Usuarios de Coinbase Wallet ahora pueden hacer una copia de seguridad de sus claves privadas en Google Drive e iCloud. ¿Qué tan seguro es?

Echemos un vistazo a la nueva característica de Coinbase Wallet

El 12 de febrero, Coinbase, un centro de exchange de criptomonedas con sede en San Francisco, anunció que los usuarios de su Coinbase Wallet (billetera) ahora pueden hacer una copia de seguridad de sus claves privadas en el almacenamiento en la nube, concretamente en Google Drive e iCloud.

La medida ha recibido una reacción mixta por parte de la criptocomunidad y de expertos en seguridad cibernética, algunos de los cuales parecen escépticos acerca de la idea de almacenar claves privadas en servidores centralizados. Otros confían en la nueva característica, destacando que conlleva cifrado.

Una breve introducción a Coinbase Wallet, anteriormente conocida como Toshi

Coinbase Wallet se diferencia de la aplicación principal, Coinbase (o Coinbase.com). Con esta última, las criptomonedas compradas por el cliente y sus claves privadas son almacenadas por Coinbase. Con Coinbase Wallet, a su vez, los usuarios almacenan su propia criptomoneda protegida por sus claves privadas únicas. Estas claves están supuestamente protegidas con Secure Enclave y la tecnología de autenticación biométrica.

Puede interesarte: Los usuarios de Coinbase Wallet pueden realizar copias de seguridad de sus claves cifradas en las unidades de Google e iCloud

Inicialmente, Coinbase desarrolló Toshi, una aplicación descentralizada (DApp) de navegación con código abierto enfocada en dispositivos móviles y el monedero Ethereum (ETH) que se lanzó en abril del 2017. El proyecto se inspiró en la aplicación de pagos móviles china WeChat y tenía un soporte de mensajería incorporado y un sistema de reputación, que permitía a los usuarios calificar a otros usuarios y aplicaciones dentro de la plataforma. Según sus desarrolladores, Toshi pretendía proporcionar servicios financieros a personas en países en desarrollo, especialmente a la población no bancarizada. También fue supuestamente la primera billetera en lanzar criptos coleccionables.

Un año más tarde, en abril del 2018, Coinbase fusionó a Toshi con su recientemente adquirido Cipher Browser, una aplicación descentralizada de navegación similar y una billetera para la cadena de bloques de ETH. El creador y único desarrollador de Cipher, Pete Kim, se convirtió en el jefe de ingeniería de Toshi, uniéndose a Sid Coelho-Prabhu, el líder de producto de Coinbase para el proyecto DApp.

En agosto del 2018, Toshi fue rebautizado para convertirse en Coinbase Wallet. El anuncio oficial decía:

“Este no es solo un nombre nuevo, sino parte de un esfuerzo mayor para invertir en productos que definirán el futuro de la web descentralizada y harán que ese futuro sea accesible para todos. […] Con Coinbase Wallet, tus claves privadas se protegen con el Enclave Seguro y la tecnología de autenticación biométrica de tu dispositivo».

Por lo tanto, en ese momento, Coinbase Wallet apoyaba la gestión de tokens ETH y ERC-20, los airdrops, el comercio y el almacenamiento de criptocoleccionables, así como el acceso a DApps y a exchanges descentralizados, entre otras cosas. De acuerdo con el post de Medium de la firma publicado en ese momento, Coinbase Wallet comenzaría a ser compatible con Bitcoin (BTC), Bitcoin Cash (BCH) y Litecoin (LTC) «muy pronto».

En noviembre del 2018, Coinbase Wallet agregó soporte para Ethereum Classic (ETC). En febrero del 2019, el monedero del exchange comenzó a albergar a BTC. La empresa repitió que estaba considerando agregar BCH, LTC así como otras criptomonedas importantes.

No dejes de leer: Exchange estadounidense Coinbase agrega soporte para Bitcoin en la aplicación Coinbase Wallet

Más de la nueva característica: soporte para Google Drive e iCloud, y más proveedores de almacenamiento en la nube en espera

Entonces, el 12 de febrero, Coinbase Wallet declaró que sus usuarios en ese momento podían hacer una copia de seguridad de sus claves privadas en Google Drive e iCloud.

En la declaración adjunta, Coinbase explicó que permitir que los usuarios carguen sus claves a una nube proporciona una protección contra las claves perdidas y les ayudará a evitar la pérdida de fondos en caso de que las claves se pierdan:

“Las claves privadas generadas y almacenadas en tu dispositivo móvil son la única forma de acceder a tus fondos en la cadena de bloques. Los propietarios de «billeteras controladas por el usuario» como Coinbase Wallet a veces pierden sus dispositivos o no pueden respaldar su frase de recuperación de 12 palabras en un lugar seguro, perdiendo así sus fondos para siempre».

Ahora, los usuarios de Coinbase Wallet pueden almacenar una copia cifrada de la frase de recuperación en sus cuentas en la nube. Coinbase señala que ni ellos ni los servicios en la nube tendrán acceso a los fondos de los usuarios, ya que la clave de la frase de recuperación se desbloquea mediante una contraseña que solo el usuario conoce. Se informa que la copia de seguridad está encriptada con el cifrado AES-256-GCM, al que solo se puede acceder a través de la aplicación móvil de Wallet.

