El equipo de seguridad de Bitfinex está continuamente mejorando nuestras medidas de seguridad de punta a punta, mejorando los procesos de auditoría y reduciendo la superficie de ataque de nuestra infraestructura.
La seguridad de tu cuenta está determinada por dos factores:
1. Medidas de seguridad de la plataforma; y
2. Medidas de seguridad de la cuenta de usuario individual.
Medidas de seguridad de la plataforma
La seguridad de la plataforma son medidas implementadas por la plataforma Bitfinex para proteger los fondos y otra información sensible de actores maliciosos.
Cold Wallet
Una Cold Wallet (cartera fría), también conocida como cartera offline, es una cartera que no está conectada a Internet y, por tanto, tiene un riesgo mucho menor de verse comprometida.
Nuestro almacenamiento en frío guarda alrededor del 99.5% de los fondos de los usuarios en un cartera offline multifirma, que requiere la aprobación de todas las transacciones a través de tres de los cinco módulos de seguridad de hardware (HSM) en manos de miembros del equipo de gerencia repartidos por todo el mundo.
En el improbable caso de que uno de los miembros de la dirección se viera comprometido y se viera obligado a entrar en la plataforma, un único HSM no sería suficiente para iniciar la transferencia de fondos.
Adquirir un número suficiente de estos dispositivos para permitir el acceso al almacenamiento en frío es casi imposible.
Hot Wallet
Una hot wallet (cartera caliente) es una cartera de monedas virtual accesible a través de Internet que facilita las transacciones de criptomonedas.
Nuestra hot wallet mantiene en la cuenta sólo las cantidades necesarias para completar los retiros, lo que supone alrededor del 0.5% de los fondos totales. Para rellenar la hot wallet, cuatro de los siete HSM deben iniciar una transferencia de la cold wallet a la hot wallet.
Estructura de datos
Bitfinex migró a un nuevo servidor de datos y nuestro equipo de seguridad ampliado realizó una auditoría exhaustiva de toda nuestra estructura, incluido un análisis a profundidad de todo el código fuente y las dependencias.
Protección DDoS
Un ataque distribuido de denegación de servicio (DDoS) es un intento malicioso de interrumpir el tráfico regular a un servidor, servicio o red objetivo inundando el objetivo o su infraestructura circundante con tráfico de Internet.
En Bitfinex, la prevención DDoS incluye lo siguiente:
- Equilibrio de carga inteligente y enrutamiento de conmutación por error entre servidores para aumentar el rendimiento;
- La detección de tráfico malicioso en tiempo real bloquea las peticiones de servidores maliciosos;
- Las medidas automáticas de mitigación en línea reducen la latencia y aumentan el tiempo de actividad;
- Privacidad y rendimiento líderes mediante conexiones cifradas con HTTPS TLS 1.3.
Procedimiento estándar
Las pruebas de penetración se realizan de forma periódica para garantizar que nuestros sistemas permanezcan seguros frente a infinidad de escenarios de ataque.
- Sistemas Linux siempre actualizados para alojar la plataforma;
- Copias de seguridad automáticas y encriptadas de las bases de datos a varias ubicaciones externas.
- Almacenamiento cifrado de contraseñas de usuario
El equipo de seguridad de Bitfinex continúa auditando la implementación de protocolos en todos los niveles de la plataforma con el fin de mantener un entorno fundamentalmente hostil para una incursión. Además, el equipo de seguridad lleva a cabo auditorías de seguridad externas rutinarias.
Sistema y organización de control 2 Conformidad de tipo 1
Bitfinex ha completado la Auditoría SOC 2 Tipo 1, la primera fase del más alto nivel de cumplimiento de seguridad que una organización puede demostrar. La auditoría ejecutada declara que las prácticas, políticas, procedimientos y operaciones de seguridad de la información de Bitfinex cumplen los siguientes Principios de Servicio de Confianza SOC 2: seguridad, disponibilidad y confidencialidad.
Para más información, consulta nuestro artículo dedicado: Bitfinex ha completado el Cumplimiento SOC 2 Tipo 1.
Medidas de seguridad de las cuentas de usuario individuales
Bitfinex ofrece un robusto conjunto de medidas de seguridad definidas por el usuario. Las siguientes acciones pueden ser tomadas para proteger tu cuenta.
Nota: Tu cuenta es tan segura como las medidas de seguridad que implementes.
El cumplimiento de algunas de estas medidas no sólo aumenta significativamente la seguridad personal, sino que también reduce el número de confirmaciones necesarias para los depósitos de criptomonedas, y da prioridad a los retiros a través del procesamiento automático. Te animamos a que revises nuestras Condiciones de Greenlane. Puedes acceder a tu página de Seguridad aquí.
Autenticación de 2 Pasos (2FA)
Es necesario activar la autenticación de dos pasos (2FA) para poder utilizar tu cuenta.
Puedes implementar los siguientes mecanismos de 2FA:
- Google Authenticator (en dispositivos Android y iOS)
- Llave de seguridad física usando FIDO 2fo Factor Universal (U2F)
La activación de la 2FA añade una capa de protección entre un atacante y las confirmaciones de retiro, los cambios de contraseña, la creación de claves API y los inicios de sesión.
