Seguridad cripto: contraseñas y autenticación

Esta transmisión en vivo cubre prácticas esenciales de seguridad para los titulares de criptomonedas, desde los fundamentos de la gestión de contraseñas hasta la autenticación multifactor. Andreas Antonopoulos explica los principios para equilibrar la seguridad con la usabilidad, explica por qué los gestores de contraseñas son esenciales, presenta el concepto de frase de contraseña de XKCD y detalla la jerarquía de los métodos de autenticación de dos factores.

Esta transcripción es una copia accesible de la transcripción original del video (opens in a new tab) publicada por aantonop. Ha sido ligeramente editada para facilitar su lectura.

Fundamentos de seguridad y equilibrio de riesgos (3:05)

(pitido) - Hola a todos y bienvenidos a esta transmisión en vivo del sábado. Esta transmisión en vivo adicional con el tema de contraseñas, administradores de contraseñas, autenticación, autenticación multifactor y todo lo relacionado con la seguridad de sus cuentas. Ya tenemos muchas preguntas en la cola, pero no necesariamente me voy a guiar principalmente por las preguntas en esta ocasión, porque quiero explicar ciertos temas difíciles. Y podría tener más sentido para mí hablar sobre un tema un poco más de lo habitual, o tal vez un poco menos de lo habitual y formar mi propio camino a través de estos temas. Son un poco complicados. La seguridad es un tema complicado. Así que en lugar de tratar de encontrar la pregunta perfecta, puede que no lo haga. Por otro lado, tengo algunas preguntas excelentes para comenzar. Así que, antes que nada, gracias a todos por unirse. Es un placer

como siempre pasar mis mañanas de sábado trabajando con ustedes en temas nuevos e interesantes que se relacionan con Bitcoin y las cadenas de bloques abiertas. Ahora bien, ¿cómo se relacionan las contraseñas y la autenticación multifactor con Bitcoin y las cadenas de bloques abiertas? Bueno, ya saben, para mantener la seguridad de sus criptomonedas, tienen que mantener la seguridad de todas sus cuentas. Algo que es muy interesante sobre las criptomonedas es que, para muchas personas, esta es la primera vez que han tenido que pensar cuidadosamente en la seguridad de su identidad en línea y sus dispositivos en línea. Porque ahora hay dinero allí y eso lo convierte en un objetivo mucho más jugoso. En el pasado, las personas no han estado muy motivadas para proteger su propia seguridad porque cuando pierdes tu privacidad, cuando tu información es hackeada, realmente no lo sientes de inmediato. Y tiene muchas malas consecuencias, pero esas consecuencias no son directamente

visibles y no se sienten de inmediato. Si alguien entra y roba unos cientos de dólares o unos miles de dólares o, peor aún, decenas de miles de sus dispositivos digitales, eso se siente, y se siente de inmediato. Y puedes relacionarlo de manera tangible, bueno, intangible para ser específicos. Puedes relacionarlo de manera intangible, pero muy, muy notablemente con tu seguridad. Así que es una de esas cosas que, lamentablemente, es una lección que solo se aprende realmente a través de una experiencia dolorosa. Y por eso puedo pasar mucho tiempo diciéndoles a los novatos cómo y por qué asegurar sus cuentas. Hasta que instalan una billetera caliente de criptomonedas en uno de sus dispositivos, y luego pierden el dinero que hay en esa billetera caliente. Es muy difícil de entender, o sentirse motivado por lo que estoy hablando. Ahora, la otra cosa que es realmente importante entender en toda esta conversación es que la seguridad

es un equilibrio. Todo se trata de equilibrio. Es gestión de riesgos. No existe tal cosa como la seguridad al 100%. No existe la seguridad perfecta. Y no puedes protegerte contra todas las amenazas. Tienes que averiguar a qué amenazas te enfrentas. Tienes que averiguar de cuántas de esas amenazas puedes protegerte realmente y cuánto esfuerzo vas a poner en protegerte contra esas amenazas, dependiendo de lo que estés protegiendo en realidad. También tienes que descubrir cuándo la solución que estás construyendo, los sistemas que estás utilizando se vuelven tan complejos, que se convierten en un riesgo de seguridad en sí mismos. Y a menudo vemos a los novatos, especialmente en el espacio de las criptomonedas, crear soluciones que son demasiado complejas. Y luego terminamos en el lado equivocado del equilibrio entre seguridad y resiliencia. Donde el mecanismo para asegurar tu criptomoneda es tan complejo que, de hecho, terminas

perdiéndola porque estás usando algo que no es estándar, porque olvidas una contraseña, porque nadie sabe exactamente qué hiciste y no estás disponible para ayudarlos. Así que la seguridad no se puede lograr al cien por ciento y todo se trata de equilibrio. Y la simplicidad es a menudo un elemento clave de la seguridad. Las soluciones de seguridad simples que puedes aplicar dentro de tus habilidades técnicas, y que puedes aplicar de manera consistente. Y de las que puedes recuperarte si tienes problemas, son mejores que las soluciones de seguridad complejas que te obligan a exceder tu nivel de habilidad, te ponen en territorio inexplorado y hacen que sea más probable que cometas un error. Esto es a menudo algo sobre lo que escuchas muchos malos consejos. La gente te aconsejará que implementes lo que parece ser un esquema de seguridad muy, muy complejo. Y debido a que es tan complejo, se siente seguro. Se siente como si hubiera un

Mantener la seguridad simple (8:40)

pasan muchas cosas, así que debe ser muy sofisticado y serio. Y en muchos casos, terminarás excediendo tu capacidad técnica y perdiendo dinero, no por robo, sino por un error que cometes al operar fuera de tu nivel de habilidad. Así que mantengámoslo simple. Basémonos en estándares. Usemos las mejores prácticas, herramientas comunes y usémoslas de manera consistente. Así podremos estar muy seguros. Iremos directo a, iremos directo a la primera pregunta. Hay 220 personas en la transmisión hasta ahora. Gracias por darme sus comentarios sobre el video y el audio. Siempre es bueno saberlo. Solo para que lo sepan, tuvimos una pequeña interrupción eléctrica más temprano hoy en este lugar, y si perdemos la electricidad, lo sabrán porque la transmisión se detendrá. Y toma un mínimo de cinco minutos para que el enrutador de internet y el wifi

se reinicien. Es posible que pueda volver, incluso si es solo un segundo de pérdida de energía, tendré que esperar cinco minutos antes de poder regresar. Si no puedo volver, se los haremos saber en el chat. Así que, por favor, sean pacientes y espero que no nos corten. Pero ya saben que ese es uno de los riesgos que tenemos que manejar hoy. Vamos a nuestra primera pregunta del día. La primera pregunta viene de anónimo y elegir la palabra anónimo para hacer tu pregunta es el primer y buen mecanismo de seguridad. ¿Cuál es la mejor manera de gestionar muchas contraseñas únicas y seguras si soy disléxico y no soy bueno recordando contraseñas largas? Esta es una gran pregunta. Es una gran pregunta porque aborda un problema más amplio, que es la dificultad de recordar cosas. Y todos pensamos que podemos recordar mejor de lo que

realmente podemos. Y algunos de nosotros tenemos dificultades con la memoria, la lectura, la escritura o cualquier otra habilidad que nos ayude con la memorización de contraseñas. Y tal vez saben que no pueden recordar muy bien. Así que anónimo pregunta esto desde la perspectiva de alguien que sufre de dislexia, pero esto se aplica por igual a todos. A todos los que tienen una memoria humana falible. Los humanos somos realmente malos recordando por largos períodos de tiempo, especialmente cosas que no son memorables porque no están ligadas a imágenes, experiencias o emociones. Recordar cosas que no tienen conexión con nuestras vidas es casi imposible porque nuestro cerebro es muy bueno descartando información que no es relevante. Si no tienes una emoción, una experiencia, una imagen conectada a lo que intentas recordar, el cerebro dirá: esto ya no es relevante para mi algoritmo de caché y lo descartará. Y muchas

personas olvidan sus contraseñas precisamente por eso. Así que, de hecho, voy a usar un par de recursos aquí para responder a esta pregunta de manera más amplia y ayudar a las personas a tener una base en los principios fundamentales de las contraseñas. Para ello, voy a usar algunas ayudas visuales. Normalmente no uso ayudas visuales, pero creo que serán útiles en este caso particular. Veamos cómo nos va. Muy bien, lo primero de lo que vamos a hablar es de los sistemas de gestión de contraseñas. Durante décadas, hemos estado entrenando a los usuarios para crear contraseñas alfanuméricas largas y aleatorias con una amplia gama de caracteres. Estas son contraseñas que los humanos no pueden recordar. Estas son contraseñas que en realidad fomentan un mal comportamiento. Fomentan un comportamiento en el que terminas usando el mismo patrón engañoso, Satoshi Nakamoto con las O reemplazadas por ceros y la primera letra de la segunda palabra en mayúscula y la T reemplazada

por un siete y el símbolo de numeral al final. Y ahora tienes números, minúsculas, mayúsculas y letras. Pero si tienes que usarla en más de un sitio, haces un pequeño cambio. Luego, tal vez tengas que agregar un número al final. Y entonces terminas con este problema de memoria realmente complicado, que es que los sitios te empujan a crear variaciones, pero la variación hace que sea imposible que realmente la recuerdes, especialmente con contraseñas de esta complejidad. Y así terminas reutilizando tu contraseña en muchos sitios. Esto es lo que hace casi todo el mundo. Y esto es muy, muy malo para la seguridad. Ahora, uno de los mejores recursos para entender cómo resolver este problema es en realidad una caricatura. Así que lo que voy a hacer es darles dos consejos. El primero es: no intenten crear sus propias contraseñas,

Gestores de contraseñas (13:50)

usa un gestor de contraseñas. Un gestor de contraseñas es un software que genera contraseñas aleatorias por ti y las recuerda por ti. Estos sistemas resuelven dos problemas: la memoria humana es falible y la aleatoriedad humana es aún peor. Somos muy malos para ser aleatorios. Somos muy malos para recordar y somos doblemente malos para recordar cosas aleatorias. Así que no puedes solucionar este problema siendo más disciplinado, más inteligente o más cuidadoso. No puedes solucionarlo pegando notas adhesivas en tu pantalla y haciendo, ya sabes, todas las cosas que ves aquí, ¿verdad? Las cuales ves en las oficinas todo el tiempo. Anotar una contraseña no es una mala idea. Si el lugar en el que la anotas es realmente seguro. Así que la forma más básica de un gestor de contraseñas es una pequeña libreta, una libreta de contraseñas. Y, ya sabes, por mucho que diga que no es muy moderno, es

no es muy avanzado tecnológicamente y no resuelve el problema de generar contraseñas aleatorias. Honestamente, es la solución que usan mis padres. Porque si las anotan, pueden tener más variedad en sus contraseñas. Y si guardan esa pequeña libreta en un lugar seguro, como por ejemplo, en casa, en un cajón bajo llave o algo así, es un mecanismo bastante duradero. Ahora bien, la mayoría de ustedes probablemente sean más sofisticados técnicamente que mis padres. Así que hablemos de una mejor solución para ustedes. Una mejor solución es descargar un software que haga esto por ti. Hay toda una gama de gestores de contraseñas. Y la gran noticia es que, para la funcionalidad básica, estos son gratuitos. Puedes usar un producto como LastPass, 1Password, Bitwarden y una gran variedad de otros, KeePass, etcétera, etcétera. Ahora bien, estos

tendrán un montón de características diferentes y tendrás que averiguar qué características necesitas realmente. Mi consejo es empezar por averiguar en qué tipo de dispositivos necesitas usarlo, porque una de las grandes ventajas de usar un gestor de contraseñas es, de hecho, que puedes tener todas tus contraseñas sincronizadas en todos tus dispositivos. Así que si usas Windows, Android e iOS, meh, probablemente sea fácil. Todos los gestores de contraseñas van a ser compatibles con todas esas plataformas y estarás bien. También querrás que sea compatible con los navegadores que usas. Ya sea Chrome, Firefox, Edge, Opera, Brave o cualquier otro que estés usando como extensión, para que puedas rellenar y enviar contraseñas automáticamente en los formularios web. Creo que todos vieron que mi cámara de video acaba de marcar tarjeta llena. Justo en la transmisión, eso

fue de gran ayuda. Sí, mi tarjeta SD se acaba de llenar, así que ya no estoy grabando en la cámara. Ups. Oh, bueno, no importa. Continuemos. Así que una de las formas en las que debes elegir un gestor de contraseñas es averiguando qué dispositivos necesitas que soporte. Y si tienes algunos dispositivos raros, eso se vuelve un poco más complicado. Por ejemplo, yo uso Linux en el escritorio. He estado usando Linux en el escritorio durante mucho tiempo. Y, ya saben, creo que este año es realmente el año de Linux en el escritorio. Va a suceder, gente. No, no lo es. Pero en cualquier caso, lo uso, me funciona, pero no tiene un soporte muy amplio. Así que no todos los gestores de contraseñas funcionan o funcionan bien en los escritorios Linux. Afortunadamente, la mayoría de los gestores de contraseñas funcionan en el navegador como una extensión, lo que los hace en su mayoría multiplataforma. Así que para mí, un

