Cómo evitar fraudes al instalar una Wallet bitcoin en tu Pc/Laptop
Sistema operativo Windows 10
Usar wallets ligeras de escritorio (PC/Laptop) para administrar BTC es muy común, son las preferidas de muchos porque aportan más “seguridad” que las wallets en teléfonos móviles, además, tienen la capacidad de funcionar como interfaz para hardware wallets. Entre las wallets de escritorio más reconocidas y recomendadas están Electrum, Wasabi, Exodus, Coinomi, etc. La elección depende de la necesidad del usuario, su nivel técnico y el grado de seguridad/privacidad que quiera conseguir.
Electrum es non-custodial y permite múltiples configuraciones, lo que la hace muy versátil y además es de código abierto (los desarrolladores publican el código fuente del programa cliente) cualquier desarrollador en el mundo puede auditar el código.
Las wallets de escritorio por lo general vienen para todos los sistemas operativos (Windows, linux y Mac) e instalarlas es relativamente sencillo, lo que comúnmente hace el usuario promedio es ir a la página web oficial de la wallet, da clic al botón “Download” descarga un archivo, lo ejecutan y listo la wallet es instalada. Con este método lograras instalar la wallet en tu computadora, pero estás obviando procedimientos de seguridad.
Veamos:
¿Cómo sabes si la página de donde descargas el archivo instalador de la wallet está o no comprometida (pirateada)?
¿Cómo sabes si el archivo que descargas está o no comprometido (pirateado)?
Si no conoces las respuestas a las preguntas anteriores es que estás obviando gran parte del procedimiento de seguridad y por lo tantos tus BTC pueden estar en riesgo.
La facilidad lleva a muchos a ignorar algunas alertas, por ejemplo, Electrum Wallet tiene el siguiente mensaje en su página web:
Advertencia: las versiones de Electrum anteriores a 3.3.4 son susceptibles de phishing . No descargue Electrum de otra fuente que no sea electrum.org, y aprenda a verificar las firmas GPG.
Si piensas que la seguridad de tus BTC es la misma con solo ir a la página web oficial y descargar desde allí el archivo que instalará la wallet en tu PC o laptop puedes parar la lectura aquí. Si quieres saber cómo hacer el procedimiento de seguridad completo este artículo/tutorial es para ti.
En este artículo/tutorial aprenderás:
1. Qué son las firmas GPG.
2. La importancia de verificar la firma GPG antes de instalar una wallet en tu PC o Laptop.
3. Cómo Verificar las firmas GPG antes de instalar una wallet en tu PC o Laptop.
Realizando el procedimiento de verificación completo estás agregando una capa de seguridad más a tus BTC.
Firmas GPG
Las firmas GPG son una prueba de que los archivos distribuidos han sido firmados por el propietario de la clave que firma. Por ejemplo, si el sitio web es comprometido y los archivos originales de Electrum wallet o cualquier otra wallet han sido reemplazados, la verificación de la firma fallará, porque el atacante no podrá crear firmas válidas.
Si deseas saber más de este tema puedes encontrar información aquí
Importancia de verificar firmas GPG
La verificación de la firma te permite agregar una capa de seguridad al descargar el archivo con el que instalarás la wallet en tu Pc o Laptop, es decir, el procedimiento de verificación de firmas te protege contra los sitios maliciosos.
Verificar las firmas GPG
El procedimiento que se mustra a continuación aplica para cualquier wallet bitcoin de escritorio, se realizara en lenguaje de linea de comando por ser más sencillo y seguro, se debe tener en cuenta que el procedimiento así como los comandos pueden variar según el sistema operativo que uses en tu Pc o Laptop.
Procedimiento para verificar firmas GPG antes de instalar Electrum Wallet
El procedimiento se realizará en Windows 10 bajo líneas de comando de Windows PowerShell.
Requerimiento Previo
Descarga e instala Gpg4win
Una implementación PGP comunmente usada para Windows es Gpg4win . empieza descargando el instalador desde la página principal, si vas al enlace verás algo así:
Elige una opción para realizar una donación si lo desea, o elige $0 y pulsar Download.
Debes tener activa en tu explorador de internet la opción de descarga para que el archivo se guarde sin ejecutarse.
Ahora debes verificar el valor hash del instalador . Piensa en un valor hash como un identificador inmutable y único que se puede asignar a cualquier archivo.
