Estas medidas fueron diseñadas para establecer un enfoque agresivo hacia la limitación significativa de la superficie de ataque de nuestra infraestructura al hacer que sea prohibitivamente difícil de comprometer.
SEGURIDAD DE LA PLATAFORMA
Cartera fría
Nuestro almacenamiento en frío mantiene aproximadamente el 99,5% de los fondos de los usuarios en una cartera multifirma sin conexión; requiriendo 4 de 7 módulos de seguridad de hardware (HSM) en posesión de miembros del equipo de administración distribuidos globalmente para aprobar todas las transacciones. En el caso de que un administrador se vea comprometido y forzado a iniciar sesión en la plataforma, un solo HSM no sería suficiente para iniciar la transferencia de fondos. El desafío de adquirir suficientes de estos dispositivos para acceder al almacenamiento en frío es casi imposible.
Cartera caliente
Nuestra cartera caliente mantiene solo los fondos necesarios para cumplir con los retiros en la cola, aproximadamente 0.5%. Para recargar la cartera caliente, se requieren 4 de 7 HSM para iniciar una transferencia de la cartera fría a la billetera caliente.
Estructura de datos
Bitfinex migró a un nuevo servidor de datos y nuestro equipo de seguridad ampliado realizó una auditoría integral de toda nuestra pila, incluido un análisis profundo de todo el código fuente y las dependencias.
Protección DDoS
- Equilibrio de carga inteligente y enrutamiento de conmutación por error entre servidores para aumentar el rendimiento
- La detección de tráfico malicioso en tiempo real bloquea las solicitudes del servidor malicioso
- Las medidas automáticas de mitigación en línea reducen la latencia y aumentan el tiempo de actividad
- Privacidad y rendimiento líderes a través de conexiones cifradas con HTTPS TLS 1.3
Procedimiento estándar
Se realizan pruebas de penetración de rutina para preservar la integridad de nuestros sistemas en escenarios de ataque infinitos.
- Sistemas Linux siempre actualizados para alojar la plataforma
- Copias de seguridad de bases de datos cifradas automáticas diarias en varias ubicaciones externas
- Almacenamiento de contraseña de usuario cifrada
El equipo de seguridad de Bitfinex continúa auditando la implementación del protocolo en todos los niveles de la plataforma para mantener un entorno inherentemente hostil hacia la intrusión; empleando además auditorías de seguridad externas de rutina.
SEGURIDAD DEL USUARIO INDIVIDUAL
Bitfinex proporciona una sólida cartera de medidas de seguridad determinadas por el usuario, y alentamos a todos los usuarios a que revisen nuestras Condiciones de Greenlane, que aumentan significativamente la seguridad personal, reducen la cantidad requerida de confirmaciones para depósitos en criptomonedas y priorizan los retiros a través del procesamiento automático.
Autenticación de dos pasos (2FA)
Implementamos los siguientes mecanismos de 2FA:
- Google Authenticator en dispositivos Android e iOS
- Llave de seguridad física con FIDO Universal 2nd Factor (U2F)
Habilitar 2FA coloca un segundo nivel de seguridad entre un atacante y las confirmaciones de retiro, cambios de contraseña, creación de claves API e inicios de sesión.
Además, como medida de precaución, todas las cuentas que no hayan implementado las medidas de autenticación de dos pasos (2FA) recibirán un correo electrónico de nuestro sistema con un enlace para acceder a su cuenta.
NOTA: SMS 2FA proporcionado por Twilio ya no es compatible con Bitfinex. Si tienes acceso a su SMS 2FA, puedes deshabilitarlo yendo a tu página de seguridad y comenzar a usar las otras dos formas de autenticación de dos pasos que admitimos para la seguridad de tu cuenta.
Si no tienes acceso al número de teléfono registrado en Twilio, puede restablecer su 2FA utilizando el siguiente enlace: https://www.bitfinex.com/reset/2fa. En el caso de que no cumplas con los criterios descritos para un reinicio automático, comunícate con nuestro equipo de soporte para obtener ayuda.