Elegir un administrador de contraseñas para varios dispositivos (18:22)

Un administrador de contraseñas debe funcionar en Android, Windows, Linux, Chrome, Firefox, iOS, etcétera, etcétera. Así puedo tenerlo instalado en todos mis dispositivos y, por lo tanto, poder acceder a todas mis contraseñas en todos ellos. Muy bien. Entonces, para responder a la pregunta planteada por un usuario anónimo: ¿cuál es la mejor manera de gestionar muchas contraseñas únicas y seguras si soy disléxico y no se me da bien recordar contraseñas largas? La mejor manera es usar un administrador de contraseñas que genere contraseñas únicas y seguras de forma aleatoria para ti. Y, una vez que hayas seleccionado un administrador de contraseñas, configuras una sola contraseña y esa única contraseña será la de tu administrador de contraseñas. También sugeriría que uses un mecanismo de autenticación de dos factores para que alguien no pueda simplemente iniciar sesión y descargar tu archivo de contraseñas usando solo esa contraseña. Necesitas un segundo factor de autenticación. Hablaremos

sobre eso en la segunda parte de este video de hoy. También tenemos una pregunta de seguimiento de la audiencia, que es: ¿cómo confío en este software? Bueno, la respuesta sencilla es que debes buscar un software que sea ampliamente utilizado, revisado y auditado por profesionales de la seguridad, o de código abierto, o todo lo anterior. Y creo que todos los que mencioné anteriormente cumplen con esos requisitos. Ahora volvamos a lo que mencioné antes, que es, ¿recuerdan cuando dije que la seguridad no era del cien por ciento y que la seguridad era una cuestión de equilibrar y mitigar riesgos? Así que ahora pongamos estos dos riesgos sobre la mesa. Riesgo uno: ¿puedo confiar en el administrador de contraseñas? ¿Y qué pasa si el administrador de contraseñas que descargo está comprometido o es vulnerable, o tiene un error que pasa desapercibido para los millones de otros usuarios y profesionales de la seguridad que lo están

revisando? Riesgo dos: ¿puedo confiar en mi cerebro? Bueno, si lo planteas de esa manera, queda claro que el problema aquí es que cualquier administrador de contraseñas es mejor que no tener ninguno. Este es el mismo tipo de gestión de riesgos que hacemos cuando hablamos de una billetera de hardware frente a una billetera de software en el ámbito de la criptomoneda. ¿Puedo confiar en el fabricante de la billetera de hardware? Bueno, hasta cierto punto, no al cien por ciento. Existen algunos riesgos. ¿Cómo se comparan esos riesgos con no tener una billetera de hardware? Y de nuevo, la respuesta es que cualquier billetera de hardware es mejor que no tener ninguna. Entonces, ¿cuáles son los riesgos que realmente puedes gestionar? Es importante que, al obtener este administrador de contraseñas, te asegures de tener el software correcto. Que no lo descargues simplemente de un sitio web aleatorio, con un cupón de Groupon, para algo que de todos modos era gratuito, y

luego termines con un troyano en tu sistema. Pero volviendo al punto, cualquier administrador de contraseñas es mejor que no tener ninguno. Por lo tanto, no deberías intentar generar contraseñas únicas por tu cuenta. Si un sitio web te pide una contraseña alfanumérica de ocho o más caracteres, haz lo que yo hago. Haces clic en el botoncito que dice generar contraseña segura. Estableces la longitud en 31 caracteres, 75 caracteres, 213 caracteres. Me gusta jugar con los sitios web para ver qué tan larga puedo hacerla antes de que empiecen a gritar que es demasiado larga. Después de todos estos años de administradores de contraseñas y sistemas gritándome: eso no es lo suficientemente largo, eso no es lo suficientemente complejo. Quiero ver a los sitios web empezar a gritar: eso es demasiado largo, eso es demasiado complejo. Vamos, hombre, ¿qué estás haciendo? Mi base de datos no puede almacenar eso. Así que genera una contraseña aleatoria y segura. Ahora, ¿puedo recordar esta contraseña?

Por supuesto que no. Tengo 800 contraseñas en mis administradores de contraseñas, todas ellas de más de 20 caracteres, completamente alfanuméricas y aleatorias, con símbolos, mayúsculas, minúsculas y números. Me resulta imposible recordar una de ellas, y mucho menos las 800, pero sí recuerdo mi contraseña maestra. Muy bien, veamos qué otras preguntas tenemos. Y pasemos a nuestra siguiente pregunta, que me dará la oportunidad de hablar sobre el próximo tema del que quiero hablar. Un usuario anónimo pregunta: ¿existe un estándar mínimo viable de seguridad para contraseñas o frases de contraseña? Cuando uso un generador de contraseñas seguras, no funciona para muchas cosas. Sí. Los sitios web tienen expectativas ridículas para las contraseñas, y a menudo son malas expectativas. Fomentan, por ejemplo, información contradictoria. Déjame darte un ejemplo. Tiene que tener más de ocho caracteres, ser alfanumérica con símbolos y números, pero hemos desactivado la opción de pegar en el formulario. Qué

Malas políticas de contraseñas (24:02)

¿qué estás haciendo? ¿Qué estás haciendo? ¿Por qué me pides que elija una contraseña compleja que obviamente voy a crear con el generador y luego no me dejas pegarla? ¿O no me dejas pegarla en la parte de confirmación del formulario? ¿Estás loco? ¿Qué estás haciendo? Deja de hacer eso. O las otras contraseñas que dicen de ocho a 12 caracteres. ¿En serio? Quieres que la haga compleja, pero no demasiado compleja. Así que si pongo 13 caracteres ya no tiene sentido. O las extrañas combinaciones de símbolos. Oh sí, podemos usar símbolos, pero solo almohadilla, exclamación y asteriscos. La comilla simple y la arroba no las aceptamos porque eso confundirá a nuestra regex. Todas estas son políticas de contraseñas muy, muy malas. O cambia tus políticas de contraseñas cada mes, pero no reutilices ninguna que hayas usado el mes anterior y mantenlas

extrañamente complejas de esa manera. Todas estas son políticas de contraseñas extrañas y te encontrarás con muchas de ellas. En resumen, no puedes esperar que diferentes sitios web de diferentes empresas, que tienen diversos equipos y políticas de seguridad, y distintos niveles de concienciación sobre seguridad, descubran una buena política que funcione para la mayoría de sus usuarios. Ten en cuenta que intentan trabajar con usuarios que abarcan desde "estoy intentando introducir una contraseña aleatoria generada de 37 caracteres desde mi gestor de contraseñas" hasta "uno, dos, tres, cuatro, cinco, seis, siete, ocho". Que aparentemente es la contraseña más común en internet, o "contraseña uno, dos, tres, cuatro", que creo que es la segunda contraseña más común en internet. Así que encontrar una política que funcione para todas estas personas es muy, muy difícil de gestionar para los sitios. Así que lo que yo hago

es simplemente seguir intentándolo. Introduzco una contraseña generada aleatoriamente del tipo que me gusta, ya sabes, 37 caracteres y todos los símbolos. Y luego el sitio web se va a quejar y dirá: "En realidad no me gustan los asteriscos, ¿por qué me haces esto?". Así que desactivo algunos símbolos o dirá "eso es demasiado largo", así que la hago más corta. O dirá: "En realidad también necesito al menos dos mayúsculas, pero no puede empezar con un número". Y yo pienso: "Uf, vamos". Simplemente sigo probando hasta que consigo algo que funcione. Pero no importa lo que consiga, tendrá dos garantías. Será larga y compleja, y será generada de forma completamente aleatoria, sin depender del cerebro humano para generarla por mí o recordarla. Y estoy usando la mayor complejidad que puedo. Muy bien, así que un anónimo

nos hace la siguiente pregunta, lo que me permite continuar con esta narrativa. "Tal vez sea una pregunta tonta, pero ¿no está el gestor de contraseñas ubicado en la nube y, por lo tanto, podría ser un objetivo fácil para los hackers?". Gran pregunta, anónimo. Así es como funcionan estos dispositivos. Una copia de seguridad de tu base de datos de contraseñas se almacena en la nube. Sin embargo, esa copia de seguridad está cifrada y está cifrada de extremo a extremo. Lo que significa que se cifra en tu máquina local. Se envía cifrada a la nube y se vuelve a descifrar, solo en tu máquina local. La forma en que se cifra y descifra es utilizando tu contraseña maestra. Y esa contraseña maestra en sí misma pasa por lo que se conoce como un estirador (stretcher). Y lo que hace un estirador es tomar un algoritmo de estiramiento de contraseñas, si lo prefieres, en realidad es un algoritmo de hashing. Lo que hace es tomar las palabras o caracteres que escribes como tu contraseña maestra

y luego los pasa por miles de rondas de hashing. Ahora bien, esto lleva tiempo y el resultado es una contraseña que no puede ser atacada por fuerza bruta. Porque digamos que escribí una contraseña y la cifré o la hasheé una vez y luego la envié al servidor. Genial, bueno, eso está sujeto a un ataque difícil, o más bien bastante fácil, que se llama tabla arcoíris. Lo que sucedería a continuación es que el atacante tomaría todas las contraseñas más comunes que puedas imaginar, las sometería a hashing y produciría una base de datos de las contraseñas hasheadas que se pueden usar contra ese ataque. Ahora, si por otro lado, o simplemente puedo seguir probando diferentes contraseñas una y otra y otra vez, hasta que encuentre la correcta. Un típico ataque de fuerza bruta. Pero si cada contraseña es hasheada 25.000 veces o 50.000 veces, o cien mil veces, cada vez que yo

