Identidad Web3 y Seguridad Web3: Lo que hay que saber
Para este nuevo episodio de #Braavosianstalk, nuestro anfitrión Motty Lavie, Fundador y CEO de Braavos, y Bertrand Blancheton, Jefe de Marketing, están acompañados por Fricoben CEO de StarkNet.ID . Esta serie de preguntas y respuestas aclara el concepto de Identidad Web3 y explica por qué es importante combinarlo con una Cartera de Contratos Inteligentes. También debaten conceptos técnicos y exploran la evolución de StarkNet.
Preguntas generales
– ¿Puede hacer una introducción a la identidad Web3 en general?
– ¿Es importante el concepto de identidad web3 a la hora de crear un monedero?
– ¿Cuáles son los elementos que pueden constituir una criptoidentidad?
– Al crear un nuevo nombre de dominio, ¿debo considerar la posibilidad de tener varios identificadores?
– ¿Son los nombres de dominio otra capa de seguridad además de la pirámide de seguridad de abstracción de cuentas?
– ¿Cómo podemos diferenciar lo que es verdadera autenticación de dos factores y lo que no lo es?
– ¿Puede explicar cómo actúan los hackers cuando intentan piratear cuentas de usuario?
– Si alguien encuentra mi frase semilla, ¿puede robar mis fondos cuando tengo el Hardware Signer activado?
Bert:
Q: Mucha gente no es consciente de lo importante que es el concepto de identidad en las criptomonedas. ¿Puede presentarnos la identidad Web3 en general?
Ben:
La identidad Web3 es actualmente uno de los mayores productos que encajan en el mercado de las criptomonedas. Esto se debe a que la reciente carrera alcista ha demostrado que la gente está interesada en nombres de usuario a través de nombres de dominio y NFT para utilizar como sus fotos de perfil, así como credenciales vinculadas a tokens con alma. Todos estos elementos conforman su identidad Web3, ya que representan datos que desea incluir en su perfil. Nuestro objetivo en StarkNet.ID es permitir a los usuarios crear un documento de identidad o pasaporte que unifique todos los datos que representan su identidad en la cadena. En la actualidad nos centramos principalmente en el servicio de nombres de StarkNet, y tenemos previsto centrarnos posteriormente en permitir a los usuarios mostrar sus imágenes de perfil de NFT en todos los protocolos de StarkNet, incluidos los monederos.
En esencia, la identidad Web3 se refiere a todos los datos que quieres compartir con el mundo y a todos los datos que te califican como usuario. Esto incluye el nombre y la imagen que le representan, así como toda su actividad en la cadena de bloques.
Bert:
Q: Motty, ¿cuál es tu punto de vista sobre lo que ha explicado Fricoben? ¿Es importante la identidad Web3 a la hora de crear un monedero?
Motty:
La identidad Web3 es increíblemente importante a la hora de crear una cartera, especialmente para nosotros en Braavos. Como puede atestiguar Fricoben, yo era un gran partidario de tener un ENS en StarkNet porque en Braavos todo consiste en ofrecer la mejor experiencia de usuario posible. Nos volcamos en cuerpo y alma para garantizar que los fondos de nuestros usuarios estén seguros y protegidos frente a ataques de phishing o software malicioso, al tiempo que les ayudamos a evitar cometer errores.
Para ser franco, realizar transacciones con protocolos u otros monederos utilizando direcciones de 62 caracteres en StarkNet no es nada fácil. Por otro lado, utilizar un nombre de dominio es mucho más fácil de usar porque es más fácil de recordar y menos propenso a errores tipográficos. Por eso somos grandes admiradores del proyecto StarkNet.ID, y por eso hemos decidido recientemente regalar a todos y cada uno de los usuarios de Braavos un subdominio gratuito.
Bert:
P: Hemos hablado de nombres de dominio y fotos de perfil, pero la identidad es un concepto mucho más amplio. ¿Qué otros elementos pueden constituir una criptoidentidad?
Ben:
Varios elementos más pueden constituir una criptoidentidad completa, pero me centraré en cuatro en los que trabajaremos en los próximos meses y años. El primero, como ya sabe, es el nombre de dominio. Esta función ya está disponible en mainnet y seguimos trabajando para mejorarla. El segundo elemento es la foto de perfil, que fue un gran éxito durante la última racha alcista y sigue siendo popular hoy en día, ya que las mayores colecciones de NFT siguen siendo fotos de perfil. Este es un aspecto importante de la identidad web3, y StarkNet.ID pronto integrará fotos de perfil vinculadas a su nombre de dominio, de modo que cada vez que alguien busque su nombre de dominio, también aparecerá su foto de perfil.
