Seguridad en blockchain.info.

[GreenMatrix]

Es seguro nuestro wallet en blockchain.info?
Ultimamente estan ocurriendo cosas y me preguntaba si los que tienen bitcoins en sus wallets pueden estar comprometidos de alguna manera.
Yo personalmente tengo algunos satoshi allí para trastear un poco pero me sabria mal perderlos.Tengo el factor doble activado y la doble contraseña para envio.
No se.....que opinais vosotros?
Un saludo y pasad buen dia!!!

[okae]

bueno no hay nada seguro al 100% eso lo tengo bastante claro y no vamos a hablar de la muerte por que no es el caso .

que si blockchain es seguro? hombre, es bastante seguro, que si yo lo utilizaría para tener grandes cantidades de bitcoins allí, pues no, como tu bien dices usa lo para mover pequeñas cantidades y ya esta, pero esto es como todo, es como el que usa exchanges para tradear, tendrás todas tus bitcoins allí? yo jamas tendría todos los huevos en el mismo cesto no se si me entiendes...

Usa esos servicios siempre que los necesites, pero el groso de tu dinero en tu wallet y bien protegidos

[dserrano5]

No se.....que opinais vosotros?

Opino que bc.info es uno de los puntos más calientes de la red ahora mismo. Alguien con acceso de escritura al servidor web puede reemplazar el javascript y hacerse con todas las coins de los usuarios que accedan después del hack. Más que probablemente, hay gente intentándolo en este preciso momento. Es cuestión de tiempo que caiga. En bc.info no hay cartera fría, no hay cartera en primer lugar (las coins no las guardan ellos), por lo que un ataque de estas características no tiene la ventaja de estar limitado por el contenido del hot wallet. Según uno entre, sus claves privadas quedarían expuestas.

Un nodo es el sitio donde tener las coins. Tal como se ha visto después del soft fork del BIP 66, los SPV también están sujetos a problemas.

[elbill]

No se.....que opinais vosotros?

Opino que bc.info es uno de los puntos más calientes de la red ahora mismo. Alguien con acceso de escritura al servidor web puede reemplazar el javascript y hacerse con todas las coins de los usuarios que accedan después del hack. Más que probablemente, hay gente intentándolo en este preciso momento. Es cuestión de tiempo que caiga. En bc.info no hay cartera fría, no hay cartera en primer lugar (las coins no las guardan ellos), por lo que un ataque de estas características no tiene la ventaja de estar limitado por el contenido del hot wallet. Según uno entre, sus claves privadas quedarían expuestas.

Un nodo es el sitio donde tener las coins. Tal como se ha visto después del soft fork del BIP 66, los SPV también están sujetos a problemas.

Hace un par de años decías algo muy parecido te conteste algo parecido a lo de hoy y aquí estamos sin problemas. Blockchain tiene una APP para chrome y firefox, que evitaría ese supuesto, también han explicado que controlan el código del sitio para detectar cualquier cambio, y en el hipotético caso de que todo falle y eso ocurriese, y yo por ejemplo entrase via web con el javascript activo....El hacker aún así necesitaría mi contraseña secundaría sin la cual no podría acceder a los fondos.


¿Y si blockchain desaparece? Tras cada login te envían un backup a donde lo configures, con multibit se puede importar.


Dicho todo lo anterior, ¿es posible que pueda fallar a pesar de todo? Sí, evidentemente. Pero es muy improbable. Aún así lógicamente no es recomendable usarlo para grandes cantidades.

[dserrano5]

Hace un par de años decías algo muy parecido te conteste algo parecido a lo de hoy y aquí estamos sin problemas.

Bueno, no lo digo solo yo:



Que a día de hoy estemos sin problemas no garantiza que mañana no vaya a haberlos. Y una vez los haya y la gente se encuentre sin coins, ya no hay vuelta atrás.

[franckuestein]

No se.....que opinais vosotros?

En mi opinión es bastante sencillo
¿Quieres tener el control total de tus bitcoins en una wallet instalada en tu pc o prefieres que estén depositados en un servicio de terceros?

[principiante]

Un nodo es el sitio donde tener las coins. Tal como se ha visto después del soft fork del BIP 66, los SPV también están sujetos a problemas.

Hola. Disculpá Dserrano, pero qué es el soft fork del BIP66 y a que te refieres con los SPV.

[erizo]

No se.....que opinais vosotros?

En mi opinión es bastante sencillo
¿Quieres tener el control total de tus bitcoins en una wallet instalada en tu pc o prefieres que estén depositados en un servicio de terceros?

No es así, ya lo he dicho algunas veces, Blockchain.info no guarda las claves, el proceso de cifrado/descifrado de las wallet lo hace un script en el navegador del cliente, los de Blockchain.info no las pueden ver, ni las almacenan.