Mantener viva la sesión
Cuando estás conectado e inactivo, el navegador hará ping a la plataforma cada 10 minutos para mantener viva la sesión. Si estás deshabilitado, la sesión caducará después de 30 minutos de inactividad y la cuenta del usuario se cerrará automáticamente.
Enviar correo electrónico al iniciar sesión
Recibe un correo electrónico cada vez que alguien inicie sesión en tu cuenta. El correo electrónico contendrá información sobre la IP del usuario autenticado y un enlace para congelar su cuenta si sospecha de actividad maliciosa.
Detectar cambio de dirección IP
Si la dirección IP utilizada para acceder a la cuenta de un usuario cambia en cualquier solicitud, todas las sesiones abiertas se invalidarán de inmediato y la cuenta se cerrará automáticamente. Esto evita el secuestro de sesiones.
Lista blanca de direcciones IP
Limita el acceso a la cuenta por dirección IP. Los usuarios pueden proporcionar una o más direcciones IP y / o especificar un rango de IP. Cualquiera que no tenga acceso a las direcciones IP incluidas en la lista blanca no podrá utilizar la cuenta.
Historial de inicio de sesión
Cada inicio de sesión en la cuenta de un usuario se guarda y se puede auditar personalmente
Permisos de clave de API
Crear claves API con permisos avanzados de lectura / escritura por función.
Cifrado de correo electrónico con OpenPGP
Pretty Good Privacy (PGP) es un programa de cifrado y descifrado de datos que proporciona autenticación y privacidad criptográfica para la correspondencia. Utiliza una variación del sistema de clave pública.
Monitorear retiros por IP
Si se solicita un retiro desde una nueva dirección IP, el titular de la cuenta recibirá un correo electrónico solicitando revisar y verificar el retiro. El período de desconfianza por los cambios de IP es de 24 horas.
Bloquear retiros por 24 horas cuando se usa una nueva dirección IP
Cuando se utilizas una nueva dirección IP para iniciar sesión en la cuenta de un usuario, todos los retiros se bloquearán durante 24 horas y el usuario recibirá una notificación por correo electrónico con un enlace para congelar la cuenta para la revisión de la actividad.
Cheque de retiro personalizado
Agrega una frase secreta a la imagen de confirmación de retiro. Cuando está habilitado, los usuarios verán una imagen a prueba de manipulaciones que confirma los detalles de un retiro e incluye la frase secreta. Esta redundancia adicional garantiza que los detalles de su retiro no se hayan visto comprometidos por malware o un ataque de intermediario.
Bloquear / deshabilitar direcciones de retiro
Establece una dirección de retiro específica para cada moneda o deshabilita los retiros para una moneda por completo. Cambiar o deshabilitar el bloqueo de la dirección requiere confirmación por correo electrónico y comenzará una retención automática de retiro de 5 días en la cuenta.
DETECCIÓN DE ACTIVIDADES SOSPECHOSAS
La detección de actividades sospechosas está automatizada por nuestra infraestructura de seguridad y revisada manualmente por nuestro equipo de seguridad. Este proceso implica la participación del usuario mediante la revisión de actividades como el restablecimiento de contraseñas, las solicitudes de eliminación de 2FA, la ubicación geográfica y las especificaciones del hardware / software del usuario.
Nuestro equipo de seguridad monitorea los patrones de actividad y reconoce las desviaciones que podrían cambiar significativamente el estado de los saldos de las cuentas de un usuario, como solicitudes de retiro de cuentas completas, solicitudes de cambio de nombre de usuario, direcciones de correo electrónico asociadas y direcciones de retiro.
Estos mecanismos no están destinados a dictar el uso de la cuenta; más bien, están diseñados específicamente como medidas de debida diligencia mientras los usuarios interactúan con la plataforma Bitfinex.
