonedas (que puede afectar a los blockchains que hay detrás de la mayoría de DApps actuales de la Web3)
• Legislación desfavorable para la Web3 o el mercado de las criptomonedas (que, de nuevo, calará en la mayoría de las DApps de la Web3)
• Bloqueo del tráfico, retirada u otro tipo de censura de algunos servicios de la Web3 aún centralizados (por ejemplo, proveedores de nodos)
• Fallos técnicos en las redes blockchain (por ejemplo, operadores de nodos que no son fiables o una red que sufre un ciberataque)

Mientras que la volatilidad del mercado es frecuente, la mayoría de las principales redes blockchain (como Bitcoin y Ethereum) se han probado durante años frente a fallos técnicos graves. En cualquier caso, estos riesgos son propios del sector de los blockchains y las criptomonedas y, por defecto, de la Web3. Sin embargo, hay algunos riesgos que puedes controlar (o al menos reducir).

Riesgos de seguridad abordables en la Web3

Los riesgos más tangibles que los usuarios de la Web3 deben tener en cuenta son los siguientes:

• Pérdida de claves privadas
• Phishing, estafas y hackeos dirigidos a la cartera de criptomonedas o a las claves privadas del usuario (a todos los efectos, la Web3 actual trata la cartera de criptomonedas como un pasaporte digital único para acceder)
• Fallos y vulnerabilidades de contratos inteligentes
• Fallos corporativos en un blockchain en particular o en servicios de intercambio o empresas de criptomonedas que no tienen el mismo nivel de supervisión gubernamental (o protección, como es el caso de la FDIC en Estados Unidos) que los servicios tradicionales

Por suerte, hay algunas medidas que puedes tomar para protegerte de todos estos riesgos.

Protege tus claves privadas

Si almacenas tus activos en una cartera de autocustodia (en contraposición a un servicio de intercambio centralizado), tendrás el control exclusivo de tus claves privadas y, por tanto, de tus activos. Lo más habitual es que las claves privadas estén respaldadas por una frase de recuperación, un conjunto único de 12 o 24 palabras en un orden determinado que permite acceder a la dirección de una cartera de criptomonedas. Es como una versión legible de tus claves privadas y funciona como una contraseña bancaria. Las frases de recuperación, al igual que las claves privadas, otorgan un control total sobre los activos de una cartera y deben protegerse a conciencia.

Muchas personas guardan sus frases de recuperación en una caja fuerte ignífuga y la anotan en un material más resistente que el papel (por ejemplo, la graban en una placa de acero). También es aconsejable almacenar varias copias de la frase de recuperación en distintos lugares, como una caja de seguridad bancaria o una caja fuerte doméstica, aunque cada copia debe guardarse de forma segura, ya que cada instancia física de la frase aumenta las probabilidades de robo o peligro.

Obtén más información sobre las ventajas e inconvenientes de la autocustodia.

Protégete frente a los intentos de phishing, las estafas y los hackeos

También es importante proteger tus claves privadas y frases de recuperación del robo digital: la gran mayoría de ataques, estafas e intentos de phishing tendrán como objetivo tus claves privadas o frases de recuperación. Si algún hacker se hace con el control de cualquiera de ellas, se hace con el control de tus criptoactivos.

El phishing es la forma más habitual de que alguien intente acceder a tu cartera. Es posible que recibas correos electrónicos o mensajes de personas que suplantan la identidad de otras (o se hacen pasar por alguien del equipo de asistencia) y te piden tu clave privada o frase de recuperación. Si tienes dudas sobre si un mensaje es legítimo, ponte en contacto directamente con la empresa (a través de Twitter, Discord u otro método de atención al cliente) antes de hacer clic en cualquier enlace. Los estafadores también pueden ponerse en contacto contigo para decirte que has ganado un premio (por ejemplo, criptomonedas gratis) y pedirte información confidencial sobre tu cartera. La regla de oro es no compartir tus claves privadas ni frases de recuperación con nadie.

Una excelente estrategia para proteger tus claves privadas frente a ataques automatizados y malware es tenerlas sin conexión en una cartera de hardware de autocustodia, un método conocido como “almacenamiento físico”. Dispositivos como Ledger y Trezor ofrecen almacenamiento físico sin conexión para tus claves privadas. Estos dispositivos “firmarán” (o aprobarán) de forma segura las transacciones con tus claves privadas sin conexión. A continuación, conectarán la cartera a internet para difundir la transacción firmada. De esta forma, tus claves privadas nunca se revelarán mientras estás en línea. Las carteras de hardware son el estándar de oro para el almacenamiento seguro y sin conexión de criptomonedas, pero deberás mantenerlas a salvo al igual que las frases de recuperación.

Nota: Brave nunca te pedirá tu frase de recuperación de Cartera de Brave. En ningún caso compartas esta información con Brave ni con nadie.