Cómo se cifran las bases de datos de contraseñas (29:19)

escribirla en mi computadora toma de dos a tres segundos. Lo cual no es un gran problema para mí. Dos a tres segundos la primera vez que inicio sesión en mi navegador o en mi computadora para iniciar mis administradores de contraseñas, dos a tres segundos. Pero si tienes que agregar de dos a tres segundos cada vez que escribes una contraseña, bueno, eso arruina por completo el enfoque de la fuerza bruta. También hace imposible generar esta base de datos de hashes de contraseñas precalculados, porque tomaría demasiado tiempo probar incluso solo unos pocos miles de combinaciones. Y si tu contraseña maestra es lo suficientemente compleja, se necesita mucho más que solo unos pocos miles de combinaciones de contraseñas para producirla. Así que la base de datos de contraseñas se cifra generalmente con un algoritmo de cifrado bastante sencillo basado en estándares. AES256 es probablemente el más común que se usa para esto, pero es algo como

eso. Es un algoritmo de cifrado simétrico que usa una sola clave, una clave privada para cifrar los datos y descifrar los datos. La misma clave se usa para el cifrado y el descifrado, por eso se llama algoritmo de cifrado simétrico. Y esa clave se produce aplicando hashing repetidamente a tu frase de contraseña maestra. Así que, siempre y cuando solo interactúes con tu frase de contraseña maestra en el dispositivo local, y ese dispositivo sea de confianza, entonces obtienes un alto grado de seguridad. Sí, la base de datos de contraseñas está en la nube, pero está cifrada y nadie puede abrirla a menos que tenga tu frase de contraseña maestra, la cual nunca escribes en ningún otro lugar que no sea uno de tus propios dispositivos. Hay algunos problemas ahí, por supuesto. Porque si tienes un registrador de teclas de contraseñas en tu dispositivo local, entonces puede capturarte escribiendo la frase de contraseña maestra. Pero curiosamente, eso no va

a ser suficiente para un atacante si tienes autenticación de dos factores, y la razón por la que no va a ser suficiente para un atacante es porque pueden capturar tu frase de contraseña maestra, pero no pueden descargar la base de datos cifrada de la nube sin la autenticación del segundo factor, que con suerte está vinculada a tu máquina, o a alguna otra cosa. Y no tienen ese segundo factor; más sobre la autenticación de dos factores en un segundo. Estamos construyendo capas. No sé si ves lo que estamos haciendo aquí, pero sí, estamos analizando cada uno de los problemas que pueden ocurrir y estamos agregando capas de seguridad. La seguridad no es un 'y aquí hay una cosa que detiene todo'. La seguridad consiste en poner barreras en el camino de un atacante. Y sí, podrías romper esta barrera, pero justo detrás de ella hay otra barrera. Y luego, si rompes esa barrera, justo detrás de ella, hay

otra barrera. Y si hago que las barreras sean lo suficientemente fuertes, pero también abundantes, capas y capas y capas de seguridad, y también me aseguro de que las habilidades que necesitas para romper una capa sean diferentes de las habilidades que necesitas para romper otra capa. Y me aseguro de que las herramientas y los presupuestos que necesitas para romper una capa sean diferentes a los de la otra. Entonces, la posibilidad de que atravieses todas estas capas, sin que me dé cuenta, sin que le ponga fin y lo logres con éxito, o incluso que lo hagas a gran escala contra muchas, muchas víctimas, es muy, muy, muy reducida. Y ese es el punto principal. Muy bien, voy a tomar un sorbo rápido de café aquí y hablar un poco con ustedes en los chats mientras busco otras preguntas que, sí, otras preguntas que tal vez quieran hacer. Déjenme poner una

pequeña página por aquí, agradezco a todos los patrocinadores que hacen posible que yo haga este tipo de material educativo mientras bebo café de mi nueva taza que dice reglas sin gobernantes. Una de mis charlas más populares recientemente. Viene con un pequeño Bitcoin naranja. Oh, Dios mío, deja de hacernos publicidad, vamos a comprar tu mercancía. Solo continúa con el buen contenido. En un segundo. Y estamos de vuelta. Bien, puedo poner esto a un lado ahí. Lo giraré para que se vea bien. Ahí vamos. Muy bien. Así que estaba revisando las preguntas tratando de encontrar una que me permitiera continuar esta pequeña narrativa de la manera más concisa posible. Así que ahora hablemos de las frases de contraseña y para eso, voy a recibir un poco de ayuda de Bruce, quien pregunta: qué opinas sobre el uso de contraseñas seguras como frases de contraseña para la billetera.

Frases de contraseña de billetera y BIP-39 (35:02)

Y de lo que Bruce está hablando aquí es de la frase de contraseña opcional que está disponible para aquellos que usan una frase mnemotécnica BIP-39. También se conoce como la palabra número 25 porque las frases mnemotécnicas tienen 24 palabras. Y teóricamente, si agregas una palabra 25, pero en lugar de agregar una palabra 25, vamos a llamarla por lo que realmente es, que es una frase de contraseña opcional, y puede tener más de una palabra. Así que eso es una frase de contraseña de billetera. Es una frase de contraseña opcional adicional que agregas a tu frase mnemotécnica para hacer que la frase mnemotécnica tenga un segundo factor. De modo que si alguien roba las 24 palabras que están escritas en un trozo de papel en tu oficina, por ejemplo, no pueda tomar tu dinero inmediatamente porque hay una frase de contraseña de billetera. Ahora, recuerda cuando hablábamos de la contraseña única, la contraseña maestra que se

utiliza en un administrador de contraseñas. Y dijimos que esa se somete a hashing repetidamente y eso evita los ataques de fuerza bruta. Bueno, se hace exactamente lo mismo con la frase de contraseña opcional y la frase mnemotécnica en el estándar BIP-39. Un algoritmo de estiramiento de contraseñas llamado PBKDF2 se utiliza para estirarla con SHA-512 aplicando 2000 rondas de SHA-512. Ahora bien, esto es un poco un compromiso, es un compromiso en el estándar BIP-39 porque el estándar BIP-39, el estándar de frases mnemotécnicas para billeteras, tiene que poder ejecutarse en dispositivos de billetera de hardware, que son pequeños dispositivos USB más o menos de este tamaño y que no tienen mucha potencia de procesamiento. Así que, en realidad, ejecutar 2000 rondas de SHA-512 toma un par de segundos. Dos, tres segundos. Ahora, lo que eso significa es que, lamentablemente, no es una protección muy buena; es adecuada, pero puede ser vulnerada por fuerza

bruta si tienes una computadora mucho más potente. Por lo tanto, si usas una GPU, por ejemplo, o aún mejor, un ASIC diseñado para SHA-512 o un dispositivo FPGA para SHA-512, entonces puedes hacer 2000 rondas en una fracción de segundo. Y, por lo tanto, puedes probar cientos, tal vez miles de contraseñas o frases de contraseña por segundo, en la misma semilla. Lo que te permitirá atacar una mnemotécnica BIP-39 con una frase de contraseña opcional, con la cantidad adecuada de hardware y presupuesto. Pero, de nuevo, no es trivial. Así que estamos hablando de capas. Hablemos entonces de las frases de contraseña. Usamos el término frase de contraseña en lugar de contraseña para denotar que no es una sola palabra. En realidad es una frase. Al igual que una frase mnemotécnica es una frase. Es una serie de palabras, separadas por espacios. Y eso hace que sea mucho más fácil de recordar, así como

de anotar y leer, incluso si está un poco degradada y aún así poder leerla. Resulta que los humanos somos muy, muy buenos en el reconocimiento de patrones. Así que si escribes con tu propia letra una serie de palabras en minúsculas, puedes leerlas, incluso si dos tercios de la palabra están borrosos, o puedes hacer una suposición bastante buena. Y si las palabras tienen algún significado para ti, o puedes crear una imagen mental con esas palabras, en realidad puedes recordar una frase mucho mejor de lo que puedes recordar una contraseña generada aleatoriamente que consiste en letras mayúsculas y minúsculas y números. Pero para explicar esto un poco mejor, voy a pedir ayuda a Randall Monroe. Es posible que me hayas escuchado hablar de Randall Monroe en el pasado. Randall Monroe es un artista gráfico que hace un cómic llamado

XKCD. Y XKCD es un cómic gráfico que muestra diferentes conceptos técnicos, y también una crítica social hilarante y todo tipo de ideas fantásticas. Son ideas muy, muy inteligentes presentadas muy, muy bien. Y ya sabes, es una de esas situaciones en las que hay un XKCD, hay un dibujo de XKCD para casi cualquier concepto que quieras explicar bien. Así que voy a usar uno del que muchos de ustedes probablemente hayan oído hablar antes, y se conoce como "correct horse battery staple". Y si eso suena a galimatías, quédense un segundo. Muy bien, echemos un vistazo a ese en nuestra pantalla aquí. Así que este se llama, este se llama contraseñas. A través de 20 años de esfuerzo, hemos entrenado con éxito a todos para que usen contraseñas que son difíciles de recordar para los humanos, pero fáciles de adivinar para las computadoras. Y si miras aquí arriba a

El concepto de frase de contraseña de XKCD (40:47)

en la esquina superior izquierda, esta es una contraseña típica que te piden en un sitio web. Así que esto es, mayúsculas, minúsculas, números y símbolos en algún tipo de orden. Lo que ves aquí es lo típico que hacen los usuarios para generarlas y recordarlas: intentan alterar una palabra. Así que esta es la palabra Troubadour (Trovador). Un músico viajero que canta sobre las hazañas de los héroes. Creo que eso es lo que significa Troubadour. Un Troubadour y un tres. Así que en este caso ves algo que parece aleatorio, pero que en realidad no lo es. Ahora bien, esto en particular se puede analizar desde una base informática. Desde una perspectiva matemática, desde la perspectiva de la teoría de la información, para ver cuán aleatoria es esta cosa. O cuánta aleatoriedad contiene este tipo de cosas. Así que en este caso en particular, tenemos aproximadamente 28 bits de entropía. Eso significa que esta

cantidad de complejidad podría expresarse mediante un número binario de 28 dígitos binarios, dos a la 28. Lo cual, si pudieras adivinar a mil intentos por segundo, te llevaría tres días descifrar por fuerza bruta. Así que esto es básicamente un servicio web o algo similar donde intentas múltiples adivinanzas por segundo. Si tienes una base de datos que has robado de un sitio web, por supuesto que puedes aplicar muchos más de mil intentos por segundo en una computadora promedio. Pero en cualquier caso, esto es realmente fácil de adivinar para las computadoras. Y es fácil de adivinar para las computadoras porque 28 bits de entropía no son suficientes, pero aunque es fácil para las computadoras adivinar y aplicar fuerza bruta simplemente probando todas las combinaciones posibles de letras mayúsculas y minúsculas en esta secuencia, en realidad es muy difícil de recordar para los humanos. Y justo

debajo, Randal Monroe nos muestra un enfoque diferente, que consiste en usar palabras sencillas en inglés, separadas por espacios. Esta es una frase de contraseña mnemónica, no una contraseña. Y en este caso, con solo elegir cuatro palabras al azar, solo cuatro. Cuatro palabras al azar en realidad producen, si asumes que provienen de un diccionario grande, tal vez un diccionario de inglés, que incluye cien mil palabras. Entonces obtienes unos 44 bits de entropía. 44 bits de entropía te dan 550 años a mil intentos por segundo. Y 55 años a 10.000 intentos por segundo. Cinco años a 100.000 intentos por segundo. Esto es realmente difícil de descifrar por fuerza bruta y son solo cuatro palabras. Pero lo más importante es que es fácil de recordar para los humanos. Es por eso que usamos frases mnemónicas en bit 39. Así que si piensas en "correct horse battery staple", puedes crear esto, aunque sean

palabras aleatorias, puedes crear esta extraña imagen mental que te da una base para la asociación. Y la asociación es cómo funciona la memoria en los humanos. Así que tienes este pequeño dibujo que se está haciendo aquí. Esa es una grapa de batería (battery staple), correcto (correct). Así que ese es un caballo (horse) diciendo que es una grapa de batería y alguien diciendo correcto, esa es una grapa de batería, un "correct horse battery staple". Y si le dices estas cuatro palabras a un friki, sabrá inmediatamente de qué estás hablando porque esta frase es tan fácil de recordar que millones de personas en todo internet la han memorizado con éxito a partir de esta única viñeta y ejemplo. Así que con cosas enormes, Xkcd.org, es donde puedes ir y ver esta serie de viñetas. El fantástico trabajo. XKCD. Pero creo que eso te ayuda a entender el punto. Así que esta es una frase de contraseña, y esta es una forma mucho mejor de producir una

Uso de frases de contraseña para billeteras y cifrado (45:27)

contraseña maestra para tu administrador de contraseñas, así como una frase de contraseña opcional para tu billetera. De hecho, puedes crear una frase de contraseña opcional para tus billeteras con esto. Es realmente difícil de descifrar por fuerza bruta, incluso con una GPU o FPGA. Incluso si puedes hacer 2000 rondas de SHA-512, todavía estás hablando de meses, si no años, antes de que alguien pueda descifrar por fuerza bruta algo con tan solo cuatro o cinco palabras. Si pasas a seis palabras, realmente tienes un mecanismo muy fuerte. Ahora bien, no usarías solo esto. Digamos que tienes una frase mnemónica BIP-39, y quieres agregar una frase de contraseña opcional y dices, de acuerdo, voy a elegir cuatro palabras al azar de un diccionario. Y luego esa será mi frase de contraseña opcional, y puedo memorizar esas cuatro palabras y recordarlas. Y también haré una copia de

seguridad en una ubicación secundaria porque, aunque puedo recordarlas, ¿qué pasa si me ocurre algo? ¿Quiero que mi herencia desaparezca en la nada porque nadie puede encontrar la frase de contraseña opcional que usé? No, obviamente no quiero eso. Así que también tendré que hacer una copia de seguridad de la frase de contraseña, haré una copia de seguridad de la frase mnemónica, la semilla. Y también haré una copia de seguridad de la frase de contraseña opcional y las guardaré en dos ubicaciones diferentes. También me aseguraré de que, si alguien echa un vistazo a mi semilla, yo sepa que la han visto para poder mover mi dinero antes de que puedan probar todas las combinaciones posibles de una frase de contraseña usando una computadora potente. La forma en que hago eso es con tecnología muy, muy básica. Es una bolsa de plástico, una bolsa de plástico a prueba de manipulaciones. Puedes comprarlas en un

paquete de cien en tiendas en línea de todas partes. Se usan para donaciones en efectivo en juegos de bingo, iglesias y cosas por el estilo. Se usan para evitar que los empleados roben. Y son opacas, y una vez que las sellas, la única forma de abrirlas sin que sea obvio es rompiéndolas o cortándolas, dejarás una marca. No puedes congelarlas, calentarlas, ni abrirlas y volver a sellarlas sin dejar una marca. Por lo tanto, si pones tu frase mnemónica y tu frase de contraseña opcional en una bolsa a prueba de manipulaciones como esa, y alguien echa un vistazo, sabrás que lo ha hecho. Así que, si revisas tus ubicaciones de almacenamiento cada par de meses, tienes una buena base para la seguridad. Muy bien, voy a ir terminando. Vamos a continuar por otros 45 minutos, aproximadamente, porque todavía tengo mucho de qué hablar sobre la autenticación de dos

factores. Pero quería que entendieran cómo aplicamos este concepto de frase de contraseña. Así que, en el siguiente segmento, voy a hablar sobre cómo generar una frase de contraseña de forma segura. Vamos a hacer una tormenta de emojis y, por favor, pido a todos los miembros de la comunidad de YouTube que demuestren a todos el increíble poder creativo y expresivo de los emojis personalizados de mi canal ejecutando una tormenta de emojis, ¡ya! Muy bien, y estoy de vuelta. Así que quieres crear una frase de contraseña. Y sabes que esta frase de contraseña probablemente sea mejor si tiene la forma de lo que conocemos como una frase de contraseña al estilo XKCD: «correct horse battery staple». Una serie de palabras en inglés elegidas al azar, con las que puedes crear una asociación mental, una imagen que las acompañe. Vas a usar esta frase de contraseña, tal vez para tu contraseña maestra, para tu administrador de contraseñas, la cual tendrás que escribir

Generación segura de frases de contraseña (50:25)

muchas veces al día en diferentes dispositivos. Uso frases de contraseña similares para otros propósitos, y no repito la misma frase de contraseña. Pero he descubierto que puedo recordar tres o cuatro de estas antes de que se complique. Así que necesitaré una frase de contraseña como esa para mi frase de contraseña opcional de una billetera bit 39. También necesitaré una frase de contraseña como esa para el cifrado del disco duro de mi computadora portátil. Prefiero usar un disco duro cifrado. Y antes de iniciar mi computadora portátil o cualquiera de mis dispositivos, en realidad, necesitas ingresar una frase de contraseña. Y esa frase de contraseña también tiene esa forma. Es una frase de contraseña mnemotécnica. Utiliza una serie de palabras en inglés, separadas por espacios. Por motivos de coherencia, siempre escribo mis frases de contraseña mnemotécnicas en minúsculas con espacios simples entre ellas. Es decir, palabra en minúscula, espacio, palabra en minúscula, espacio, palabra en minúscula, enter. Y pueden

tener entre cuatro y ocho palabras de longitud. Tienes que decidir qué nivel de seguridad necesitas, y eso depende de dónde la estés usando. Cuántas rondas de hashing se utilizan en la generación de la clave de cifrado que se deriva de esa frase de contraseña y cuál es el nivel de amenaza al que te enfrentas para estas cosas. Pero cuatro probablemente debería ser la cantidad mínima de palabras que uses y ocho probablemente sería la cantidad máxima antes de que empieces a olvidar cosas y a confundirte. Especialmente para una frase de contraseña que no usas muy a menudo. Cuanto más a menudo uses una frase de contraseña, cuanto más a menudo la escribas, más larga podrás hacerla. Porque entonces te verás obligado a recordarla con la práctica. Así que puedo usar una frase de contraseña un poco más larga en mi administrador de contraseñas porque la escribo todos los días. Usaré una frase de contraseña un poco más corta,

por ejemplo, como frase de contraseña opcional en una billetera, y una frase de contraseña aún más corta como frase de contraseña opcional en mis dispositivos, para el inicio cifrado de mi disco duro, porque esa solo la escribo, digamos, una vez al mes y puede ser más fácil que la olvide. Entonces, ¿cómo elegimos estas palabras? Hay varias formas de hacerlo, pero quieres que sean aleatorias. No quieres que sean una canción. La letra de, no sé. Estaba a punto de decir una canción, pero creo que eso crearía demasiada controversia. Así que me saltaré eso por completo. No quieres que sea el grito de guerra de tu equipo de fútbol. No quieres que sea el eslogan de tu estado. No quieres que sea una frase de Star Trek. ¿Por qué? Porque todas esas frases existen en diccionarios que

los hackers han recopilado. Cualquier cosa que pueda dar un resultado si la escribes en Google como una frase, lo cual, por supuesto, no vas a escribir en Google porque eso rompe la seguridad, nunca deberías usarla. Nunca debes usar una frase que se haya dicho alguna vez, o que sea probable que alguien diga alguna vez. En su lugar, debes elegir palabras aleatorias y luego intentar crear una imagen mental o asociación que sea significativa para ti. Y puede ser muy rara y extraña siempre y cuando sea significativa para ti y puedas repetir esa imagen en tu cabeza y practicar un poco. Esa es una buena forma de hacerlo. Entonces, ¿cómo eliges palabras aleatorias? Bueno, hay varias formas de hacerlo. Podrías abrir un diccionario en diferentes páginas y poner el dedo sin mirar, lo cual no es muy

bueno. Es probable que pases la mayor parte del tiempo eligiendo el tercio central de las páginas del diccionario y el tercio central de la página con el dedo. Pero en realidad es lo suficientemente bueno porque el diccionario tiene muchas palabras. Un diccionario bueno, grande y grueso. Así que vas a obtener suficiente aleatoriedad. Así que esa es una forma fácil que puedes hacer en casa sin ningún esfuerzo adicional. Si quieres ir un poco más allá, puedes usar una técnica llamada diceware. D-I-C-E-W-A-R-E. Y diceware es un mecanismo en el que tienes una lista de palabras que puedes descargar. Puedes descargar la lista del índice de diceware, el sitio web que encontrarás es... Puedes encontrar esto en Google con bastante facilidad. El primero que aparece, que es diceware.D-M-U-T-H dmuth.org, es el correcto. Y si usas ese sitio web, puedes descargar la lista. Ahora, lo que es

El método diceware (55:27)

Lo interesante de esa lista es que está indexada por números que tienen dígitos entre el uno y el seis, lo que te permite usar dados, dados simples, dados normales. Lanzas los dados cinco veces y creas un número de cinco dígitos donde todos los dígitos están entre el uno y el seis, y luego buscas la palabra que corresponde a ese índice en la lista de diceware, la anotas y obtienes aleatoriedad. Obtienes una aleatoriedad que está diseñada para usarse con dados normales, lo cual es conveniente. Si tienes algunos dados por ahí, puedes hacerlo fácilmente. No es digital, descargas la lista en tu propia computadora y simplemente eliges palabras de esa lista al azar. De nuevo, esa es una excelente manera de generar una de estas frases de contraseña aleatorias. Y, por supuesto, también puedes usar un programa en tu computadora. El problema, desde luego, es

que si ya hay un malware troyano o un registrador de teclas (keylogger) en tu computadora, eso puede causar cierta dificultad. Yo uso un programa llamado XKCD pass, que de hecho produce frases de contraseña compatibles con XKCD. Genero un montón de ellas. Y luego elijo una al azar de esa lista tan, tan larga. Y no dejo ninguna indicación en mi computadora sobre cuál elegí. Simplemente me desplazo y me desplazo y me desplazo por una lista muy larga. De esa manera, es mucho más difícil de capturar. De nuevo, se trata de capas. No es perfecto. Hay muchas dificultades y agujeros en todo este proceso. Muy bien. Así que ahora hemos hablado sobre la seguridad de las contraseñas y hemos combinado varios temas. Hemos hablado sobre la complejidad de las contraseñas. Hemos hablado sobre la seguridad en capas. Hemos hablado sobre las debilidades de la memoria humana y la aleatoriedad humana. Hemos hablado de por qué

usar software es mejor que no usarlo, aunque no puedas confiar en el software al cien por ciento. Hablamos sobre cómo generar tu frase de contraseña maestra y qué tipo de frase de contraseña maestra deberías usar, la cual luego puedes usar para generar desde tu administrador de contraseñas, tus contraseñas de sesión o contraseñas de sitios que sean alfanuméricas complejas y aleatorias, que sean imposibles de recordar y hacer que tu administrador de contraseñas las recuerde. Así que el siguiente tema es la autenticación de dos factores. Ahora bien, ¿qué es la autenticación de dos factores? La autenticación de dos factores es cuando usas dos formas diferentes de autenticarte. Así que la autenticación básicamente significa demostrar que eres quien dices ser. Y la autenticación de dos factores significa usar dos mecanismos distintos para demostrar que eres quien dices ser. Y en la seguridad informática, describimos las autenticaciones multifactor y los factores de autenticación como una de tres cosas. Los tres factores posibles que

puedes tener son algo que sabes, una contraseña como ejemplo de algo que sabes. La memorizas, por lo tanto, la sabes. La autenticación basada en el conocimiento también es una forma de este factor de algo que sabes, como ¿dónde naciste? ¿Cuál es la marca de tu primera batidora? ¿Quién es la primera persona a la que besaste en la escuela? o lo que sea. Ahora, obviamente algo que sabes es un factor, y es un buen factor. Solo si, primero, puedes recordarlo y nadie más puede adivinarlo fácilmente. Y aquí es donde entra toda la complejidad de la que hablamos con las contraseñas. Una segunda forma de autenticación. Un factor de autenticación es algo que eres. Y algo que eres generalmente se refiere a un dato biométrico, una medida inmutable sobre tu ser físico que no se puede falsificar. Así que una huella dactilar, un escaneo de iris, el sonido de tu voz cuando

repites la frase que se supone que debes repetir. Tu forma de caminar, tu altura, tu rostro para el reconocimiento facial, todas estas cosas son factores biométricos. Es decir, algo que eres. Los factores biométricos tienen ventajas y desventajas. Se pueden usar además de otro factor. Por supuesto, la gran desventaja de un dato biométrico es que si se copia o se pierde, no se puede reemplazar. Así que si, por ejemplo, mis huellas dactilares se filtran, y todo el mundo tiene acceso a mis huellas dactilares y puede recrearlas con látex como has visto en todas esas películas de espías, entonces no puedo cambiar mis huellas dactilares. Y por lo tanto, este dato biométrico ya no me es útil. Y hemos visto que los datos biométricos son bastante difíciles de aplicar, pero muy útiles como segundo factor, nunca como principal. Nunca usaría un dato biométrico como la única forma de autenticarme, digamos en mi

