Cómo evitar fraudes al instalar una Wallet bitcoin en tu Pc/Laptop

Sistema operativo Windows 10

Usar wallets ligeras de escritorio (PC/Laptop) para administrar BTC es muy común, son las preferidas de muchos porque aportan más “seguridad” que las wallets en teléfonos móviles, además, tienen la capacidad de funcionar como interfaz para hardware wallets. Entre las wallets de escritorio más reconocidas y recomendadas están Electrum, Wasabi, Exodus, Coinomi, etc. La elección depende de la necesidad del usuario, su nivel técnico y el grado de seguridad/privacidad que quiera conseguir.

Electrum es non-custodial y permite múltiples configuraciones, lo que la hace muy versátil y además es de código abierto (los desarrolladores publican el código fuente del programa cliente) cualquier desarrollador en el mundo puede auditar el código.

Las wallets de escritorio por lo general vienen para todos los sistemas operativos (Windows, linux y Mac) e instalarlas es relativamente sencillo, lo que comúnmente hace el usuario promedio es ir a la página web oficial de la wallet, da clic al botón “Download” descarga un archivo, lo ejecutan y listo la wallet es instalada. Con este método lograras instalar la wallet en tu computadora, pero estás obviando procedimientos de seguridad.

Veamos:

¿Cómo sabes si la página de donde descargas el archivo instalador de la wallet está o no comprometida (pirateada)?

¿Cómo sabes si el archivo que descargas está o no comprometido (pirateado)?

Si no conoces las respuestas a las preguntas anteriores es que estás obviando gran parte del procedimiento de seguridad y por lo tantos tus BTC pueden estar en riesgo.

La facilidad lleva a muchos a ignorar algunas alertas, por ejemplo, Electrum Wallet tiene el siguiente mensaje en su página web:

Advertencia: las versiones de Electrum anteriores a 3.3.4 son susceptibles de phishing . No descargue Electrum de otra fuente que no sea electrum.org, y aprenda a verificar las firmas GPG.

Si piensas que la seguridad de tus BTC es la misma con solo ir a la página web oficial y descargar desde allí el archivo que instalará la wallet en tu PC o laptop puedes parar la lectura aquí. Si quieres saber cómo hacer el procedimiento de seguridad completo este artículo/tutorial es para ti.

En este artículo/tutorial aprenderás:

1. Qué son las firmas GPG.

2. La importancia de verificar la firma GPG antes de instalar una wallet en tu PC o Laptop.

3. Cómo Verificar las firmas GPG antes de instalar una wallet en tu PC o Laptop.

Realizando el procedimiento de verificación completo estás agregando una capa de seguridad más a tus BTC.

Firmas GPG

Las firmas GPG son una prueba de que los archivos distribuidos han sido firmados por el propietario de la clave que firma. Por ejemplo, si el sitio web es comprometido y los archivos originales de Electrum wallet o cualquier otra wallet han sido reemplazados, la verificación de la firma fallará, porque el atacante no podrá crear firmas válidas.

Si deseas saber más de este tema puedes encontrar información aquí

Importancia de verificar firmas GPG

La verificación de la firma te permite agregar una capa de seguridad al descargar el archivo con el que instalarás la wallet en tu Pc o Laptop, es decir, el procedimiento de verificación de firmas te protege contra los sitios maliciosos.

Verificar las firmas GPG

El procedimiento que se mustra a continuación aplica para cualquier wallet bitcoin de escritorio, se realizara en lenguaje de linea de comando por ser más sencillo y seguro, se debe tener en cuenta que el procedimiento así como los comandos pueden variar según el sistema operativo que uses en tu Pc o Laptop.

Procedimiento para verificar firmas GPG antes de instalar Electrum Wallet

El procedimiento se realizará en Windows 10 bajo líneas de comando de Windows PowerShell.

Requerimiento Previo

Descarga e instala Gpg4win

Una implementación PGP comunmente usada para Windows es Gpg4win . empieza descargando el instalador desde la página principal, si vas al enlace verás algo así:

Elige una opción para realizar una donación si lo desea, o elige $0 y pulsar Download.

Debes tener activa en tu explorador de internet la opción de descarga para que el archivo se guarde sin ejecutarse.

El archivo se descargará en la ruta que tenga predeterminada, por lo general es en la carpeta Descargas..

