¿La mayor debilidad de las cripto? La firma a ciegas
Aspectos clave: |
– Con el increíble auge de las dApps de NFT y DeFi, los usuarios interactúan con contratos inteligentes de formas cada vez más complejas. Y los estafadores siempre están al acecho de nuevas vulnerabilidades. La firma a ciegas es uno de los trucos más desconocidos que aprovechan los estafadores para robar activos. – Los contratos inteligentes que se usan en las dApps y los NFTs hoy en día han supuesto un reto para la actual generación de billeteras cripto, ya que su código, que contiene los detalles clave del contrato, no puede extraerse y mostrarse en su totalidad, por lo que los usuarios firman sin saber lo que están firmando. – Con la popularización de las cripto, cada vez más personas se informan sobre cómo mantener sus activos protegidos, con lo que los estafadores tienen menos oportunidades de obtener acceso a tus activos. Por eso, en lugar de intentar abrir la puerta por la fuerza, tratan de engañarte para que la abras tú por ellos mediante la firma a ciegas. – La misión de Ledger es aportar total transparencia y seguridad a cada una de tus transacciones. Eso implica que puedas leer los datos de tus contratos antes de firmarlos, algo que conseguimos con nuestra más reciente actualización, que garantiza la firma visible para todas las dApps integradas. La firma a ciegas sigue siendo obligatoria para las dApps que aún no están integradas en Ledger Live, pero puedes usarla de forma segura siguiendo estos pasos. |
Si has oído hablar de la firma a ciegas, pero no tienes claro lo que significa, no busques más. Aquí explicamos el concepto.
Si estás leyendo esto, ya sabrás que las cripto son un bien muy demandado. Ya sean monedas, tokens o NFTs, a todos nos interesa mantener nuestros activos protegidos. “¡Ya lo sé!”, dirás. “No debo compartir mis claves privadas ni mi Frase de recuperación con nadie”. Así es, pero la historia no acaba ahí.
Con el increíble auge de las DeFi y dApps en la criptósfera, los usuarios interactúan con contratos inteligentes de formas cada vez más complejas. Y los estafadores siempre están en busca de nuevas vulnerabilidades en los procesos de transacción, lo que naturalmente ha dado lugar a una nueva generación de estafas diseñadas para arrebatarte los activos cripto que con tanto esfuerzo has ganado. Y también pueden ser difíciles de detectar, incluso para un profesional de las cripto.
La firma a ciegas es uno de los trucos más desconocidos que aprovechan los estafadores para robar activos. Aquí explicaremos qué es la firma a ciegas, cómo funcionan las estafas de firma a ciegas y cómo puedes evitarlas.
¿Qué es la firma a ciegas?
Antes de hablar de cómo funciona este concepto digitalmente, comencemos por los conceptos básicos de papel y lápiz del mundo real. Los contratos rigen nuestras relaciones, ya sea un contrato de empleo que te obliga a trabajar 40 horas a la semana o una suscripción a Netflix que debes pagar cada mes. Cuando firmas un contrato, aceptas hacer lo que dice. Al firmar, indicas que has leído y comprendido las condiciones y que aceptas la obligación de cumplirlas.
Firmar un contrato digital
Los contratos inteligentes (la infraestructura que hace posibles las dApps, los NFTs y muchos elementos de las DeFi) son una versión digital de eso. Digamos que un prestamista te presta determinada cantidad de cripto, con la premisa de que cada mes devolverás una cantidad fija con intereses. Cuando verificas el acuerdo mediante tu clave privada, firmas el contrato inteligente digitalmente.
Pero ¿y si no puedes ver el contrato? Esto nos lleva de vuelta a la cuestión inicial.
Los contratos inteligentes que se usan en las dApps y los NFTs hoy en día han supuesto un reto para la actual generación de billeteras cripto, ya que su código, que contiene los detalles clave del contrato, no puede extraerse y mostrarse en su totalidad en un lenguaje que entienda el usuario. En otras palabras, las billeteras todavía se están poniendo al día con las opciones más recientes para los consumidores.
¿Cómo me afecta esto?