Por ejemplo, si ahora mismo visitas tu monedero de Braavos, podrás ver la imagen de esa identidad en la parte izquierda. Nuestro objetivo es que los usuarios puedan cambiar esta imagen con un NFT de StarkNet. Si tienes, por ejemplo, un pato de la colección Briq, podrás configurar tu pato como imagen de perfil en StarkNet.ID, de modo que todos los protocolos que ya utilizan nombres .stark también mostrarán las imágenes de perfil de los usuarios de StarkNet.ID.
En tercer lugar, pretendemos añadir credenciales con Soulbound Tokens (SBTs) que puedan servir como recompensas para las misiones, así como diplomas, atestados, etc., de forma similar a lo que se hace en la comunidad de Braavos.
Y por último, pero no por ello menos importante, queremos añadir la prueba de humanidad y KYC porque creemos que estas dos características serán importantes en los próximos años. Esto se debe a la regulación, pero también al DAO de StarkNet.ID y a nuestro deseo de incorporar la resistencia Sybil a los votos.
Así que, en resumen, estamos trabajando en cuatro elementos para una identidad cripto web3 completa: nombres de dominio, NFT con foto de perfil, credenciales con SBT y prueba de humanidad.
Bert:
P: Al comprar o crear un nuevo nombre de dominio hoy en día, ¿debería considerar la posibilidad de tener dos nombres de dominio diferentes, uno para mi identidad criptográfica Web3 y otro más profesional?
Ben:
Puedes hacer lo que quieras; no hay reglas rígidas. Incluso puedes utilizar subdominios para crear varias identidades. Por ejemplo, tengo tres carteras, así que tengo ‘fricoben.stark’ como mi cartera pública, ‘deployfricoben.stark’ para mi cartera de desarrollo que despliega todos los contratos que estoy llamando, y una cartera privada para todas mis inversiones de riesgo. Así, puede tener varias identidades a través de diferentes nombres de dominio o subdominios.
Bert:
P: Hablemos de seguridad. ¿Son los nombres de dominio otra capa de protección, además de la pirámide de seguridad de abstracción de cuentas?
Motty:
Estas dos características son complementarias. Los nombres de dominio son excelentes para establecer la identidad Web3 e interactuar de forma legible para el ser humano. Por ejemplo, si necesito enviar dinero a Ben, puedo hacerlo fácilmente a «fricoben.stark» en lugar de pedirle que me envíe una dirección muy larga. Esto mejora notablemente la experiencia del usuario y reduce el número de errores.
En cuanto a la seguridad, hemos utilizado la potencia de Braavos como monedero inteligente para introducir la autenticación multifactor real en el espacio criptográfico. Mientras que monederos como Gnosis y otros tienen múltiples firmantes, sólo utilizan un factor – «algo que sabes» – como dos autenticadores diferentes.
Sin embargo, existen tres categorías principales de autenticación:
- «Algo que sepas», como una contraseña o frase semilla.
- «Algo que tienes», como un dispositivo físico o una llave USB, etc.
- «Algo que eres», relacionado con tu ser físico, como tu cara o tu huella dactilar.
Esto es cada vez más común en el mundo tradicional de Web2 y TradFi, pero no existe en criptografía porque la mayoría de las cadenas de bloques no pueden verificar estas cosas en la cadena.
No obstante, en Braavos pudimos introducir una auténtica autenticación multifactor con la ayuda de la abstracción de cuentas, los bajos precios de la gasolina y una criptografía inteligente. En lugar de confiar únicamente en «algo que sabes», ofrecemos las tres categorías de autenticación a los usuarios de criptomonedas. Este es un cambio innovador para el espacio, y cuando se combina con una experiencia de usuario fluida, lo que significa que cuando se activa el Hardware Signer con autenticación de dos factores, firmar transacciones es lo mismo que pagar con Apple Pay o Google Pay. Creo que tiene potencial para convertirse en un verdadero ganador y, sin duda, mejorar la experiencia general de los usuarios de criptomonedas.
Bert:
P: ¿Cómo pueden diferenciar los usuarios entre la autenticación de dos factores verdadera y la que no lo es?