Ahora debes verificar el valor hash del instalador . Piensa en un valor hash como un identificador inmutable y único que se puede asignar a cualquier archivo.

Los valores de hash para archivos se pueden calcular en Windows usando la utilidad CertUtil, que se ejecuta desde la aplicación Símbolo del sistema.

Símbolo del sistema es una aplicación en la que se pueden emitir comandos basados ​​en texto. Para acceder al símbolo del sistema, escribe “cmd” en la búsqueda de la barra de tareas de Windows y haz clic en la primera opción.

Verás una ventana casi vacía con un cursor parpadeante después de un mensaje (“>”). Los comandos se ingresan, en forma de texto, después de esta solicitud.

Desde el símbolo del sistema, ingresa el siguiente comando:

CertUtil -hashfile Downloads\{filename}

donde {filename}es el nombre del instalador de Gpg4win que descargaste.

En este caso es “gpg4win-3.1.11.exe” Por lo tanto, ingresa el siguiente comando en el símbolo del sistema para obtener el valor hash SHA1:

CertUtil -hashfile Downloads\gpg4win-3.1.11.exe

Verás lo siguiente en el terminal de comando:

Esta accion muestra el valor hash del instalador (6a8178004ee24e30dbeed3dc158231bf10eaf635). Luego debes comparar este valor con el valor hash SHA1 informado en el sitio web Gpg4win . Si los dos valores coinciden puedes instalar el Gpg4win .

Después de descargar y verificar el valor hash del instalador, haz doble clic en él, manten todos los valores predeterminados. El asistente de instalación debería finalizar sin problemas.

Verificación de Firma GPG antes de instalar Electrum Wallet

Lo que quieres lograr es descargar el software (archivo) para poder instalar la wallet en tu Pc o Laptop, para eso debes ir a la página web oficial de Electrum wallet y dar clic en Download

Verás lo siguiente:

Debes descargar el “Windows installer” y luego dar clic en “signature” y en “ThomasV.” obtendrás lo siguiente en 2 paginas web distintas:

Signature
ThomasV.

Ubicandote en cada una de las paginas anteriormente mostradas debes dar clic en el botón derecho del mouse y elegir “guardar como” verifica que los nombres de ambos archivos guardados finalicen en (.asc), te deberian quedar de la siguiente forma: electrum-3.3.8-setup.exe.asc y ThomasV.asc respectivamente, dar clic en “Guardar”.

Luego que se guarden los archivos de las firmas (electrum-3.3.8-setup.exe.asc y ThomasV.asc) y el ejecutable (electrum-3.3.8-setup.exe) es recomendable que crees una carpeta que puedes llamar electrum y colocar los tres archivos dentro de ella.

Sobre la ventana de la carpeta “electrum” que creaste y que contiene los 3 archivos debes pulsar Shift/botón derecho del mouse y seleccionar “Abrir la ventana de PowerShell aquí”, verás algo así:

Se abrirá la línea de comando de PowerShell

Escribe el siguiente comando:

dir
se verán los tres elementos dentro de la carpeta.

Escribe el siguiente comando para importar la firma dde ThomasV:

gpg --import ThomasV.asc

Verás lo siguiente:

la firma de ThomasV fue importada.

Escribe el siguiente comando para verificar la firma:

gpg --verify electrum-3.3.8-setup.exe.asc electrum-3.3.8-setup.exe

Verás lo siguiente:

La firma es correcta!, solo te quedara comparar la huella dactilar de la clave primaria con una entregada por el desarrollador ThomasV.

En el siguiente video de una conferencia en la que participa ThomasV se puede ver su huella dactilar.

video completo aquí

Si las huellas coinciden puedes instalar la wallet Electrum con el archivo ejecutable (electrum-3.3.8-setup.exe).

Si quieres saber cómo configurar o usar Electrum Wallet puedes ver el siguiente articulo de Arkad: Tutorial

Este proceso de verificación de firma GPG aplica para wallets como Wasabi o cualquier otra, incluso para la wallet full node de bitcoin Core, el procedimiento es el mismo.

El siguiente video también te puede ser útil:

Cryptogloria

Para la Verificación GPG en Linux puedes ver el siguiente video:

El laboratorio virtual Bitcoin

Aprender y enseñar sobre Bitcoin son de las actividades que más disfruto. Only-bitcoin.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store