Coinbase señala que, además de Google Drive e iCloud, expandirán el soporte a otras nubes en el futuro. La característica es un servicio opt-in que no reemplaza ni sustituye a la opción de recuperación original.

Curiosamente, la característica se lanzó en el contexto del caso QuadrigaCX. A principios de este mes, el exchange canadiense de criptomonedas solicitó la protección de los acreedores después de la repentina muerte de su fundador, quien, según informes, era el único ejecutivo responsable de las claves y las billeteras frías (o físicas) del exchange. Tras su muerte, el exchange no ha podido acceder a USD 145 millones en activos digitales que supuestamente deben seguir siendo pagaderos.

Sigue leyendo: El exchange de criptomonedas canadiense QuadrigaCX presenta una solicitud de protección de acreedores en Nueva Escocia

Reacción de la comunidad

La nueva característica tuvo una reacción mixta entre la criptocomunidad, ya que algunos criticaron la idea de almacenar claves privadas en servidores centralizados. «Es posible que desees repensar esto», dice una de las respuestas más populares al anuncio de Coinbase en Twitter. «No entiendo, ¿cómo malinterpretas a tu público objetivo tan mal?», dice el otro.

La reacción entre los usuarios de Reddit parece más serena, ya que muchos usuarios destacaron que la nueva característica implica el cifrado. Por ejemplo, u/CryptoNoob-17 escribió:

«Al menos no son claves privadas sin cifrar como lo que hizo blockchain.info hace un tiempo al enviar claves privadas como texto simple a través de http. Si esto evita que algunos noobs pierdan sus monedas y les digan a todos sus amigos lo estúpida que es la criptomoneda porque lo perdieron todo, no veo ningún problema».

Entonces, ¿la nueva característica es suficientemente segura? Los expertos intervienen

Especialistas en seguridad cibernética también parecen estar indecisos sobre la nueva característica. Taylor Monahan, el fundador y CEO de MyCrypto, una billetera sin custodia, le dijo a Cointelegraph que confiar en los usuarios para crear contraseñas suficientemente complicadas no es una buena idea:

“Independientemente de la fortaleza del cifrado, el enlace débil siempre será la contraseña seleccionada por el usuario (tanto en su billetera cuanto en su cuenta de almacenamiento en la nube). Las personas simplemente no son capaces de generar una contraseña con suficiente entropía, ni tampoco siempre usan contraseñas únicas para cada servicio».

Monahan agrega que, si los hackers se dan cuenta de que una afluencia de personas comienza a usar servidores en la nube para almacenar su criptomoneda, «sin duda veremos un aumento en los ataques contra estos proveedores de almacenamiento en la nube». Agregó:

«Los jugadores como Coinbase no deberían alentar este tipo de comportamiento inseguro. Entiendo el deseo de una mejor experiencia de usuario, pero la peor experiencia de usuario es una en la que las personas pierden todos sus criptoactivos debido al robo».

Hartej Sawhney, cofundador y presidente de Hosho, una start-up que protege las inversiones y brinda múltiples servicios de contratos inteligentes, incluida la auditoría, no está de acuerdo en que los hackers apuntarán a los usuarios individuales como resultado de la nueva actualización.

No dejes de leer: La importante correduría de criptos Coinmama informa que 450.000 usuarios fueron afectados por filtración de datos

“Los hackers tienden a querer la máxima información con el mínimo esfuerzo. Esto significa que probablemente atacarán el corazón de un servicio de almacenamiento en la nube en lugar de a sus usuarios individuales. Google Drive e iCloud han sido históricamente seguros», dijo a Cointelegraph, y agregó que, para él, Coinbase todavía parece mucho más seguro en comparación con otras plataformas:

“En todo caso, los exchanges de criptomonedas deberían tomar algunas notas de Coinbase sobre cómo reforzar la seguridad. Además, Coinbase sigue características de seguridad sólidas como la autenticación de múltiples factores, la confirmación de correo electrónico y un programa activo de recompensas de errores, lo que lo hace mucho más sólido que cualquier otro exchange de criptomonedas».

Josh Datko y Thomas Roth, miembros de un equipo de investigadores de seguridad que estudian las vulnerabilidades de hardware y software bajo el título «Wallet.fail», también le dijeron a Cointelegraph que la nueva característica es lo suficientemente segura, dado que se toman ciertas precauciones:

«En nuestra opinión, una copia de seguridad en la nube cifrada por el usuario no aumenta significativamente el riesgo de comprometerse, dado que la contraseña es lo suficientemente compleja, la derivación clave de la contraseña a la clave AES-256-GCM es suficiente y no hay errores de implementación».

Además, Datko y Roth advirtieron que la implementación también importa:

«Desafortunadamente, mientras esto suena como una característica simple, muchas organizaciones han cometido errores aquí. Por lo que sabemos, no conocemos si esta nueva característica es de código abierto o si Coinbase la revisó de forma independiente».

Cointelegraph también se contactó con Coinbase para más comentarios, pero la compañía no ha respondido hasta el cierre de esta edición.