Los valores de hash para archivos se pueden calcular en Windows usando la utilidad CertUtil, que se ejecuta desde la aplicación Símbolo del sistema.
Símbolo del sistema es una aplicación en la que se pueden emitir comandos basados en texto. Para acceder al símbolo del sistema, escribe “cmd” en la búsqueda de la barra de tareas de Windows y haz clic en la primera opción.
Verás una ventana casi vacía con un cursor parpadeante después de un mensaje (“>”). Los comandos se ingresan, en forma de texto, después de esta solicitud.
Desde el símbolo del sistema, ingresa el siguiente comando:
CertUtil -hashfile Downloads\{filename}donde {filename}es el nombre del instalador de Gpg4win que descargaste.
En este caso es “gpg4win-3.1.11.exe” Por lo tanto, ingresa el siguiente comando en el símbolo del sistema para obtener el valor hash SHA1:
CertUtil -hashfile Downloads\gpg4win-3.1.11.exeVerás lo siguiente en el terminal de comando:
Esta accion muestra el valor hash del instalador (6a8178004ee24e30dbeed3dc158231bf10eaf635). Luego debes comparar este valor con el valor hash SHA1 informado en el sitio web Gpg4win . Si los dos valores coinciden puedes instalar el Gpg4win .
Después de descargar y verificar el valor hash del instalador, haz doble clic en él, manten todos los valores predeterminados. El asistente de instalación debería finalizar sin problemas.
Verificación de Firma GPG antes de instalar Electrum Wallet
Lo que quieres lograr es descargar el software (archivo) para poder instalar la wallet en tu Pc o Laptop, para eso debes ir a la página web oficial de Electrum wallet y dar clic en Download
Verás lo siguiente:
Debes descargar el “Windows installer” y luego dar clic en “signature” y en “ThomasV.” obtendrás lo siguiente en 2 paginas web distintas:
Ubicandote en cada una de las paginas anteriormente mostradas debes dar clic en el botón derecho del mouse y elegir “guardar como” verifica que los nombres de ambos archivos guardados finalicen en (.asc), te deberian quedar de la siguiente forma: electrum-3.3.8-setup.exe.asc y ThomasV.asc respectivamente, dar clic en “Guardar”.
Luego que se guarden los archivos de las firmas (electrum-3.3.8-setup.exe.asc y ThomasV.asc) y el ejecutable (electrum-3.3.8-setup.exe) es recomendable que crees una carpeta que puedes llamar electrum y colocar los tres archivos dentro de ella.
Sobre la ventana de la carpeta “electrum” que creaste y que contiene los 3 archivos debes pulsar Shift/botón derecho del mouse y seleccionar “Abrir la ventana de PowerShell aquí”, verás algo así:
Se abrirá la línea de comando de PowerShell
Escribe el siguiente comando:
dir
Escribe el siguiente comando para importar la firma dde ThomasV:
gpg --import ThomasV.ascVerás lo siguiente:
Escribe el siguiente comando para verificar la firma:
gpg --verify electrum-3.3.8-setup.exe.asc electrum-3.3.8-setup.exeVerás lo siguiente:
La firma es correcta!, solo te quedara comparar la huella dactilar de la clave primaria con una entregada por el desarrollador ThomasV.
En el siguiente video de una conferencia en la que participa ThomasV se puede ver su huella dactilar.
Si las huellas coinciden puedes instalar la wallet Electrum con el archivo ejecutable (electrum-3.3.8-setup.exe).
Si quieres saber cómo configurar o usar Electrum Wallet puedes ver el siguiente articulo de Arkad: Tutorial
Este proceso de verificación de firma GPG aplica para wallets como Wasabi o cualquier otra, incluso para la wallet full node de bitcoin Core, el procedimiento es el mismo.
El siguiente video también te puede ser útil:
Para la Verificación GPG en Linux puedes ver el siguiente video:
No Confíes, Verifica
Si este artículo/tutorial te ayudó, sientes que has aprendido algo nuevo y quieres apoyar mi trabajo en temas de “Seguridad y Privacidad en el uso de Bitcoin” puedes hacer una libre aportación en cualquiera de los siguientes enlaces:
Para Onchain. puedes hacerlo desde Samourai wallet o mejor con Sparrow Wallet (te costara solo 546 sats la tx de notificacion y luego puedes enviar de manera privada cada vez que quieras). Gracias!!!
Twitter:
