En otra oportunidad te hemos explicado cómo crear una caja fuerte de bitcoins para mantener el grueso de tus criptomonedas a buen recaudo; hoy nos referiremos a la seguridad de tu «cuenta corriente» de bitcoins (un monedero online con unos pocos bitcoins para uso frecuente).
Si tienes una cuenta en MyWallet – el servicio de monedero online de blockchain.info – , las simples medidas que detallaremos a continuación podrían ahorrarte muchas lágrimas en el futuro. No olvides que el valor de tus bitcoins es directamente proporcional al incentivo para robarlos, y que los bitcoins robados son virtualmente irrecuperables, tal como lo es el dinero en efectivo.
Por cierto, el de blockchain.info no es el único servicio de monedero online, pero es sin duda el más popular, y a estas alturas cabe afirmar que ha soportado bien la prueba del tiempo. Ahora bien, si lo único que habilita tu acceso a MyWallet es una contraseña, el sitio será tan seguro para tí como el ordenador que utilices para ingresar a tu cuenta.
Salvo que añadas un segundo factor de autenticación, todo lo que necesitará un ladrón es obtener tu contraseña (por ejemplo mediante un keylogger) para apropiarse de tus bitcoins.
El Google Authenticator es una de las opciones que ofrece MyWallet como segundo factor de autenticación. Hemos elegido esta aplicación porque cualquiera que posea un smartphone puede descargarla gratuita e instantáneamente, y porque es fácil de usar.
Antes de proseguir, quizás no esté de más recordar que ningún método es infalible. Sin embargo, ya conoces el dicho: «Para salir ileso, no tienes que correr más rápido que el león, sino más rápido que el tipo que corre a tu lado.»
1) Elige una contraseña de al menos 12 caracteres, preferentemente con mayúsculas, minúsculas, números y otros signos, y que no incluya palabras. (El mismo criterio debes aplicar al elegir la contraseña con la que accedes a tu cuenta de email).
2) Introduce la dirección de una cuenta de email que tú controles, y, en lo posible, a la cual accedas con un segundo factor de autenticación (no tiene por qué ser una dirección que utilices habitualmente, ni develar tu identidad): Account settings -> Personal -> Email.
3) Demuestra que eres el dueño de esa dirección de email: (Account settings -> Personal -> Email) -> Verify.
4) Introduce un alias para tu cuenta. Este alias te permitirá acceder fácilmente a tu cuenta, aún si no tienes el código que la identifica: (Account settings -> Personal -> Email) -> Alias.
5) Activa el envío automático de backups encriptados a tu email: Account settings -> General -> Automatic Email Backups.
6) Introduce una frase secreta, que algún día podría servirte para desactivar el segundo factor de autenticación (por ejemplo si pierdes el móvil), luego anótala y guárdala: Account settings -> Security -> Secret Phrase.
7) Descarga el Google Authenticator en tu móvil.
8) Vincula el Google Authenticator con tu cuenta de MyWallet: Account settings -> Security -> Two Factor Authentication (elige Google Authenticator) ->Aparecerá un código QR -> Abre el Google Authenticator en tu móvil -> elige la opción Escanear código -> Escanea el código -> Introduce en el casillero, al pie del código QR, el número de 6 cifras que te provee el Google Authenticator (este cambia cada 30 segundos).
[box type=»note»]Si blockchain.info no reconoce el número del Google Authenticator, abre el Google Authenticator en tu móvil -> Configuración -> Corrección de hora -> Vuelve a intentar el punto 8.[/box]
9) A partir de ahora, para ingresar a tu cuenta tendrás que introducir tu contraseña y luego el número de 6 cifras que te proveerá el Google Authenticator (este cambia cada 30 segundos).
[box type=»note»]Si algún día no puedes acceder a tu cuenta porque has perdido el móvil y la gente de blockchain.info demora en responderte, puedes abrir otra cuenta e importar el backup de la cuenta a la que no puedes acceder (el backup que tienes en tu casilla de email), sin necesidad de usar el segundo factor de autenticación.[/box]
[box type=»note»]Si algún día no puedes acceder a tu cuenta porque blockchain.info ha desaparecido misteriosamente, puedes desencriptar el backup que tienes en tu casilla de email sin necesidad de el segundo factor de autenticación (simplemente con la contraseña que usabas para ingresar a tu cuenta, pero desde un cliente de escritorio como Multibit), y disponer de los fondos.[/box]
[box type=»note»]Por último: No utilices carteras en línea desde computadoras inseguras. Si no tienes más remedio que hacerlo, la manera más sencilla de eludir a un eventual keylogger es introducir caraceteres al azar en tu contraseña (en sitios que puedas recordar), y luego (antes de dar enter) borrarlos, pero usando el mouse en lugar del teclado para retroceder. Si tienes que hacerlo a menudo, quizás te convenga usar KeePass o similares.[/box]