Autenticación biométrica (1:00:44)

teléfono. Porque como has visto, y como sabe cualquier niño de ocho años, si acercas el iPhone de mamá a su dedo mientras duerme en el sofá, puedes ir y comprar cosas en Amazon. Puedes ser tu propio Papá Noel personal. Siempre y cuando tengas acceso al pulgar de mamá o a la cara de papá, sosteniendo el dispositivo de reconocimiento facial frente a la cara de papá. Mientras papá ronca después de todo ese trabajo en la fiesta de barbacoa. La biometría por sí sola no es suficiente, pero es un muy buen segundo factor. El factor final es algo que tienes, algo que posees. Y este factor biométrico generalmente está incluido en un dispositivo adicional. Es un dispositivo que es un factor de seguridad que sostienes. Una clave es un factor de autenticación de "algo que posees". Una clave digital, una clave privada, incluso una física

clave para abrir tu puerta. Y cada vez más hoy en día tenemos segundos factores que se basan en algo que posees y que están integrados en dispositivos USB. De hecho, tengo uno conectado permanentemente a mi computadora portátil. Muchos de ustedes probablemente me hayan escuchado hablar de esto antes. Esto es una YubiKey, y esta YubiKey es un dispositivo tan pequeño que cuando lo conecto al puerto USB de mi computadora portátil, lo único que sobresale es una pequeña pestaña metálica, que es sensible al tacto. Cuando intento usarlo, requiere que lo toque. Y cuando lo toco, lo activo y envía un código desde mi computadora. Ahora no puedes iniciar sesión en mi computadora ni en muchos otros servicios que uso sin tocar para autenticarte en el costado de mi computadora. Ahora, si robas mi base de datos o mi frase de contraseña maestra, o

adivinas mi contraseña, aún no puedes descifrar ni abrir estos dispositivos ni acceder a mis diversas cuentas porque no tienes esta cosa. Yo tengo esta cosa. Y, por supuesto, ese es un factor adicional de seguridad. Por sí solo, no es suficiente porque si alguien pudiera robar mi computadora portátil, ahora tendría esta cosa, pero afortunadamente no tiene mi contraseña, que es el otro factor. Así que, en general, cuando hablamos de autenticación multifactor, lo que estamos haciendo es reconocer que ningún factor de autenticación por sí solo es suficiente. Todos los factores de autenticación tienen modos de fallo. Pero si usas autenticación multifactor y tus factores de autenticación son variados, entonces el modo de fallo de un factor de autenticación deja al otro como tu protección. Así que tienes capas. Ya sabes, en cada película de espías, cuando básicamente le cortan el dedo al

chico malo y lo llevan al lector de huellas dactilares y lo usan para abrir la puerta, bueno, ninguna puerta funciona así. Todas ellas también requieren un código PIN precisamente para que, si robas el código PIN, no tengas el dedo. Y si robas el dedo y lo cortas, no sabes el código PIN. Se necesitan ambos. Ningún fabricante de un dispositivo de este tipo lo haría de manera que solo puedas abrirlo con uno. Y de hecho, cuando las personas configuran sus teléfonos para que solo se abran con un dato biométrico, eso es increíblemente peligroso, y debes asegurarte de tener un mecanismo adicional. Gran pregunta de seguimiento en el chat: ¿qué pasa si pierdo mi YubiKey, mi clave de seguridad? Bueno, en realidad tengo varias. Tengo tres. Y tengo una guardada en una ubicación externa como mi copia de seguridad definitiva.

Tengo una segunda que no mantengo conectada a mi computadora portátil y que llevo conmigo. A menudo es algo que verás a las personas de seguridad llevar en un cordón alrededor del cuello, o conectada como un llavero. Estos dispositivos son bastante robustos y a menudo están diseñados para sujetarse a un llavero. Así que puedes llevarlos con tus llaves, lo cual tiene sentido. Un modelo de seguridad similar es que son casi indestructibles. Puedes pasarles por encima con un camión y seguirán funcionando. Así que tengo registradas estas tres claves de seguridad, de modo que cualquiera funcionará y tendría que perder las tres antes de perder el acceso. Pero las tres están en ubicaciones difíciles de alcanzar. Y el riesgo principal, la amenaza principal que intento abordar aquí es el compromiso remoto. Sí, si entras a robar a mi casa, oficina

Claves de seguridad y YubiKeys (1:05:51)

o en la ubicación secreta número cinco, y eres la mucama malvada que irrumpe en mi habitación de hotel o lo que sea, puedes encontrar estos dispositivos, pero entonces probablemente no tengas mi contraseña. Si hackeas mis sistemas y obtienes mi contraseña, no tienes el dispositivo. Si intentas usar la contraseña para iniciar sesión en uno de mis dispositivos, no tocaré el costado de la computadora para darte acceso. Y, con toda honestidad, sabes que cuando dejo mi computadora desatendida, saco la YubiKey y me la llevo. Así que, de nuevo, se trata de capas. Por lo tanto, la autenticación de dos factores significa usar al menos dos factores para autenticarte en cualquier servicio o dispositivo. Y estos son algo que sabes, algo que tienes y algo que eres. Cualquiera de estos tres puede usarse como un segundo factor. Y por supuesto puedes

usar la autenticación de tres factores, si quieres, aunque eso es algo inusual, se vuelve engorroso y complejo en ese punto. Difícil de recuperar, fácil de quedarse bloqueado. Así que dos suele ser el número mágico, y por eso lo llamamos 2FA, autenticación de dos factores. Otras personas lo llaman MFA por autenticación de múltiples factores o autenticación multifactor. Es exactamente lo mismo. Hay otro estándar, que es un estándar para un formato universal de claves de seguridad como la pequeña YubiKey que les mostré, que se usa en la industria. Ahora es uno creado por un organismo de estándares llamado Fido Alliance, y se llama U2F, segundo factor universal. Si te fijas en la diapositiva de mi código hay un aprende U2F, segundo factor universal. U, el número dos, la letra F, U2F. Ese es simplemente un estándar para un dispositivo multifactor basado en hardware que se puede enchufar, conectar o

transmitir por Bluetooth o NFC a un dispositivo en el que intentas autenticarte. Muy bien, pasemos a una pregunta. Esa no. ¿Dónde está? ¿Tal vez ahora? Bien, un segundo. Parece que la pregunta no se está resaltando. No estoy seguro de por qué. Denme un segundo, por favor. Lo arreglaré. Necesito actualizar mi navegador. Esperemos que no me pida una contraseña compleja. Bien, parece haber algún tipo de... oh, esperen, un segundo. Algo salió mal con mi Slido, así que en realidad no puedo ver las preguntas resaltadas. No sé por qué está pasando eso. Nunca lo había visto antes. Oh, hay una encuesta. Aparentemente hay una encuesta activa que ahora me impide ver las preguntas. No sé por qué. Perdónenme. Oh, ahí está. Se arregló solo. Perdón por las dificultades técnicas, amigos. ¿Por qué un mensaje de texto

es una autenticación de dos factores débil? ¿Es mejor que nada? Muchos bancos usan SMS, como alguien más señaló, usan mensajes de texto SMS como autenticación de dos factores. Entonces, ¿por qué un mensaje de texto es una autenticación de dos factores débil? Muy bien. Entonces, ¿qué tipo de factor es un mensaje de texto? Veamos si podemos averiguarlo. ¿Es algo que sabes? No, no lo sabes en ese momento. Parece que se está ejecutando algún tipo de encuesta que está interrumpiendo. Lo siento. El Slido comenzó con una encuesta por alguna razón. Eso es raro. Muy bien. ¿Es el mensaje de texto un buen segundo factor? ¿Qué tipo de factor es? ¿Es algo que sabes?

No, porque no lo sabes, cuando se te envía como un mensaje de texto, no lo sabes, te enteras de ello. Así que no es algo que sepas. ¿Es

Por qué los SMS son una autenticación de dos factores débil (1:11:00)

¿algo que eres? No, no es algo que eres. ¿Es algo que posees? Más o menos. Podrías pensar, de acuerdo, es algo que poseo, poseo el teléfono que está recibiendo el mensaje de texto. Pero el mensaje de texto no se envía a un teléfono, se envía a un número de teléfono. ¿Posees el número de teléfono? Y la respuesta es que en realidad el número de teléfono es la SIM, o más bien la cuenta a la que está conectada la tarjeta SIM de tu teléfono, ¿y quién posee esa cuenta? Y la respuesta es Vodafone, Verizon, AT&T, T-Mobile o quien sea. Así que el problema con la autenticación de dos factores por mensaje de texto es que tú no posees el número de teléfono. La compañía telefónica sí. Y la compañía telefónica tiene una seguridad de mierda. Eso es todo, es realmente así de simple. Así que todo lo que tienes que hacer es llamar al servicio de atención al cliente de la compañía telefónica,

reproducir el sonido de un bebé llorando de fondo, fingir que estás hablando con una niñera frustrada mientras el bebé grita. Y tu marido o tu mujer te está gritando de fondo. Y estás teniendo una crisis y un día realmente malo. Y las personas muy serviciales y muy empáticas del servicio de atención al cliente se saltarán todos los controles de seguridad porque no sabes qué contraseña ha configurado tu cónyuge en la cuenta, y esto es realmente una emergencia y necesitas comunicarte urgentemente. Y felizmente portarán el número a tu nuevo teléfono que necesita ser activado en este momento, porque es una emergencia. Ahora bien, si esto suena como un ataque teórico, en realidad hay una demostración fantástica que ocurre en Def Con, Black Hat y otras conferencias de hackers, donde realizan estos llamados ataques de ingeniería social. Y

uno de los mejores es un video donde un hacker de ingeniería social muy, muy hábil le demostró a un periodista lo rápido que podía apoderarse de su número de teléfono llamando a una compañía telefónica, reproduciendo una grabación de un bebé gritando de fondo y suplicando su ayuda en este caso de emergencia. Y literalmente menos de 10 minutos después, se habían apoderado del número de teléfono, luego lo usaron para restablecer su cuenta de correo electrónico, y después lo usaron para restablecer todas sus otras cuentas y básicamente comprometer toda su identidad digital en menos de 15 minutos. Así que por eso los mensajes de texto son una forma débil de autenticación de dos factores. Y es realmente importante que no los uses si puedes evitarlo. Pero respondiendo a la pregunta anónima, ¿es mejor que nada? Es mejor que nada. Es mejor que nada si

puedes evitar usarlo en cuentas donde puedes elegir mejores opciones. Así que en cualquier cuenta donde puedas usar algo que no sean mensajes de texto, úsalo. La otra cosa es pensar muy cuidadosamente sobre quién es tu proveedor de telefonía. Muchos profesionales de la seguridad usan proveedores de telefonía que no tienen un servicio de atención al cliente humano que pueda ser manipulado mediante ingeniería social y donde las cuentas en sí están protegidas por una fuerte autenticación de dos factores. Por ejemplo, el proyecto Fi de Google, F-I, que es un operador de red virtual, no tiene humanos con los que puedas hablar. Y te conectas, accedes y configuras esa cuenta de teléfono a través de una cuenta de Google que puedes asegurar con una fuerte autenticación de dos factores, como un token universal de dos factores. Eso significa que tu número no puede ser portado, lo que significa que entonces puedes usar ese número de manera más segura para proteger tu sistema basado en mensajes de texto

de autenticación de dos factores, como tu banco, que es pésimo en seguridad. Así que, en términos de las empresas más pésimas en seguridad: los bancos, las compañías telefónicas y luego los proveedores de servicios reales que tienen equipos de seguridad decentes. Así que todo se trata de capas. Si no tienes otra opción más que usar mensajes de texto como tu autenticación de segundo factor, entonces te diré que hay algunos servicios que uso donde no tengo otra opción más que usar un mensaje de texto. Entonces asegúrate de que ese mensaje de texto vaya a una cuenta que esté bien asegurada. Incluso con tu operador de telefonía, puedes poner un PIN en tu cuenta. Puedes desactivar la capacidad de portar el número. Puedes ir y hacer todo tipo de cosas para fortalecer esa cuenta. Pero si puedes, es aún mejor mover tu número a un operador de red virtual o proveedor de servicios que no tenga humanos que puedan