Veamos un ejemplo real para explicar cómo afecta esto a tus transacciones. En primer lugar, empezaremos por aclarar que cada vez que firmas una transacción con la pantalla de tu PC, técnicamente es una firma a ciegas.
Digamos que haces una transacción únicamente a través de una billetera de software: como la pantalla (de tu PC o de tu móvil) está conectada a Internet, es vulnerable al hackeo.. Eso significa que nunca puedes fiarte totalmente de que la pantalla muestre los detalles de lo que estás firmando. Siempre existe la posibilidad de que hayan hackeado la pantalla para mostrar información falsa y hacer que firmes otra cosa. Al confirmar la transacción, por lo tanto, “firmas a ciegas”, lo que significa que la aprobación de la transacción se basa en la confianza.
El objetivo de usar una billetera de hardware, como el Ledger Nano, es eliminar este riesgo. Dado que tu billetera es un lugar seguro y sin conexión impenetrable para los hackers, su pantalla siempre mostrará los verdaderos detalles de las transacciones. Por eso, nuestra “pantalla de confianza” es inestimable para garantizar que sepas exactamente lo que aceptas.
No obstante, aunque tu Nano siempre mostrará los detalles exactos de la transacción, esto solo es posible cuando los detalles están disponibles. Y no siempre es el caso.
Pongamos que, con las medidas de seguridad adecuadas, haces una permuta con tu dispositivo Ledger y la billetera de software que te conecta a la Dapp: ¡buen trabajo!
Pero, como hemos mencionado antes, la mayoría de las billeteras de software, es decir, el middleware entre tu dispositivo y la dApp, son incapaces de leer y extraer en su totalidad los elementos del contrato inteligente de la transacción.. Eso significa que, aunque utilices tu dispositivo Ledger para verificar y completar la transacción, el dispositivo no podrá mostrarte todos los detalles, puesto que el propio middleware no tiene nada que transmitirle.
En su lugar, en el dispositivo solo se mostrará “Data Present” (Datos presentes), por lo que no verás los detalles clave, como la acción, el precio, la dirección de recepción, etc., antes de confirmar la transacción. Verás algo parecido a esto:
Sin detalles de lo que implica este contrato, la única opción es, de nuevo, verificar tu transacción basada en la confianza. De ahí el término firma a ciegas.
Descrita así, la firma a ciegas parece bastante arriesgada, pero la mayoría de nosotros somos culpables de usarla. ¿Cuándo fue la última vez que leíste el acuerdo del usuario al suscribirte a un nuevo servicio? El hecho es que basamos muchas de nuestras decisiones en la reputación de aquellos con quienes hacemos las transacciones.
La firma a ciegas da cabida a nuevos tipos de fraude
Con la popularización de las cripto, cada vez más personas se informan sobre cómo mantener sus activos protegidos, con lo que los estafadores tienen menos oportunidades de obtener acceso a tus activos. Por eso, en lugar de intentar abrir la puerta por la fuerza, tratan de engañarte para que la abras tú por ellos.
Un ejemplo de ello son los drops de NFTs en sitios web menos conocidos: el furor por los NFTs ha disparado la demanda de estos activos digitales, y los drops están diseñados para sacar provecho de ese entusiasmo. Pero antes de dar tu firma a ciegas para un drop de NFTs, piénsalo bien. Si no es una marca conocida, ¿puedes tener la seguridad de que la transacción que vas a verificar es la que crees que es?
Los mensajes privados son otro caldo de cultivo de este tipo de amenazas. Hace poco, unos estafadores se hicieron pasar por administradores técnicos de OpenSea en Discord. Un coleccionista experimentado que necesitaba soporte técnico inició una conversación sobre su cuenta, creyendo que estaba hablando con un asesor del servicio. En el transcurso de la charla, el asesor le pidió que aprobara una llamada de transacción (sin mostrar los detalles del contrato) con su Ledger Nano. En realidad, la transacción que verificó daba acceso a su bóveda, y el asesor era en realidad un impostor; todo era un montaje.
Es un ejemplo perfecto de cómo incluso un usuario de cripto experimentado puede cometer un error cuando las circunstancias son lo suficientemente convincentes.
