Mis estimados Geeks,
Ya hemos hablado antes del tema de las contraseñas, de la importancia de utilizar gestores de contraseñas para generarlas aleatoriamente, de evitar reciclarlas o repetirlas y asegurarnos de que sean lo suficientemente complejas y robustas, de olvidarnos de nuestro "sistema infalible" para crearlas que al final solo revela un patrón fácilmente descifrable, en fin. Sin embargo, aún nos queda pendiente hablar de cómo administrar y proteger adecuadamente esas contraseñas.
Algunos generadores de contraseñas incluyen bóvedas encriptadas para almacenarlas de forma segura, lo que es válido y recomendable para contraseñas de aplicaciones, servicios en línea, entre otros. No obstante, su uso no es lo adecuado cuando se trata de proteger activos digitales como criptomonedas, tokens, NFT, etc.
Cuando se trata de proteger frases semillas, claves privadas o passphrases, es fundamental tener en cuenta lo siguiente:
Primero, y tal vez el mantra más importante: nunca se deben almacenar en línea, ya sea en correos electrónicos, en servicios de mensajería (Telegram, Discord, Whatsapp) o en almacenamiento en la nube (Google Drive, Dropbox). Nunca en línea.
Tampoco se les debe hacer fotografías o capturas de pantalla, pues corremos el riesgo de que al estar en la galería de fotos puedan subir como respaldo a la nube.
No se deben guardar en la computadora, ni tablets, ni teléfonos móviles, por muy “escondidas” que creamos que están. Incluso, estando en un archivo encriptado.
Por último, no se deben guardar en ningún gestor de contraseñas (Bitwarden, 1Password, NordPass) por más seguros que parezcan. Si bien son seguros para la gestión de contraseñas, no son el lugar adecuado para almacenar frases semilla o claves privadas. Es importante tener claro esto y diferenciar ambas casos.
! [ENGLISH VERSION]
Dear Geeks,
We have previously discussed the topic of passwords, emphasizing the importance of using password managers to generate them randomly, avoiding recycling or repeating them, and ensuring that they are sufficiently complex and robust. However, we still need to address how to properly manage and protect those passwords.
Some password generators include encrypted vaults to securely store them, which is valid and recommended for passwords for applications, online services, among others. However, their use is not appropriate when it comes to protecting digital assets such as cryptocurrencies, tokens, NFTs, etc.
When it comes to protecting seed phrases, private keys, or passphrases, it is crucial to consider the following:
- First, and perhaps the most important mantra: they should never be stored online, whether in emails, messaging services (Telegram, Discord, Whatsapp), or cloud storage (Google Drive, Dropbox). Never online.
- They should also not be photographed or screenshotted, as we risk them being uploaded as backups to the cloud when they are in the photo gallery.
- They should not be stored on computers, tablets, or mobile phones, no matter how "hidden" we think they are. Even if they are in an encrypted file.
- Finally, they should not be stored in any password manager (Bitwarden, 1Password, NordPass), no matter how secure they may seem. While they are secure for password management, they are not the right place to store seed phrases or private keys. It is important to be clear about this and differentiate between the two cases.
¿Y dónde las guardo?
Las frases semilla, claves privadas y passphrases (y contraseña maestra en el caso de Hive) asociadas a wallets de criptomonedas, deben permanecer offline. Siempre fuera de línea.
La mejor práctica es utilizar hardware wallet; es decir, billeteras frías que al estar fuera de línea no exponen nunca las llaves, de ellas solo salen las transacciones ya firmadas. En el caso de Hive, hasta ahora, al menos que yo sepa, la única integración con una billetera de este tipo es con Legder Nano S, Nano S Plus y Nano X. Ahora bien, si no tienes acceso a una billetera de hardware, en Hive tenemos la opción de utilizar una billetera non-custodial como KeyChain (es Hot Wallet), que entre otras cosas nos evita el riesgo de errores al copiar, pegar o escribir las claves privadas (cualquier de ellas), lo que eventualmente podría comprometer las claves privadas y por ende nuestros activos.