Proteger tu número de teléfono (1:16:25)

ser víctima de ingeniería social para transferir tu número. Y que tenga una autenticación fuerte en los factores que controlan tu número de teléfono. Y si puedes, evítalo. Evítalo especialmente si es el segundo factor para conectarte a tu exchange, donde almacenas millones de dólares en criptomonedas. Y, por supuesto, estoy insinuando aquí a un experto en criptomonedas bastante infame, que de hecho almacenó millones de dólares en criptomonedas en la billetera de un exchange, en una billetera caliente con custodia (no tus monedas), con una autenticación de dos factores por SMS alojada por AT&T, y que actualmente está demandando a AT&T por la pérdida de unos, no sé, 50 millones, cien millones de dólares, una cifra ridícula como esa. Honestamente, ese es el tipo de caso legal en el que, como testigo experto, me subiría al estrado y me reiría durante 30 minutos en la cara

del demandante. Cuando dijeran que fue culpa de otra persona el haber puesto millones de dólares en un exchange respaldado por un mensaje de texto, una autenticación de dos factores de AT&T. No tendría mucha simpatía por eso. Muy bien. Así que hablemos de la autenticación de dos factores que realmente funciona. He hablado de la clave de seguridad, que es una pieza de hardware, pero también hay otro mecanismo que es muy común, que todos han usado antes, que es donde tienes un número de seis dígitos. Neeraj amablemente me hizo una pregunta específicamente sobre ese tema. Hola Andreas, ¿cómo funciona el autenticador de Google o Microsoft? ¿Existe un sistema descentralizado que pueda reemplazarlos? Neeraj, estos son sistemas descentralizados. Aunque la aplicación es creada por una entidad centralizada, la aplicación en sí es bastante simple. Y como resultado, en realidad es descentralizada. Los secretos que se almacenan en estos autenticadores

solo se almacenan en tu dispositivo local. Hay algunas variaciones, por supuesto. Algunas de estas aplicaciones, como por ejemplo Offi, te permiten hacer una copia de seguridad y transferir los secretos que son la base de tu autenticación de dos factores a otro dispositivo. Lo cual las hace convenientes, pero peligrosas. Si tienes activado el soporte para múltiples dispositivos en Offi u otros sistemas que admiten copias de seguridad, debes mantenerlo desactivado y solo activarlo cuando vayas a transferirlo a otro teléfono o dispositivo, como por ejemplo, cuando actualizas tu teléfono inteligente y necesitas mover todas esas cuentas a un nuevo dispositivo. El autenticador de Google de hecho introdujo la copia de seguridad y la transferencia en su última versión. No sé cómo funciona, pero si funciona de esa manera, asegúrate de tenerlo desactivado por defecto. Para que solo ese dispositivo local

pueda usar esos códigos de seguridad. De lo contrario, no es realmente de dos factores, ¿verdad? No es algo que posees. Es una contraseña de respaldo. Es algo que sabes, y que puede ser robado fácilmente, o está vinculado a tu número de teléfono. En cuyo caso volvemos a la seguridad de los mensajes de texto de la que hablábamos antes. Alguien duplica tu SIM, se apodera de tu número. Instalan el software del autenticador en el teléfono inteligente. Luego descargan la copia de seguridad y la transfieren a ese dispositivo. Y tienen todas tus autenticaciones de dos factores que en realidad no eran autenticaciones de dos factores. Así que este es el modo de fallo, pero hablemos de cómo funciona esto en primer lugar. Entonces, ¿cómo funciona el autenticador de Google o Microsoft? Primero, pongámosle nombre a esto. Este es un mecanismo llamado contraseña de un solo uso u OTP (por sus siglas en inglés). Las contraseñas de un solo uso tienen décadas de antigüedad y se han utilizado, bueno, permítanme corregirme. Las digitales

contraseñas de un solo uso en dispositivos portátiles tienen décadas de antigüedad. Las contraseñas de un solo uso en sí mismas tienen en realidad miles de años. El concepto general aquí es que si generas una secuencia de números aleatorios y las dos partes de una comunicación tienen una copia de esa secuencia, o pueden generar esa secuencia y nadie más puede. Entonces no hay nada que robar o adivinar. Las libretas de un solo uso son un método de cifrado irrompible siempre y cuando puedas generar estos secretos y no te los roben. Y las contraseñas de un solo uso que son numéricas, códigos de seis dígitos, son muy, muy difíciles de robar. Siempre y cuando puedas mantener en secreto los secretos raíz que las generan. Ahora bien, los autenticadores de Google y Microsoft son una subclase particular de contraseñas de un solo uso llamadas contraseñas de un solo uso basadas en el tiempo. Y si quieres encontrar una aplicación que soporte el estándar de contraseñas de un solo uso basadas en el tiempo, usas el acrónimo

Contraseñas de un solo uso basadas en el tiempo (1:21:56)

T-O-T-P. OTP significa contraseña de un solo uso (one-time password) y T-OTP contraseña de un solo uso basada en el tiempo (time-based one-time password). Y basada en el tiempo simplemente significa que el código está vinculado a la hora actual y cambia cada 30 segundos. Así que estas cosas utilizan un secreto y un reloj, que tiene que estar más o menos sincronizado correctamente con la hora actual, para generar el código específico para el momento específico en el que deseas usarlo. Y debido a que es una ventana de tiempo de 30 segundos, puedes desfasarte un poco y tienes algo de tiempo para verlo en tu pantalla e ingresarlo en el sitio web. Ahora, debido a que el sitio web al que te estás conectando o el dispositivo al que te estás conectando tiene el mismo secreto y el reloj está más o menos sincronizado. Puede averiguar qué código se supone que debes ingresar. Por lo general, revisa el anterior y el posterior para saber si estás un poco desfasado,

como por poco más de 30 segundos. Aceptará esos. Y luego ves en tu pantalla el código actual, y verás una pequeña cuenta regresiva. Y después de 30 segundos, cambia y tienes un nuevo número de seis dígitos. Así que la forma en que esto funciona es usando una clave privada. Y a partir de esa clave privada, utiliza una función de derivación, que puede ser una variedad de cosas diferentes. No sé cuál es el uso estándar para T-OTP. Supongo que es algún tipo de mecanismo de hash con el tiempo. Y con esa función de derivación, produce nuevos códigos numéricos cada 30 segundos. Y puedes calcular a partir de la secuencia, perdón, a partir de los secretos y la hora actual, el código correcto para la hora actual. El secreto en sí está en el código QR que el servicio que intentas usar muestra la primera vez. Así que cuando vas a usar uno de

estos dispositivos, y todos son compatibles, así que ya sea que uses Google Authenticator, Microsoft Authenticator, Authy o Duo o cualquiera de los otros, y la mayoría de los administradores de contraseñas también tienen uno de estos servicios T-OTP integrados. Todo lo que tienes que hacer es escanear un código QR del sitio web o servicio al que intentas agregar la autenticación de segundo factor. Y ese código QR contiene un secreto. Ese secreto es una cadena alfanumérica generada aleatoriamente que está vinculada a tus cuentas. Y el sitio web la genera aleatoriamente para ti. Se presenta como un código QR. Lo escaneas con tu dispositivo Google Authenticator, tu dispositivo Google Authenticator lo registra como el secreto y luego comienza a generar códigos para la hora actual. Luego ingresas uno de estos códigos en el sitio web. Puede confirmar que lo obtuviste correctamente rastreándolo y diciendo, sí, ese es el código que esperaba

en esta ventana de 30 segundos. Y ahora has establecido la autenticación de dos factores. La dificultad con estos, por supuesto, es la copia de seguridad. Y hay varias formas en las que puedes hacer una copia de seguridad. Una forma en la que puedes hacer una copia de seguridad, y que en realidad es probablemente la forma más segura de hacerlo, honestamente, es una impresión física. Así que cuando tengas ese código QR en tu pantalla, presiona imprimir. Digo impresiones físicas, porque podrías inclinarte a hacer otra cosa, que es tomarle una foto. Y, por supuesto, para tomarle una foto, vas a usar tu teléfono inteligente. El problema es que esa foto se va a almacenar en la nube. En cuyo caso ya no está solo en el dispositivo en Google Authenticator, en el autenticador T-OTP. Y en ese punto, ya no es un segundo factor seguro. Hacer copias de seguridad en la

nube de tus secretos de autenticación de dos factores es una mala idea. En realidad, es mejor usar la función de copia de seguridad que pueda tener el software de dos factores, que al menos está cifrada con una contraseña de tu elección. ¿Dónde pones esa contraseña en tu administrador de contraseñas? Estamos dando vueltas en círculos aquí, como puedes ver, y a veces puede volverse confuso. Así que imprime el código QR si quieres hacer una copia de seguridad o no lo hagas; con la mayoría de los servicios, si pierdes tu token o aplicación de autenticación de dos factores, puedes pedirles que lo restablezcan. Y te harán pasar por muchos obstáculos, sosteniendo identificaciones y haciéndote selfies y confirmando a través de múltiples otros mecanismos como correos electrónicos y llamadas telefónicas y cosas por el estilo. Muchos de estos servicios también te darán una serie de códigos de respaldo, que son códigos numéricos precalculados que puedes ingresar en lugar de los dinámicamente

La jerarquía de la autenticación de dos factores (1:26:44)

generadas que son estáticas. Y estas son por si pierdes tu dispositivo de autenticación. ¿Y dónde las guardas? En tu administrador de contraseñas es donde las guardas. Así que la autenticación de dos factores con una aplicación de contraseñas de un solo uso basadas en el tiempo es un mecanismo fuerte, efectivo y fácil de usar que puedes añadir a todas tus cuentas hoy mismo. Ahora veamos la jerarquía de la seguridad. Llave de seguridad universal de dos factores, basada en un cifrado muy, muy fuerte. Si registras varias de ellas y las guardas en lugares seguros, son muy difíciles de comprometer. Muy fáciles de respaldar, es algo físico. Las respaldas teniendo otra cosa física a mano. Es imposible de copiar y es imposible de robar sin que te des cuenta. El segundo nivel son las contraseñas de un solo uso basadas en el tiempo que utilizas escaneando un código QR y una aplicación como la que mencionó Neeraj. Te dan un código de seis dígitos

cada 30 segundos. De nuevo, eso convierte a tu teléfono, ese algo que posees, en el segundo factor, y estos son un poco difíciles de respaldar. Y si te roban el teléfono, podrían ser fáciles de comprometer. Me gusta poner una huella dactilar en la propia aplicación de autenticación de dos factores para que no puedas ver los códigos numéricos sin usar las huellas dactilares. Ahora bien, esto es esencialmente un tercer factor por encima del segundo factor, lo que me protege en caso de que alguien robe mi teléfono y esté desbloqueado en ese momento y pudieran entrar en mi aplicación de dos factores, solo que no pueden. Y finalmente, el nivel más bajo es la autenticación de dos factores por mensaje de texto, que por supuesto no es segura a menos que no tengas otra opción, en cuyo caso es mejor que no tener nada. Así que esos son los niveles de la autenticación de dos factores. Veamos qué otras preguntas tenemos mientras

tomo un breve descanso aquí. Y voy a reproducir un video de mis mecenas, que les dice por qué deberían apoyar mi trabajo en línea. Así que lo que estamos haciendo hoy, y lo que siempre intento hacer, es brindarles material educativo de alta calidad sobre Bitcoin y cadenas de bloques abiertas de una manera que sea neutral, sin patrocinadores, sin respaldos, sin vendernos a los anunciantes ni estar en deuda con intereses corporativos. Nadie está pagando por esto aparte de ustedes. Y por lo tanto, si les gusta esta educación, si se han beneficiado de esta educación, o incluso si simplemente quieren retribuir y ayudar a otros a obtener esta educación y ayudarnos a mí y a mi equipo a seguir haciendo esto, hacerlo mejor y de manera más amplia, entonces por favor consideren apoyarme con una membresía de YouTube o, aún mejor, una suscripción mensual de mecenas. Y en palabras de mis mecenas, he aquí el porqué.