Ten cuidado con los fallos y vulnerabilidades de los contratos inteligentes

La Web descentralizada está repleta de sitios web y DApps que se alojan en redes blockchain. Estas redes se basan por completo en contratos inteligentes (o, al menos, parte de su lógica central). Los contratos inteligentes, programas basados en blockchains que se ejecutan automáticamente, son fundamentales para la Web3. También son bastante nuevos y pueden ser propensos a errores en su código (los cuales podrían ser desastrosos, ya que se ejecutan automáticamente). Los hackers suelen buscar errores en el código de los contratos inteligentes y aprovecharlos para robar fondos de las DApps o de sus usuarios. Estos ciberdelincuentes podrían incluso desarrollar intencionadamente contratos inteligentes con el fin de drenar los activos de las criptocarteras.

Por suerte, muchos desarrolladores de la Web3 son muy conscientes de la importancia de un código hermético. Como en cualquier proyecto de código abierto, es crucial que los desarrolladores usen un código sencillo, realicen auditorías de seguridad rigurosas y frecuentes, y busquen una verificación formal antes de sacar productos al público, sobre todo cuando hay fondos de los usuarios en juego. Pero, claro está, la mayoría de la gente no tiene los conocimientos técnicos necesarios para evaluar el código y determinar si un servicio o DApp es seguro. Por tanto, no es difícil caer en las redes de atacantes que intentan robar fondos.

¿Qué puedes hacer? Ahí van unas cuantas recomendaciones:

• Procura utilizar DApps ampliamente conocidas con un historial de seguridad
• Evita las nuevas Dapps o servicios que podrían presentar más riesgos
• Comprueba dos veces las URL de los servicios que utilizas (puedes hacerlo durante el proceso de firma de las transacciones en Cartera de Brave) y valora la posibilidad de marcarlas como favoritas para evitar que se te redirija a un sitio web impostor.

Cuidado con los fallos corporativos

Como se menciona en la introducción de este artículo, la Web3 actual se encuentra en un estado intermedio: a menudo descentralizada, pero no siempre. Entre otros motivos, este estado intermedio presenta riesgos a causa de las corporaciones centralizadas de la Web3, como los servicios de intercambio centralizado (CEX). Cuando una sola entidad como esta falla, puede conllevar una gran volatilidad para el mercado de las criptomonedas y afectar directamente a sus usuarios (piensa en casos importantes como Three Arrows Capital, Terraform Labs, y, más recientemente, FTX). Estos tres ejemplos representan una variedad de criptoempresas (un grupo de inversión, un equipo de desarrollo de blockchain y un CEX, respectivamente) con un denominador en común: eran empresas centralizadas que jugaban en el espacio descentralizado de la Web3. Y todas se derrumbaron, dejando a sus inversores y usuarios solos ante las consecuencias.

Al igual que en cualquier otro lugar de internet, en la Web3 también hay ciberdelincuentes. En la medida de lo posible, procura elegir a grandes empresas de la Web3 con buena reputación. Sin embargo, no hay garantía de que un servicio sea seguro solo porque sea popular, ya que hasta grandes nombres han caído en el mundo de las criptomonedas.

Si quieres evitar este tipo de riesgo por completo, plantéate la autocustodia. Insistimos: la Web3 no elimina el riesgo por completo, pero te da la opción de decidir en quién quieres confiar.

Consejos generales de seguridad de la Web3

En términos generales, muchas de las recomendaciones de seguridad de la Web 2.0 se trasladan a la Web3:

• Utiliza la autenticación de doble factor (2FA)
• Elige contraseñas seguras (por ejemplo, más largas)
• No reutilices contraseñas entre servicios
• Mantente alerta de las estafas e intentos de phishing, y comprueba la fuente antes de descargar algo

Otra estrategia inteligente es la diversificación. Al repartir tus criptoactivos entre carteras de autocustodia, servicios CEX y carteras de hardware sin conexión, reducirás la probabilidad de que una caída en alguna de ellas perjudique a las demás. Del mismo modo, al utilizar DApps, puedes diversificar los contratos inteligentes y las plataformas que utilizas, sin depositar todos tus fondos en un único protocolo.

La Web3 te ofrece una oportunidad real de tener la custodia y el control de tus activos. Pero esto implica también ser consciente y precavido. Todo lo que hacemos en internet conlleva un grado de confianza y desconocimiento. Aunque la Web3 -al igual que la Web 2.0- aún no ha llegado a ese punto, tu principal objetivo es minimizar ese elemento de desconocimiento y hacer que todo sea más abierto y verificable.

Si te interesa probar la autocustodia por primera vez o buscas una protección de nivel Brave para tu cartera, prueba Brave Wallet. Es una cartera nativa del navegador que sube el listón de la privacidad y la seguridad en la autocustodia de criptomonedas.