Tú puedes descargarte la wallet y, una vez cerrada la página, pues la tienes con la misma seguridad que en Bitcoin QT.

El problema, como dice deserrano5, es que si alguien llega a controlar maliciosamente blockchain.info podría hacer que el script de cifrado/descriptado, te birlase las claves. Bien, pero un problema así sería complicado de darse porque, primero auditan los scripts, y en segundo lugar no sería un "vaciado" al estilo de los exchanges (esos sí que son infumables, sin excepción alguna) porque sólo afectaría a los usarios, a medida que se conectasen y, aún a éstos, sólo a los que no tuviesen el segundo factor activado, por lo que sería muy lento, lo que daría lugar a muchas alarmas y a que se pudiese parar pronto.

Yo hace mucho que uso blockchain.info en combinación con Multibit y estoy muy muy satisfecho. Este cliente lo uso más que nada cuando cae blockchain.info. Cuando más lo he usado, fue el año pasado cuando blockchain.info tuvo un problema con el generador de números aleatorios, y se comprometió la seguridad de las claves de algunas carteras, pero sin consecuencias irreparables.

Para evitar grandes pérdidas si se diese el caso improbable de que blockchain.info se viese comprometido y, además, yo estuviese entrando en una de mis carteras ese preciso momento, tengo mis BTCs repartidos en varias carteras, ninguna de más de 0.4 BTC como mucho.

Seguramente no tengo tantos BTC como algunos de esta página y no tengo paranoias de seguridad, con PC's o discos duros guardados en cajas fuertes y totalmente aislados de internet. Me limito a usar TrueCrypt para encriptar mis wallets, un buen antivirus, prácticas higiénicas y tengo un sistema nemotécnico de contraseñas. Todo ello me parece razonablemente seguro y puedo disponer instantaneamente de mis BTCs, para comprar o vender, lo que, dicho sea de paso, a veces es maaaaalo muuuuuuy malo

[franckuestein]

No se.....que opinais vosotros?

En mi opinión es bastante sencillo
¿Quieres tener el control total de tus bitcoins en una wallet instalada en tu pc o prefieres que estén depositados en un servicio de terceros?

No es así, ya lo he dicho algunas veces, Blockchain.info no guarda las claves, el proceso de cifrado/descifrado de las wallet lo hace un script en el navegador del cliente, los de Blockchain.info no las pueden ver, ni las almacenan.

Crearte una online wallet directamente en blockchain.info tiene sus problemas, sino no se habrían producido los robos de hace unos meses.

Blockchain.info reportó problemas de seguridad en el proceso de actualización de sus servicios que provocaron el robo de bastantes bitcoins de sus usuarios:
https://www.cryptocoinsnews.com/gentleman-hacker-returns-stolen-bitcoins-blockchain-info
http://www.telegraph.co.uk/technology/internet-security/11282783/Bitcoins-stolen-as-Blockchain.info-admits-security-flaw.html

[erizo]

No se.....que opinais vosotros?

En mi opinión es bastante sencillo
¿Quieres tener el control total de tus bitcoins en una wallet instalada en tu pc o prefieres que estén depositados en un servicio de terceros?

No es así, ya lo he dicho algunas veces, Blockchain.info no guarda las claves, el proceso de cifrado/descifrado de las wallet lo hace un script en el navegador del cliente, los de Blockchain.info no las pueden ver, ni las almacenan.

Crearte una online wallet directamente en blockchain.info tiene sus problemas, sino no se habrían producido los robos de hace unos meses.

Blockchain.info reportó problemas de seguridad en el proceso de actualización de sus servicios que provocaron el robo de bastantes bitcoins de sus usuarios:
https://www.cryptocoinsnews.com/gentleman-hacker-returns-stolen-bitcoins-blockchain-info
http://www.telegraph.co.uk/technology/internet-security/11282783/Bitcoins-stolen-as-Blockchain.info-admits-security-flaw.html

No, no hay ningún problema en crearte una wallet online en blockchain.info. Los enlaces que reportas  se refieren al problema que tuvo la página con el generador aleatorio, que ocasionó la producción de claves predecibles. Un error de programación que no tuvo consecuencias irreparables. Fue advertivo por un hacker "bueno" que robó algunas carteras como advertencia, pero luego las devolvió. Esa temporada usé unos pocos días multibit y tan pancho. El error  se subsano enseguida. Hay que recordar que ni siquiera bitcoin qt pasó sin errores: una versión padeció el "corazón sangrante".

[franckuestein]

Fue advertivo por un hacker "bueno" que robó algunas carteras como advertencia, pero luego las devolvió.

Ya... al menos los devolvió.
Si hubiera aprovechado el agujero de seguridad con malas intenciones y no los devolvía, el error sí habría tenido consecuencias irreparables.

