Seguridad en la Web3
Web3 es una oportunidad única en una generación para cambiar la forma en que los ciudadanos del mundo interactúan, realizan transacciones y se entretienen. Como en cualquier nuevo viaje, participar en este movimiento conlleva riesgos.
Habrá personas que intentarán engañarte, como los que, con malas intenciones, se aprovechan de los turistas ingenuos. Las estafas y los robos no son nada nuevo, han existido durante siglos y simplemente se presentan en las industrias de diferentes formas. Lo que es reconfortante a pesar de ese hecho es cómo en la Web3 tienes el control y, con conciencia, puedes aprender a navegar de manera segura en este nuevo mundo gracias a las mejores prácticas. En esta lección, analizaremos algunos de los principios clave que debes interiorizar antes de embarcarte en la odisea de la Web3.
Vectores de ataque y cómo evitarlos
¿Recuerdas nuestra lección sobre la custodia propia ? Pues, bien, existe una razón por la que lo abordamos al principio. Una de las formas más comunes en que se explota a los usuarios en la Web3 es mientras navegan por la transición de un modelo mental de la Web2 (tienes un nombre de usuario y una contraseña y confías su custodia a una plataforma) a un modelo de autocustodia de la Web3. La autocustodia, aunque sea poderosa, no está exenta de riesgos.
Si te has olvidado la contraseña de tu aplicación del banco en línea, tu banco, como custodio de tu cuenta y de tu dinero, podría restablecerla en tu nombre, siempre y cuando puedas demostrar tu identidad. Sin embargo, con la autocustodia tú eres quien tiene el único medio para probar tu identidad: la frase secreta de recuperación (o frase semilla). Nadie más puede restablecer tu cuenta.
La frase secreta de recuperación (SRP) debes conocerla tú y nadie más.
Nunca la compartas. No nos cansaremos de repetirlo.
Engañar a los usuarios de la Web3 para que revelen o expongan su SRP es una de las formas más lucrativas de operar de los estafadores. Ten siempre mucho cuidado con cualquiera que te la pida. MetaMask nunca lo hará.
No es casualidad que el otro principal vector de ataque consista también en capitalizar los riesgos de la autocustodia. Se trata de cómo usas tu monedero de MetaMask para otorgar permisos a las aplicaciones descentralizadas (dapps) con las que interactúas.
Como hemos explorado en el Qué es una billetera de criptomonedas lección, tu monedero es fundamentalmente una herramienta para gestionar tu identidad y permisos. Una vez que hayas utilizado tu monedero para firmar permisos a un tercero, pasan a tener tu consentimiento inmutable para hacer lo que sea que hayan solicitado. Por tanto, debes tener especial cuidado a la hora de conceder permisos.
Uno de los permisos más comunes que firmarás en MetaMask es la aprobación de un token. Estas transacciones se presentan de muchas formas, pero generalmente le otorgan a la dapp solicitante permiso para acceder a una determinada cantidad de tokens o NFT. Por desgracia, los números hexadecimales largos y el código no son particularmente legibles por los humanos, lo que juega a favor de los estafadores: es más fácil persuadirte para que apruebes una transacción maliciosa si no entiendes lo que implica. Otra táctica común es solicitar acceso ilimitado a un token, por lo que una vez aprobado, la dapp puede eliminar todo lo que desee de tu cuenta, ya que técnicamente se le otorgó permiso para hacerlo. Si la dapp es maliciosa, tu cuenta se vaciará.
Las aprobaciones y los permisos son un tema complejo y en desarrollo. Sin embargo, si hay una cosa que debes recordar es la siguiente: nunca apruebes una transacción propuesta por una dapp sospechosa y, si tienes dudas, no les des acceso ilimitado a un token.
Para obtener más información sobre la aprobación de tokens, consulta los recursos en la sección Profundizar.
No caigas en la trampa
Puedes aumentar significativamente tu seguridad en la Web3 si aprendes a reconocer las señales reveladoras de la actividad maliciosa. Los estafadores se diferencian de muchas maneras, tanto deliberada como inadvertidamente. A continuación, mostramos algunas de ellas:
Demandas urgentes: usar la presión del tiempo para crear urgencia con plazos o fechas límite
FOMO: promesas de ganancias poco realistas, distribuciones o listas de permitidos
Suplantación de identidad: imitación de protocolos, personas y proyectos reconocidos
Poca profesionalidad: errores gramaticales y de diseño web o imagen de marca poco profesional en general
Mensajes inesperados: peticiones de dinero, entusiasmo excesivo y presión por contar con tu participación.
Recuerda siempre: si algo parece demasiado bueno como para ser cierto, probablemente no lo sea.
Monederos físicos: una capa adicional de seguridad
La autocustodia implica implementar tu propia seguridad. Nadie más puede hacerlo por ti. Nadie puede hacer una copia de seguridad de tu cuenta si pierdes el acceso a ella ni recuperar tus fondos si te roban tus tokens. Solo tú y quien tenga acceso a tu frase secreta de recuperación (SRP). Es una gran responsabilidad, pero tienes el honor de conocerla y experimentarla a medida que la Web3 se va estableciendo en todo el mundo.
MetaMask prioriza la seguridad del usuario por encima de todo, tal y como puedes comprobar con el uso del monedero en sí, en el que se proporcionan advertencias cuando estás a punto de hacer algo arriesgado; el desarrollo de herramientas como LavaMoat, que garantizan la seguridad del propio código, y esfuerzos educativos como este. También hay otras opciones disponibles que añaden otra capa de seguridad entre los estafadores y tú.
Hazte con monederos físicos: dispositivos externos que protegen las claves privadas de tus cuentas. Están desconectados de otras acciones en línea que sueles hacer en el teléfono o el portátil, como consultar el correo electrónico, descargar aplicaciones y navegar por Internet para ver divertidos vídeos de gatos.
Puedes conectar estos monederos físicos con MetaMask para ganar flexibilidad mientras realizas actividades en la Web3. Explora dapps con MetaMask y firma transacciones en el monedero físico.
La combinación de los monederos físicos con MetaMask (un software monedero) te permite mejorar la seguridad a medida que asumes más responsabilidad en tu camino hacia la autocustodia.
Seguridad en la Web3
2:00
restante para reclamar esta oferta por tiempo limitado
Intentemos replantear tu ETH, elige tu proveedor de staking preferido
Recompensas más altas
Mega Staked ETH
mgETH
23.68% rewards
Recompensas más altas
Lido Staked ETH
stETH
6.68% rewards
Recompensas más altas
Rocket Pool Staked ETH
rETH
5.83% rewards
- 01
La custodia propia, a pesar de su potencial, entraña riesgos y requiere medidas de seguridad adecuadas por mi parte
- 02
Los dos ataques de la Web3 a los que podrías enfrentarte son estafadores que intenten obtener tu frase secreta de recuperación y aprobaciones de tokens no deseadas por mi parte
- 03
Un monedero físico es un buen primer paso para mejorar la seguridad de mi Web3.
¿Listo para dar el siguiente paso?
Explorar MetaMask