No confíes: verifica
Esta clase de fraude se engloba en la ingeniería social. Los estafadores son especialistas en crear meticulosamente un entorno en el que confías lo suficiente como para bajar la guardia. En este caso, la víctima confió en una transacción ciega porque pensaba que estaba tratando con un servicio de soporte técnico de confianza.
Y este tipo de estafa se está volviendo cada vez más común, porque el rápido ritmo de evolución ha provocado que la firma a ciegas sea la norma en el sector. Es hora de que las herramientas se pongan al día.
¿Cómo puedo usar dApps con tranquilidad?
La misión de Ledger es aportar total transparencia y seguridad a cada una de tus transacciones. Eso implica que puedas leer los datos de tus contratos antes de firmarlos, algo que conseguimos con nuestra más reciente actualización, que garantiza la firma transparente para todas las dApps integradas. De esta manera, eliminamos la vulnerabilidad a la que hacen frente los usuarios para proporcionarles una experiencia lo más segura y fluida posible.
Nuestra actualización presenta dos grandes mejoras que lo hacen posible. Ahora el Nano no solo puede leer y mostrar la información de los contratos inteligentes para una variedad de dApps; el reciente lanzamiento de nuestro catálogo de aplicaciones dentro de Ledger Live te permite acceder a una serie de DeFi y dApps con la seguridad de tu dispositivo Ledger, de modo que puedes usar el ecosistema de Ledger como una puerta de acceso segura a tus dApps y servicios favoritos.
Hagamos que la firma a ciegas quede relegada al pasado.
Echa un vistazo a esta transacción de ParaSwap para ver lo que esto implica para ti:
Como puedes ver en el ejemplo anterior, en lugar de solo mostrar “Data Present” (Datos presentes), el Nano puede mostrar todos los detalles de la transacción con la seguridad total de su pantalla de confianza, por lo que en lugar de tener que confiar, ahora puedes verificar.
Apartir de que se producen constantemente nuevas integraciones, el catálogo de aplicaciones de Ledger lidera el sector de la seguridad de las dApps.
¿Y si la Dapp que necesito no está integrada?
Dado que Ledger Live es una plataforma abierta y de código abierto, independientemente de cuál sea el proyecto, puedes escribir tu propio complemento para hacerlo compatible con Ledger Live y permitir la firma visible. ¿A qué esperas?
Mientras ampliamos nuestras integraciones, somos conscientes de que algunas transacciones aún requieren una billetera de intermediario. Al verificar transacciones a través de un middleware, es posible que se te pida que firmes a ciegas. En tal caso, hay una serie de medidas que puedes tomar para mitigar el riesgo de estafa.
- No utilices dApps de las que nunca hayas oído hablar y comprueba siempre su autenticidad.
- No te fíes de los mensajes directos de las redes sociales: si alguien a quien no conoces se está comunicando activamente contigo, plantéate por qué. Recuerda que podría ser cualquiera (no hagas clic en ningún enlace).
- Independientemente del tipo de transacción que quieras hacer, el Ledger Nano sigue siendo una valiosa herramienta para mantener tus claves privadas sin conexión en todo momento. Al usarlo, agregas una capa de seguridad a todas tus interacciones.
- Ah… y nunca jamás reveles a nadie tu Frase de recuperación, la guardes en un dispositivo conectado a Internet ni la introduzcas en una billetera de software. Una vez más, por si alguien aún no se ha enterado, la frase de recuperación de Ledger está pensada para que el usuario la introduzca únicamente en su dispositivo Ledger.
El guardián de la puerta eres tú
La firma a ciegas tiene dos elementos: es una brecha tecnológica que invita al error humano. Por eso tu propio juicio es más crucial que nunca.
Independientemente de lo avanzada que sea tu billetera, tú eres el último punto de defensa de tus activos cripto. Pero al garantizar que puedes examinar todos los detalles de las transacciones, el creciente catálogo de aplicaciones de Ledger te permite disfrutar de las increíbles nuevas posibilidades que ofrecen las cripto, sin asumir ningún riesgo.
Si quieres averiguar más sobre las estafas del mundo de las cripto (y cómo evitarlas), echa un vistazo a nuestro episodio de School of Block In the Head of a Scammer.