A ver si este tipo de problemas no se repiten.

[dserrano5]

Hay que recordar que ni siquiera bitcoin qt pasó sin errores: una versión padeció el "corazón sangrante".

Excepto que heartbleed no fue un problema en bitcoin, mientras que la cagada de bc.info sucedió en código hecho por ellos.

[erizo]

Hay que recordar que ni siquiera bitcoin qt pasó sin errores: una versión padeció el "corazón sangrante".

Excepto que heartbleed no fue un problema en bitcoin, mientras que la cagada de bc.info sucedió en código hecho por ellos.

Discrepo: Si una aplicación no funciona como se supone que debe de funcionar, es responsabilidad de la entidad que lo distribuye, independientemente de si no funciona a causa de un error del código directamente programado por ellos, como si lo hace por causa de algunos ensamblados incluídos en dicho programa, tanto da: haberlo testado primero.

[dserrano5]

Discrepo: Si una aplicación no funciona como se supone que debe de funcionar, es responsabilidad de la entidad que lo distribuye, independientemente de si no funciona a causa de un error del código directamente programado por ellos, como si lo hace por causa de algunos ensamblados incluídos en dicho programa, tanto da: haberlo testado primero.

Pobrecitos entonces, que tienen que verificar que linux y windows no tienen agujeros de seguridad… ni las CPUs…

[erizo]

Discrepo: Si una aplicación no funciona como se supone que debe de funcionar, es responsabilidad de la entidad que lo distribuye, independientemente de si no funciona a causa de un error del código directamente programado por ellos, como si lo hace por causa de algunos ensamblados incluídos en dicho programa, tanto da: haberlo testado primero.

Pobrecitos entonces, que tienen que verificar que linux y windows no tienen agujeros de seguridad… ni las CPUs…

Hombre claro : si hago una aplicación y utilizo una DLL de terceros que presenta fallos,  a ver como le explico la catástrofe al cliente, a mi no me mire oiga, que la usa hasta Linux.
En el mundo financiero la seguridad es fundamental, pero en bitcoin, sin terceros, no vale ninguna fisura, no tendría remedio. Es imprescindible que bitcoin qt no presente fallos ni vulnerabilidades ni en linux ni en windows.

[Delek]

Tan seguro como cualquier web wallet. Ellos tienen tu private key. Eso de "desencriptacion client side" es una mentira, ellos PUEDEN gastar tus Bitcoins.

[erizo]

Tan seguro como cualquier web wallet. Ellos tienen tu private key. Eso de "desencriptacion client side" es una mentira, ellos PUEDEN gastar tus Bitcoins.

Entiendo que hablas con conocimiento de causa: Este es el código que se ejecuta en el navegador. Dime que parte copia para ellos la clave privada, emtonces.:
https://blockchain.info/es/r?url=https://github.com/blockchain/

[dserrano5]

Entiendo que hablas con conocimiento de causa: Este es el código que se ejecuta en el navegador. Dime que parte copia para ellos la clave privada, emtonces.:
https://blockchain.info/es/r?url=https://github.com/blockchain/

¿Siempre miras el javascript que ejecutas? ¿Siempre siempre siempre? Lo que haya en el repo me la trae al pairo. Cada vez que visitas la web te vuelves a bajar el programa.

[erizo]

Entiendo que hablas con conocimiento de causa: Este es el código que se ejecuta en el navegador. Dime que parte copia para ellos la clave privada, emtonces.:
https://blockchain.info/es/r?url=https://github.com/blockchain/

¿Siempre miras el javascript que ejecutas? ¿Siempre siempre siempre? Lo que haya en el repo me la trae al pairo. Cada vez que visitas la web te vuelves a bajar el programa.

A ver hombre: si bc.info captura las claves privadas de un usuario con un código distinto del habitual es sencillisimo saberlo, no hace falta compararlo siempre!: basta con abrir y cerrar n veces una wallet, y si meten código malicioso alguna vez, entonces acabará saliendo un código distinto. Se comparan los códigos de las ejecuciones con el oficial y ya está.

De haber algo así hace mucho que se hubiese publicado y habría sido el fin de bc.info. otra cosa es que la página pueda ser secuestrada, eso si es real

[dserrano5]

basta con abrir y cerrar n veces una wallet, y si meten código malicioso alguna vez, entonces acabará saliendo un código distinto. Se comparan los códigos de las ejecuciones con el oficial y ya está.

Excepto que si abres y cierras la web N veces en 10 minutos, no se dispare nunca, o sea, que eso se tenga en cuenta .

Pero en fin, de esta clase de tira y aflojas ya hace mucho tiempo que me he cansado. Quien quiere escuchar y acercar posiciones, lo hace, y quien no, pues no. Te regalo la última palabra si la quieres.