Varios investigadores han encontrado pruebas muy fiables que asocian la información extraída de LastPass con 150 víctimas de robo entre las que se incluirían empleados de firmas relacionadas con criptodivisas y NFT, inversores, programadores de protocolos y otros perfiles muy relevantes. No eran gente anónima. El atacante o los atacantes, fueran quienes fueran, filtraron la información y fueron directamente a por personas con carteras potencialmente jugosas. Se habrían sustraído unos 35 millones de dólares.
|
etiquetas: elotrolado , lastpass , criptoactivos , croptomonedas , nft , robo
Un tiburón más listo que ellos se los ha merendado. Más mentalidad y más tiburón
Si alguna vez necesitas mover esas monedas, vuelves a un dispositivo offline y generas tu clave pública o las veintitantas palabras que te permitirán crear la cartera en un dispositivo de tu confianza, aunque con un poco más de conocimiento también podrías firmar las transacciones offline.
Con el conocimiento en tu cabeza de la semilla y un software público descargable de la red te puedes ir a cualquier parte del mundo llevando tus carteritas indetectables.
Y si estas precauciones las tiene un pringao apenas involucrado, podría esperar que alguien con tantos corticoles fuera un poco más precavido.
Ni KeePass, ni LastPass, ni winrar, ni pins ni cocks in vinegar.
Las palabras de la semilla están limitadas a un vocabulario de 2048 palabras para el estándar BIP39, eso basta si la elección de esas palabras la hace un ordenador de forma aleatoria pero si una persona decide crear una frase de 12 palabras partiendo de ese vocabulario de 2048 palabras es muy posible que sea sencillo un ataque por fuerza bruta, ya que los humanos somos pésimos con la aleatoriedad.
Si dejases elegir esas 12 palabras al ordenador y las memorizases evitarías el riesgo de la fuerza bruta aunque en ese caso agravarías el riesgo de olvidarte de ellas. La memoria humana es mucho menos fiable de lo que nos gusta creer, y existen situaciones médicas a nivel de accidentes o enfermedades que pueden borrar o hacer inaccesible parte de ella.
Como siempre la seguridad va correlacionada con la usabilidad, según sea el valor almacenado los riesgos que he descrito son excesivos, para cuantías pequeñas pueden ser riesgos asumibles.
Por otro lado esas palabras no tiene por qué proporcionarlas el software del monedero, puede hacerse aparte y dárselas, incluso se pueden elegir tirando los dados.
Lo he probado con 1200 palabras para la entropía y es rápido. En este caso advierte si la semilla es absurdamente simple. Desde luego la seguridad es mayor que dejarle las claves a un tercero.
Ahí estás introduciendo nuevos riesgos. Parece un proyecto pequeño, no parece trasversal entre varias criptomonedas generalistas, no parece que se base en ningún estándar específico. Existe el riesgo que en cuanto lo vayas a usar haya sido hackeado, o directamente diseñado con una vulnerabilidad, de forma que la conversión que hace de lo que introduces al seed real sea débil. Deberías verificar el código fuente por los motivos anteriores.
Me da mucha más confianza algo como el BIP39 que es un estándar implementado en infinidad de monederos que un servicio web de quién sabe quién para convertir una frase mía a un seed estándar.
Siempre queda la opción de apuntar la clave de encriptación en un post-it.
Si no nos vamos a poder fiar de los tiktokers ni de los YouTubers ¿que nos queda?
Si esa gente hubiese usado algo así, los hackers podrían haber robado la información de alguno, pero no de tanta gente por su fe ciega en una empresa.
¿Pensáis que siguen siendo seguras las últimas versiones de TrueCrypt de antes de que desapareciera el autor?
Creo que las han auditado y no han encontrado boquetes, de hecho el que el tío se haya tenido que quitar de enmedio hasta me da más confianza.
Seré un paranoico pero no me fio nada de los softs más modernos, para mi que, hoy día, todo tiene una puerta trasera.
De todos modos, truecrypt es para crear una unidad virtual encriptada. Con Keepass en particular lo que se encripta es una pequeña base de datos donde se guardan tus contraseñas e información relevante No guarda archivos ni nada más.
Puedes copiar ese archivito a otro equipo, y siempre que tengas un programa que sea compatible con su tipo de archivo podrás leerlo.
Yo lo uso en windows, android y linux, y es muy cómodo pasar el fichero y sincronizar versiones.