• Soy mecenas de Andreas porque me encontré con sus videos en línea y así es como aprendí sobre Bitcoin. Así es como me introduje a Bitcoin. - Esta noche salí a un evento social organizado por Andreas, como parte de su apoyo a los mecenas de pago. Acabo de tomar unas copas en el centro de Londres, así que ha sido una noche muy divertida. Pude conocer a muchas personas con ideas afines. - Deberíamos apoyar el trabajo que está haciendo Andreas. Está haciendo mucho para atraer a nuevas personas a Bitcoin y a la educación sobre Bitcoin. - Es un gran maestro. Puede explicar temas muy complejos de una manera fácil de entender. Es muy honesto y muy preciso. Pueden estar preparados y ser intelectualmente honestos. Creo que es su mejor característica. - Aporta mucha claridad a un tema realmente complejo que es Bitcoin y la industria que lo rodea. - Ha

sido una muy, muy buena inspiración para mí y cada Bitcoin que le doy, será muy bien utilizado para ayudarnos a entender Bitcoin. Y creo que mejorará el mundo en algún momento. - Al ser mecenas puedo conocer a Andreas y por eso me encanta ser mecenas y voy a seguir siéndolo. - Creo que es simplemente algo bueno. Si estás interesado en aprender cosas nuevas y también quieres apoyar a la comunidad de Bitcoin, entonces tienes que ser mecenas. - Ser mecenas te hace sentir especial. Puedes asistir a sus sesiones de preguntas y respuestas en vivo. Puedes conocerlo en las happy hours. Es realmente genial, vale totalmente la pena. Estoy muy, muy entusiasmado de ser mecenas. - Me gustaría que pudiera producir su gran y valioso contenido en un futuro libre de publicidad y simplemente

Preguntas y respuestas: portabilidad de números de teléfono y seguridad de aplicaciones (1:31:37)

con la ayuda de sus mecenas. Y por eso lo apoyo como mecenas. (música suave) - Muy bien, antes de pasar a la siguiente pregunta, tengo un par de excelentes comentarios de seguimiento en el chat. Que mi productor ha publicado amablemente para mí. Así que tenemos, en primer lugar, un seguimiento de Lucía: ¿se puede portar cualquier número de teléfono a un servicio de atención al cliente sin personas? Depende del país en el que estés registrado. Diferentes países tienen diferentes leyes sobre la portabilidad entre proveedores de telecomunicaciones. Pero, honestamente, la mayoría de los países europeos y ciertamente en Norteamérica, sé que este es el caso en Estados Unidos y Canadá, exigen que los operadores respeten las solicitudes de portabilidad. Y eso significa que, con el proceso correcto, puedes mover tu número y no perderlo, y cambiar a un nuevo operador. Y luego podrías ir a un operador que sea un operador sin servicio al

cliente, sin personas. Google Fi es del que más he oído hablar en ese sentido. Puede que haya muchos, otros que sean igualmente seguros contra los ataques de portabilidad numérica. Me inclino por eso, aunque tiene algunos riesgos de privacidad por razones obvias. La segunda pregunta viene de Ben y Ben dice: ¿cómo saber que tu aplicación no está filtrando la clave secreta? Ben, no puedes saber que tu aplicación no está filtrando la clave secreta. Solo puedes optar por aplicaciones que sean utilizadas por muchas personas, usadas en entornos de seguridad, auditadas, revisadas, tal vez de código abierto que tengan su código auditado, que hayan sido creadas por empresas confiables. Que se tomen la seguridad en serio, que tengan un largo historial de no romper cosas. Esto requiere confianza en una contraparte. Sin embargo, casi todo de lo que he hablado requiere confianza en una contraparte. Entonces la pregunta es cuánta confianza

estás depositando en la contraparte y quién es esta contraparte. ¿Y cuál es la alternativa? Y si la alternativa es no usar una aplicación e intentar depender de la memoria, entonces en realidad la alternativa es peor. Y este es el cuidadoso equilibrio que debes lograr en la seguridad. Cada vez vemos a más empresas intentar implementar varios mecanismos de autenticación descentralizada, identidad descentralizada, validación descentralizada, que son más seguros. La multifirma en Bitcoin o Ethereum, por ejemplo, suele ser la base de dichos servicios. Pero por ahora estos servicios son relativamente inmaduros, no están ampliamente implementados y aún no son adecuados para este tipo de soluciones. Así que tengo muchas esperanzas para el futuro en ese espacio. Mientras tanto, la pregunta que deberías hacerte es: ¿qué es mejor, usar un servicio centralizado que tenga un buen historial o no usar ningún servicio en absoluto e intentar depender de la

memoria? Y puedo responder a eso definitivamente con que es mejor usar un administrador de contraseñas de una empresa confiable o una que tenga un buen historial, que no usar un administrador de contraseñas e intentar depender de una memoria falible, una aleatoriedad falible y soluciones caseras que pueden superar tu competencia técnica. Pasemos a la siguiente pregunta. Viene de Trixie: Andreas, me encantan las gafas. A mí también. Gracias, Trixie. Con estas, de hecho puedo leer lo que hay en mi computadora portátil. Hay dos tipos de transmisiones en vivo que hago. Algunas son un poco más improvisadas, más basadas en preguntas. No necesito leer mucho lo que sucede en mi computadora portátil. Tengo un buen monitor de estudio por allá, que está lo suficientemente lejos como para poder leerlo con mi vista cansada. Y algunas, como la de hoy, son un poco más complejas. Necesito hacer mucho

Preguntas y respuestas: convertir los SMS del banco en una autenticación más fuerte (1:36:01)

de lectura. Tengo mi portátil en la mesa. Y por eso necesito estas cosas. Pero gracias, nos desviamos del tema. Volvamos al meollo de esta pregunta. Empezaré de nuevo para nuestro editor. Trixie pregunta: ¿hay alguna forma de convertir esos estúpidos mensajes de texto del banco a Authy o algo similar? Un sistema de contraseñas de un solo uso basadas en el tiempo. Authy es uno de esos T-OTP, contraseñas de un solo uso basadas en el tiempo. Trixie, no, no la hay. A menos que tu banco tenga un mecanismo que admita algo distinto a los mensajes de texto, no puedes usar una contraseña de un solo uso basada en el tiempo. La respuesta correcta en este caso es usar mensajes de texto, pero cambiar tu proveedor de telefonía a uno que requiera un mecanismo de autenticación fuerte, como una contraseña de un solo uso basada en el tiempo, o aún mejor, un segundo factor universal con una clave de seguridad o donde puedas configurar esas opciones. Para que tu número no pueda ser portado porque eso requiere una autenticación fuerte. Y

si tu número puede ser portado, entonces el mensaje de texto de tu banco es mucho, mucho más seguro. Así que esa fue una gran pregunta de Trixie. Veamos qué otras preguntas tenemos por aquí. No veo muchas otras preguntas, así que... Oh, ahí lo tienes. Oh, los moderadores ahora están frenéticamente, frenéticamente sacando preguntas y poniéndolas en cola para mí, para que podamos encontrar algunas preguntas más. Espero que estén disfrutando de la sesión de hoy. Así que permítanme hacer un breve resumen de lo que hemos aprendido hasta ahora. La seguridad nunca es del cien por ciento, la seguridad se trata de gestionar riesgos realistas dentro de tu competencia técnica con la solución más simple y aplicada de manera más consistente que puedas encontrar, la cual se superpone con otras soluciones para proporcionar una serie de barreras contra un atacante decidido. Si haces bien la seguridad, entonces te sientes cómodo con estas medidas. Puedes aplicarlas de manera consistente, y

tienes suficientes capas que se adaptan cuidadosamente tanto a tus habilidades como a tu entorno de amenazas para lograr que un atacante no tenga ni el tiempo, ni los recursos, ni el presupuesto, ni el interés, ni la recompensa, realmente, para atacarte. Y en su lugar, atacan a alguien que es un objetivo más fácil, y eso es básicamente la seguridad. No puedes ser perfecto en ello. De hecho, eres humano. Así que serás, por definición, imperfecto. Tienes que ser capaz de ejecutarla de manera consistente y dentro de tu nivel de habilidad, lo que significa que tiene que ser lo suficientemente simple. No se puede resolver con una sola herramienta, técnica, práctica o acción, por lo que tienes que usar múltiples herramientas, múltiples técnicas, múltiples acciones, superpuestas entre sí, preferiblemente mecanismos diversos de seguridad que requieran diferentes habilidades de los atacantes, que protejan contra las diferentes amenazas para que puedas superponerlas y crear un sistema integral. Y eso todavía no te llevará

al cien por ciento de seguridad, pero, ya sabes, si lo haces de manera consistente, y si lo haces deliberadamente, y si lo adaptas bien, tanto a tus necesidades de amenazas como a tu nivel de habilidades, puedes unirte al grupo de élite de personas que pueden decir honestamente: no me han hackeado en años. Eso es lo mejor que puedes hacer, pero por lo general es bastante bueno. Y te sitúa muy por encima de muchas otras personas. Anónimo pregunta: ¿podrías compartir alguna preocupación o sugerencia sobre los gestores de contraseñas para alguien que aún no ha tenido tiempo de compararlos de cerca o probar alguno? He usado muchos gestores de contraseñas diferentes a lo largo de los años, hay algunos que se usan muy, muy comúnmente que no son mis favoritos. Que uso a regañadientes de vez en cuando o todo el tiempo, dependiendo del dispositivo en el que esté. Hay algunos que han caído en

o dejado de ser los favoritos. Y hay algunos nuevos que están ganando prominencia. Realmente no puedo decirte cuál será el adecuado para ti. Puedo decirte que probablemente los dos más populares son un sistema llamado LastPass y un sistema llamado 1Password, el número uno, seguido de la palabra password, todo en una sola palabra. 1Password y LastPass son probablemente los más conocidos. Más allá de eso, hay una serie de otros sistemas con diferentes capacidades y diferenciadores. Uno de los un poco más nuevos que estoy mirando con interés es Bitwarden, porque es un sistema de código abierto que es multiplataforma y está bastante bien diseñado. Pero al final del día, al igual que he dado el mismo consejo para los fabricantes de billeteras de hardware, por ejemplo, te daré el mismo consejo para nuestros gestores de contraseñas. Las diferencias entre, digamos, los tres o cuatro principales,

Preguntas y respuestas: comparación de administradores de contraseñas (1:41:43)

cinco empresas en el sector donde los productos en este espacio tienen pequeñas, pequeñas diferencias. Todos son bastante buenos. Todos son bastante seguros. Todos son bastante consistentes. La diferencia entre uno de los cuatro o cinco mejores administradores de contraseñas y no tener ninguno en absoluto, o intentar depender de tu memoria o intentar crear tu propia solución, es enorme. Así que la pregunta no es: ¿cuál de estos debería usar? Es si debería usar uno, la respuesta es sí, y no pierdas demasiado tiempo. Una forma de pensarlo es: ¿qué están usando otras personas de tu familia? Para que puedas compartir contraseñas fácilmente con ellos. La mayoría de estas cosas son ecosistemas cerrados. Así que si todos en tu familia tienen Bitwarden, entonces es mejor que uses Bitwarden. Si tu empresa o tu empleador está usando uno, entonces probablemente

sea mejor usar el mismo para tus funciones personales, siempre y cuando puedas mantener dos cuentas separadas, solo para no tener demasiadas aplicaciones ejecutándose y demasiada complejidad. De nuevo, mantenlo simple. La única pregunta que deberías hacerte es qué tan rápido puedo poner en marcha una de estas cosas y luego asegurarla correctamente, y luego salir y cambiar todas las contraseñas en todos los sitios web, comenzando primero por los más importantes. Un usuario anónimo pregunta si la configuración inicial de Google Authenticator y su implementación es de una clave simétrica, a diferencia de Bitcoin, que utiliza cifrado asimétrico. Sí, lo es. Y no sé cuál es el estándar T-OTP porque nunca lo he analizado. Puede que ni siquiera sea cifrado simétrico. Podría ser un algoritmo de estiramiento de contraseñas. De hecho, es probable que sea algún tipo de secuencia basada en

derivación usando hashes. Pero no lo sé, no lo he investigado. No es asimétrico, eso te lo puedo asegurar. Así que no es un sistema de clave pública y privada. ¿Qué es el cifrado simétrico? ¿Qué es el cifrado asimétrico? Esa es otra pregunta que surgió en el chat. El cifrado asimétrico es cuando hay dos claves en un par y las llamamos clave privada y clave pública, y lo que sea que esté cifrado por una solo puede ser descifrado por la otra y viceversa. Así que si cifras algo con tu clave privada, solo puede ser descifrado con tu privada... con tu clave pública. Y si cifras algo con una clave pública, solo la persona con la clave privada puede descifrarlo. Y la combinación de estas técnicas se utiliza para las firmas digitales. Y se utiliza para el cifrado y descifrado de datos entre dos destinatarios. Lo que significa, sin embargo, es

que si quieres descifrar algo para mí, necesitas mi clave pública. Si lo cifras con mi clave pública, que es pública y fácil de compartir, entonces solo yo puedo descifrarlo. Si quieres cifrarlo para muchas personas, necesitas todas sus claves públicas y necesitas cifrarlo por separado para todas sus claves públicas. El cifrado simétrico es donde tienes una clave que sirve tanto para el cifrado como para el descifrado. Y de hecho, hasta la década de 1970, el cifrado simétrico era el mecanismo de cifrado. El cifrado asimétrico no se inventó, creo, si no me equivoco, hasta la década de 1970. Así que esa es la diferencia entre simétrico y asimétrico. A ver, creo que tengo otra por aquí. Otro seguimiento de Carlos. ¿Cuándo usaremos firmas de Bitcoin para la autenticación? Podrías usar firmas de Bitcoin para la autenticación hoy mismo. El problema es que tienes que tener

cuidado en cómo estructurarlo y entender qué estás demostrando exactamente. Una firma de Bitcoin y, en general, el uso de firmas digitales para la autenticación demuestra un conjunto de cosas muy específico y muy limitado. Así que supongamos que me pides que firme un mensaje con mi clave privada de Bitcoin y produzca una firma, y luego la comparta con el mundo. Bueno, aquí hay un par de cosas que demuestro. Demuestro que en el momento en que se creó la firma, tenía posesión de la clave privada. Por supuesto, eso no significa que no haya producido esa firma hace años. No sabes cuándo se produjo la firma. La otra cosa es que para usar eso en un esquema viable, la persona que solicita la firma necesita hacer lo que se llama un desafío-respuesta. No puedo simplemente decir firma algo, porque si obtengo