Cuando creas tu cuenta, es obligatorio que habilites la autenticación de dos factores (2FA). Si omites este paso durante la configuración de tu cuenta, se te pedirá que habilites el 2FA para acceder a las funciones de tu cuenta Bitfinex.
Importante: El servicio SMS 2FA de Twilio, que antes estaba disponible, ya no está activo en Bitfinex. Si tienes acceso a tu SMS 2FA puedes desactivarlo yendo a la página de Seguridad y empezar a usar las otras dos formas de Autenticación de Dos Factores que soportamos para la seguridad de tu cuenta. Si necesitas restablecer tu 2FA, sigue los pasos del artículo Cómo restablecer un 2FA en Bitfinex.
Dejar expirar la sesión
Cuando el usuario esté conectado e inactivo, el navegador hará un ping a la plataforma cada 10 minutos para mantener la sesión activa. Si se desactiva esta opción, la sesión finalizará tras 30 minutos de inactividad y la cuenta del usuario se desconectará automáticamente.
Esto evita que la sesión sea secuestrada.
Enviar correo electrónico al iniciar sesión
Cada vez que se produzca un inicio de sesión en tu cuenta, recibirás una notificación por correo electrónico. El correo electrónico incluirá la dirección IP del usuario autenticado y un enlace para suspender tu cuenta si sospechas de un comportamiento nefasto.
Detectar cambio de dirección IP
Si la dirección IP utilizada para acceder a tu cuenta cambia en cualquier solicitud, todas las sesiones existentes se invalidarán inmediatamente y la cuenta se desconectará automáticamente.
De este modo se evita el secuestro de la sesión.
Lista blanca de direcciones IP
Restricción del acceso a la cuenta en función de la dirección IP. Puedes poner en la lista blanca una o varias direcciones IP, así como un rango de IP. Se deniega el acceso a la cuenta a cualquier persona que no tenga acceso a las direcciones IP incluidas en la lista blanca.
Historial de Acceso
Cada inicio de sesión en tu cuenta se guarda y puede examinarse manualmente.
Para ver el historial de inicio de sesión, ve a Gestionar cuenta > Reportes y, a continuación, selecciona Historial de Inicio de sesión en el menú lateral derecho.
Permisos de llave API
Para cada función, crea claves API con permisos avanzados de lectura y escritura.
Cifrado de correo electrónico con OpenPGP
Pretty Good Privacy (PGP) es una aplicación de cifrado y descifrado de datos que proporciona privacidad criptográfica y autenticación de correspondencia. Emplea una variante del sistema de clave pública.
Activando esta opción encriptará todos los correos electrónicos salientes del administrador de Bitfinex para su cuenta utilizando su clave pública.
Control de retiros por IP
Si se solicita un retiro desde una nueva dirección IP, los titulares de cuentas de Greenlane recibirán un correo electrónico solicitando que se revise y verifique el retiro.
Nota: El período de sospecha para cambios de IP es de 24 horas.
Si la cuenta no es Greenlane, recibirás confirmaciones por correo electrónico sobre cualquier solicitud de retiro. Para obtener más información sobre Greenlane, haz clic aquí.
Bloqueo de retiros durante 24 horas cuando se utiliza una nueva dirección IP
Cuando se utiliza una nueva dirección IP para acceder a una cuenta, se restringen todos los retiros durante 24 horas, si activas esta función se te notificará por correo electrónico con un enlace para congelar la cuenta para revisar la actividad.
Comprobación de retiro personalizada
Por defecto, se mostrará una imagen a prueba de manipulaciones al realizar una solicitud de retiro.
Pero añadiendo un mensaje personalizado puede mejorar la imagen de confirmación de retiro con una frase secreta. Al activarla, verás una imagen a prueba de manipulaciones que contiene la frase secreta y valida los datos de un retiro.
Esta capa adicional de protección garantiza que la información de tus reintegros no se vea comprometida por un programa malicioso o un ataque de intermediario.
Bloquear/desactivar direcciones de retiro
Cree una o varias direcciones de retiro únicas para cada divisa o desactive por completo los retiros para una moneda. Para cambiar o desactivar el bloqueo de direcciones se necesita confirmación por correo electrónico y se inicia una retención automática de cinco días en la cuenta.
Detección de actividades sospechosas
La detección de actividades sospechosas está automatizada por nuestra infraestructura de seguridad y revisada manualmente por nuestro equipo de seguridad. Este proceso implica la participación del usuario mediante la revisión de actividades como el restablecimiento de contraseñas, las solicitudes de eliminación de 2FA, la geolocalización y las especificaciones de hardware/software del usuario.
Nuestro equipo de seguridad supervisa los patrones de actividad y reconoce las desviaciones que podrían cambiar significativamente el estado de los saldos de las cuentas de un usuario, como las solicitudes de retiro de cuentas enteras, las solicitudes de cambio de nombres de usuario, direcciones de correo electrónico asociadas y direcciones de retiro.
Estos métodos no pretenden imponer restricciones a la actividad de la cuenta; más bien, pretenden servir como salvaguardas adicionales mientras los usuarios interactúan con la plataforma Bitfinex.
Importante : También puede consultar la Política de seguridad de Bitfinex para obtener más información.
Si tienes alguna pregunta sobre la seguridad de tu cuenta, no dudes en contactar con el Soporte de Bitfinex.