En cuanto a las frases semilla, esas 12 o 24 palabras asociadas a la mayoría de billeteras de criptomonedas (BTC, ETH, etc), es recomendable grabarlas o troquelarlas en dispositivos físicos de acero o titanio para una mayor durabilidad y seguridad. Valga decir que esto también se puede hacer de forma “artesanal” en casa con arandelas y un tornillo. Lo propio con un poco de ingenio y creatividad aplicaría para la “Contraseña Maestra” en Hive. Si eso no es posible, la opción práctica, económica y efectiva es anotarlas en papel con tinta resistente al paso del tiempo, siempre guardando varias copias en diferentes lugares seguros, nunca en un mismo lugar, pues si pierdes una, las pierdes todas.
La mejor opción sigue siendo la vieja confiable: el lápiz y el papel, alejados del mundo digital. Como plan B, considera guardar las claves en un archivo encriptado en un dispositivo externo (memoria USB, disco duro externo) totalmente desconectado de internet. Repito, en un archivo encriptado almacenado en un dispositivo externo OFFLINE, no en el computador, ni la nube, ni similar. Y solo como plan B.
! [ENGLISH VERSION]
And where do I keep them?
Seed phrases, private keys, and passphrases (and master password in the case of Hive) associated with cryptocurrency wallets should remain offline. Always offline.
The best practice is to use hardware wallets; that is, cold wallets that, being offline, never expose the private keys, only the signed transactions come out of them. In the case of Hive, so far, at least as far as I know, the only integration with a wallet of this type is with Legder Nano S, Nano S Plus and Nano X. Now, if you do not have access to a hardware wallet, in Hive we have the option of using a non-custodial wallet such as KeyChain (Hot Wallet), which among other things avoids the risk of errors when copying, pasting or writing the private keys (any of them), which could eventually compromise the private keys and therefore our assets.
As for seed phrases, those 12 or 24 words associated with most cryptocurrency wallets (BTC, ETH, etc), it is advisable to engrave or stamp them on physical devices made of steel or titanium for greater durability and security. It is worth mentioning that this can also be done "artisanally" at home with washers and a screw. The same applies with a bit of ingenuity and creativity for the "Master Password" in Hive. If that is not possible, the practical, economical, and effective option is to write them down on paper with ink resistant to the passage of time, always keeping several copies in different secure places, never in the same place, as if you lose one, you lose them all.
The best option remains the old reliable: pencil and paper, away from the digital world. As a plan B, consider storing the keys in an encrypted file on an external device (USB drive, external hard drive) completely disconnected from the internet. I repeat, in an encrypted file stored on an offline external device, not on the computer, not in the cloud, or similar. And only as a plan B.
Mientras escribo esto, Bitcoin avanza indetenible a romper su propio ATH, serán cuestión de horas o muy pocos días. Esto, eventualmente traerá cola en las altcoins, aunque no de inmediato, pero pasará. Lo cierto es que, debemos tener presente que a medida que nuestros activos digitales aumentan de valor, debemos fortalecer nuestras medidas de seguridad y protección con mayor diligencia.
Mantengámonos seguros.
Si tienes algún aporte adicional que enriquezca y sume valor a esta publicación, siéntete libre de expresarlo en los comentarios. Y si consideras que esta información puede beneficiar a otros, no dudes en compartirla. Además, te invito a consultar información relacionada con este y otros temas de seguridad informática en la Colección de Ciberseguridad. ¡Gracias de antemano!
! [ENGLISH VERSION]
As I write this, Bitcoin is relentlessly advancing to break its own ATH, it will be a matter of hours or very few days. This will eventually have a ripple effect on altcoins, although not immediately, but it will happen. The truth is that we must bear in mind that as our digital assets increase in value, we must strengthen our security and protection measures with greater diligence.
Let's stay safe.
If you have any additional contributions that enrich and add value to this post, feel free to express them in the comments. And if you believe that this information may benefit others, do not hesitate to share it. Additionally, I invite you to consult information related to this and other cybersecurity topics in the Cybersecurity Collection. Thank you in advance!
Imágenes generadas por la IA Dall-E 3 integrada en Bing.
Diseño de miniatura en Canva.com.
Translation: ChatGPT.
Images generated by the Dall-E 3 AI integrated with Bing.
Thumbnail design on Canva.com.