Preguntas y respuestas: Firmas de Bitcoin para autenticación (1:47:01)

para elegir el mensaje, básicamente puedo elegir un mensaje que otra persona firmó hace mucho tiempo en el pasado, presentar la firma que aplicó y decirte que acabo de hacerlo. Y no tienes forma de saber si eso es cierto o no. Así que, en cambio, en ese escenario, necesitas el desafío-respuesta. Por lo tanto, lo que diría es: por favor, CarlosM, firma un mensaje que diga: Yo, CarlosM, el 5 de diciembre (¿hoy es 5? Ni siquiera lo sé), el 5 de diciembre de 2020, estoy en posesión de mi clave privada. Y estoy firmando este mensaje a petición de Andreas. ¿Entiendes lo que digo aquí? Lo que hace eso es anclarlo en el tiempo. No sabrías cuál es el mensaje hasta que te pidiera que firmaras un mensaje específico. Lo relacionas con una actividad específica. Te he pedido

que pongas información sobre la hora en que lo firmaste y la identidad del firmante allí. Eso lo hace mucho más difícil, pero aun así, no sé si Carlos firmó esto. Tuvimos una conversación similar cuando hablamos de firmar con billeteras para demostrar que eres dueño de una dirección por las nuevas reglas de viaje que se están proponiendo en los EE. UU. y que ya se han implementado en la UE. Y, por supuesto, si Carlos quisiera demostrar que es dueño de una dirección y yo le diera un mensaje como ese, todo lo que tendría que hacer es darle ese mensaje a Jimmy, hacer que Jimmy lo firme diciendo: este es Carlos, devolvérselo a Carlos, Carlos me lo da a mí, y yo creo que eso demuestra que Carlos tiene la clave privada cuando en realidad la tiene Jimmy y están trabajando juntos. Así que esto es complejo. No es

tan simple como parece a primera vista. Muy bien, veamos. Voy a responder tal vez una pregunta más. Oh, esta es buena. Realmente me gustó esta. Esta es una pregunta de Jeff. Jeff Tezos pregunta: ¿qué pasa con las contraseñas que necesitas ingresar manualmente con tu control remoto en el televisor o similares como Amazon, Netflix? ¿Qué tan largas y difíciles deberían ser? Jeff, he batallado con esto. Y tengo mi respuesta para esto, que te daré en un segundo. Ahora, imagina el escenario del que habla Jeff: has usado tu gestor de contraseñas para generar una clave alfanumérica única de 32 caracteres con símbolos para tu cuenta de Netflix. Ahora tienes que ingresarla en el teclado de un televisor inteligente Roku, donde cada letra tiene que ingresarse moviendo tu pequeño cursor a la letra correcta en el teclado, presionando enter,

y luego retrocediendo y bajando al bloqueo de mayúsculas y activando el bloqueo de mayúsculas y subiendo y yendo a la letra mayúscula y luego desactivando el bloqueo de mayúsculas y luego moviéndote al símbolo y cambiando al teclado numérico. Dios mío, va a tomar horas, horas. Y así que sí, en esos casos, lo mismo que diría en casos donde tu seguridad no es tan crítica, necesitas hacer algo donde a menudo tienes que compartir esta clave con otras personas. Un buen ejemplo sería tu contraseña de wifi, ¿verdad? Así que en esos casos, lo que yo haría es usar una contraseña numérica o alfabética simple. Toda de una sola clase de caracteres y hacerla un poco más larga. Así que no me importa si alguien piratea mi Netflix y nota que estoy viendo Gambito de Dama. Por supuesto que estoy viendo Gambito de Dama. Todo el mundo está

viendo Gambito de Dama. Es la semana de Gambito de Dama. Realmente no me importa, aunque hay algunas consideraciones de seguridad, como poder averiguar dónde estoy cuando estoy viendo eso. Así que todavía necesito una contraseña. Pero no tiene que ser tan larga porque es poco probable que alguien intente descifrarla. El verdadero problema es si recordé restablecer el televisor Roku cuando me fui del Airbnb. Ajá. Esa es una buena pregunta. Entonces, ¿qué hago? Por lo general, elijo una contraseña numérica o una contraseña alfabética o en minúsculas y la agrupo en grupos. Así que una clásica que haría es de 12 números separados por signos de menos o guiones. Eso significa que haré tres grupos de cuatro o cuatro grupos de tres dígitos. Así que mi contraseña será algo así como nueve tres siete guion tres uno dos guion tres

Preguntas y respuestas: contraseñas para controles remotos de TV y dispositivos de baja seguridad (1:52:10)

tres uno guion cuatro uno cinco. En este punto solo estoy eligiendo números al azar. No es una muy buena aleatoriedad, por cierto. Yo usaría un generador de números aleatorios en mi administrador de contraseñas. Le diría que me dé solo dígitos y que tenga una longitud de 12. Y luego lo escribiría con guiones en el medio, agrupado en bonitos grupos de cuatro, porque me resulta más fácil leerlo en una pantalla y escribirlo en un teclado. Y, por lo general, los números y el guion están en el mismo teclado y a una distancia muy corta, por lo que puedo hacerlo rápidamente o, mejor aún, muchos controles remotos permiten usar la parte numérica del teclado, que servía para... En los viejos tiempos, solíamos tener canales en nuestra televisión y esos canales se seleccionaban mediante el número de canal numérico. Sé que es una tecnología alucinante.

Así que muchos controles remotos tienen un teclado numérico. Así que esto, de nuevo, hace que sea mucho más fácil escribir una frase de contraseña. Gracias, Jeff. Esa fue una gran pregunta. Y una pregunta muy práctica sobre cómo equilibrar la seguridad. ¿De verdad, de verdad quieres tomarte toda esa molestia para proteger una cuenta que no es tan segura y donde el mayor riesgo es que olvides borrar o restablecer esa contraseña cuando te vayas del Airbnb y la dejes para que otras personas la encuentren, momento en el cual, eso puede ser un poco complicado? Una pregunta similar de Jeff. Ups. Oh no, no es Jeff. Lo siento, un segundo. Ahí vamos. ¿Funcionó? Hoy hay un poco de retraso en mis aplicaciones. ¿Qué tan seguro es usar solo el PIN de cuatro dígitos, como el que se usa en todas las tarjetas bancarias, por ejemplo?, pregunta Mike. Mike, eso depende,

depende de dónde puedas escribir ese PIN. Así que la razón por la que un PIN de cuatro dígitos es seguro en las tarjetas bancarias, es porque solo puedes escribirlo en un dispositivo de seguridad, como un teclado de PIN o un cajero automático. Estos dispositivos están diseñados para evitar que intentes más de un cierto número de veces. Y si son dispositivos supervisados, lo que significa que estás en la gasolinera, estás en la caja de un supermercado, lo que sea, hay una persona parada allí y si escribieras más de unas pocas veces. Pueden verte haciéndolo y llamarán a seguridad, si intentas escribir 4.000 combinaciones diferentes. Y cuando es un dispositivo no supervisado donde podrías simplemente sentarte allí e intentar durante horas y horas todas las combinaciones posibles, en realidad se bloqueará y se tragará tu tarjeta como sabes, con los cajeros automáticos. Así que

si lo escribo mal cuatro veces, o seis veces, o tres veces, dependiendo de la política del banco, hará "gulp" y se tragará mi tarjeta y no me dará otra oportunidad de intentarlo. Así que no es solo el PIN, es el contexto de cómo se usa ese PIN. Dónde se ingresa, cuántas veces puedes intentar y qué sucede si fallas en estos mecanismos de seguridad en capas. Así que sí, un PIN de cuatro dígitos es lo suficientemente seguro en el contexto de dispositivos de acceso controlado como cajeros automáticos y teclados de PIN, donde hay capas adicionales de seguridad, como tragarse tu tarjeta si lo escribes mal, o no dejarte intentar demasiadas veces. Creo que eso es bueno. Hemos cubierto muchos temas. Muchas gracias por todas estas excelentes preguntas. Gracias por dejar muy buenos comentarios. Cuéntame qué te gustó de

esta sesión en particular. Fue un poco diferente a las otras que hemos hecho. Cuéntame sobre qué más te gustaría aprender para ayudarte en este viaje de Bitcoin y cadenas de bloques abiertas. Y no lo olvides, tenemos varias de estas sesiones próximamente. Déjame mostrarte nuestros próximos eventos que se acercan, son: Conversaciones incómodas en las fiestas, Conversaciones incómodas en las fiestas. Ese es el próximo que se acerca. Voy a armarte con las respuestas correctas y también con historias divertidísimas de otras personas que actualmente comparten en los comentarios de Patreon y otras plataformas, sus conversaciones familiares incómodas en las fiestas. Principalmente sobre Bitcoin y cadenas de bloques abiertas, a veces sobre temas que lo hacen mucho más incómodo y que no cubriremos en la transmisión en vivo. Luego tenemos nuestras preguntas y respuestas de tema abierto de diciembre, donde puedes hacer cualquier pregunta y yo puedo elegir responderla. Y

Cierre (1:57:25)

luego, finalmente, tenemos nuestro evento Extravaganza de 2021. Así que, para enterarse de cuándo ocurren estos eventos y aprender sobre ellos, por favor suscríbanse a mi canal. Activen las notificaciones haciendo clic en el ícono de la campana, y de esa manera serán los primeros en enterarse de estos nuevos eventos. Gracias por acompañarme hoy; tuvimos a más de 300 personas en el canal en la transmisión en vivo de hoy que se unieron a nosotros para esta presentación de casi dos horas, pero teníamos mucho que cubrir. Ahora, mientras hacía esto, probablemente notaron que tengo una pila de libros de colores fantásticos en diferentes colores. Y bueno, aunque necesitarían la versión impresa de estos para disfrutar de los colores, en realidad pueden leer el contenido como un ebook. Y pueden conseguir ese ebook en mi tienda antonov.com/shop. También pueden conseguir tazas como esta. Y

por cierto, estas son tazas realmente fantásticas. Son grandes, son pesadas. Retienen el calor. Son muy difíciles de romper. Lo sé porque lo he intentado. Se me han caído varias veces y contienen mucho café, el cual todos necesitaremos para superar esas incómodas conversaciones de las fiestas. Así que, hasta el lunes, durante los próximos dos días, tenemos nuestra oferta de las fiestas, que les ofrece un 20% de descuento en todo. Una de las cosas que también pueden comprar es el taller para elegir su criptomoneda. Y el descuento del 20% se aplica a eso. La oferta de las fiestas de 2020 está disponible en la tienda, vayan a la página principal de la tienda para encontrar el cupón antonov.com/shop. No olviden dejar comentarios abajo para este video. Muchas gracias por mirar. Que tengan un fin de semana maravilloso. Adiós a todos.