Motty:
A la hora de diferenciar entre tipos de autenticación, los usuarios deben preguntarse: «¿Es algo que sé, algo que tengo o algo que soy?». Esta es la forma más fácil de distinguir entre los distintos tipos de autenticación. Por ejemplo, si se trata de una contraseña o una frase semilla, entra dentro de «algo que sabes» en lugar de «algo que tienes» porque otra persona también podría conocerla potencialmente. Si se trata de un dispositivo físico, entonces entra dentro de «algo que tienes», porque si tú lo tienes en tu poder, nadie más lo tiene en el suyo. Y si es «algo que tú eres», como tu cara o tu huella dactilar, es único para ti, lo que hace «misión imposible» que otra persona lo tenga. Con este enfoque, los usuarios pueden comprender mejor los distintos tipos de autenticación y abogar por una verdadera autenticación de dos factores que incluya al menos dos de estas categorías.
Es importante señalar que el Hardware Signer ya es una autenticación de dos factores, ya que utiliza «algo que tienes» (el chip de seguridad de tu dispositivo móvil) y «algo que eres» (aprobación biométrica con identificación facial o reconocimiento de huellas dactilares). Esto hace que el monedero criptográfico Braavos sea 2FA. Cuando se añada la firma de portátiles a Braavos, se introducirá otro factor de autenticación (algo que ya sabes), y los usuarios dispondrán de una criptocartera 3FA: autenticación de tres factores de forma totalmente descentralizada.
Bert:
Q: Nunca mencionamos a los propios hackers. ¿Puede explicar cómo actúan cuando intentan piratear las cuentas de los usuarios?
Motty:
En el mundo de las criptomonedas, los hackers utilizan diferentes tácticas para robar los fondos de los usuarios. Los métodos más utilizados son la ingeniería social y los ataques de malware. Los ataques de ingeniería social suelen denominarse «phishing de frase semilla», en los que el atacante crea un sitio web falso que imita una dApp popular como Uniswap o Sushiswap. Cuando el usuario inicia sesión, se le pide que introduzca su frase semilla y, lamentablemente, muchos usuarios caen en este truco. Este error no es culpa del usuario; más bien, es un fallo de la industria criptográfica a la hora de ofrecer mejores soluciones de seguridad a los usuarios.
El segundo vector de ataque más común es el malware. El usuario puede descargar involuntariamente malware de un programa falso o de un archivo que le envíe un atacante. Una vez que el usuario abre el archivo, el malware se ejecuta en segundo plano, buscando el monedero y robando la frase semilla.
Con Hardware Signer y Multi-Signer (2FA y 3FA), estos ataques no tienen forma de tener éxito. Como el usuario ni siquiera conoce su clave privada, no puede ser engañado para que se la dé a los atacantes. Incluso si el usuario da su frase semilla, el atacante necesita el dispositivo móvil del usuario y la identidad biométrica Web3 para completar la transacción.
Bert:
P: Entonces, si alguien encuentra mi frase semilla, ¿puede robar mis fondos cuando habilito el Hardware Signer?
Motty:
Aún así no podrían robarte los fondos aunque tuvieran tu frase semilla. Necesitarían hacerse con tu dispositivo físico + identidad biométrica para firmar las transacciones, que se verifican en la blockchain. Esto significa que el Hardware Signer proporciona una capa adicional de seguridad, por lo que es extremadamente difícil para los hackers acceder a sus fondos.
La única acción que un hacker podría realizar con la frase semilla es solicitar la eliminación del Hardware Signer de su cuenta. Sin embargo, esta solicitud conlleva un retraso de cuatro días, durante los cuales recibirás notificaciones de que alguien está intentando eliminar el Hardware Signer de tu cuenta. Si esto ocurre, puede cancelar esta solicitud y transferir sus fondos a un nuevo monedero. El objetivo de esta solicitud es permitirle recuperar sus fondos en caso de pérdida, robo o daño irreparable de su dispositivo. El retardo será configurable en el futuro.
Para unirte a la Nación Braavos y compartir tus opiniones, te animamos a que te conectes a nuestro Discord y Twitter para estar en contacto y enterarte de las últimas noticias.
Consigue el monedero inteligente criptográfico Braavos con 2FA (autenticación de 2 factores) o 3FA (autenticación de 3 factores) y benefíciate de Hardware Signer y Multi-Signer descargando el monedero inteligente Braavos para StarkNet en el móvil: Android y iOSy en varios navegadores:Extensión Braavos para Chrome,Complemento Braavos para Firefox, y másUna vez más, muchas gracias a Fricoben Director General de StarkNet.ID por asistir a esta apasionante charla.
