:format(webp)/cloudfront-us-east-1.images.arcpublishing.com/coindesk/GWPESI7WGRC7JHQJKPQR5LNJRU.jpg)
La semana pasada, hubo un pequeño revuelo en el mundo Web 3 cuando un nuevo protocolo, DeSo, anunció una actualización de su Flow de inicio de sesión de usuario. Anteriormente, el servicio de medios descentralizado había pedido a los usuarios que ingresaran su "frase inicial" en la interfaz web del proyecto, desafiando todas las mejores prácticas de seguridad generalmente aceptadas y generando críticas en toda la industria.
“Las extensiones de Chrome como MetaMask son más seguras, pero la mayoría de los usuarios habituales nunca las instalarán. En lugar de gritarles a nuestros usuarios sobre las mejores prácticas de seguridad, hicimos algo radical: los encontramos donde están hoy”, explicó el fundador de DeSo , Nader Al-Naji. Sin embargo, el equipo descubrió que en realidad no habían conocido a usuarios de los que les dijeron que " el 10% de las personas perdieron su semilla inmediatamente".
Jill Gunter, columnista de CoinDesk , es socia de riesgo de Slow Ventures, donde invierte en proyectos Cripto y Web3 en etapa inicial. También es cofundadora de Open Money Initiative, una organización de investigación sin fines de lucro que trabaja para garantizar el derecho a un sistema financiero libre y abierto.
Para solucionar este problema, DeSo ahora ofrece a los usuarios la posibilidad de hacer una copia de seguridad automática de sus frases iniciales en Google Drive desde la aplicación. En todo caso, esto es incluso peor desde una perspectiva de seguridad que su Flow de inicio de sesión original.
Cuando se trata de frases iniciales, la mejor práctica generalmente aceptada es nunca almacenarlas en ningún dispositivo que esté conectado (o haya estado conectado) a Internet. Estas frases de 12, 18 o 24 palabras son las que permiten a los usuarios recuperar los activos almacenados en una billetera digital determinada en caso de que pierdan o reemplacen el dispositivo que utilizaron para acceder a sus fondos. Las frases iniciales son tan sensibles porque permiten que cualquiera que conozca sus palabras mágicas obtenga acceso a los activos asociados.
Sigue leyendo: DeSo quiere su frase inicial. Que vengan y se lo lleven
La mayoría de las aplicaciones Cripto y Web 3 alientan a los usuarios a escribir sus frases iniciales y almacenarlas en algún lugar seguro, como un búnker o una caja de seguridad física. No le digas a nadie. Se suele decir que no almacene la frase en un administrador de contraseñas en línea, y mucho menos en su Google Drive. Y nunca ingrese su frase inicial en el formulario de un sitio web, para no convertirse en víctima de un ataque de phishing.
Y, sin embargo, mi experiencia en la interacción con todo tipo de usuarios de Cripto y Web 3 sugiere que pocos tienen en cuenta esta sabiduría. Es fácil empatizar con la situación de DeSo.
He recibido muchos mensajes de amigos que solo tienen un ligero contacto con las Cripto, pidiéndome ayuda para recordar "qué oración de 12 palabras" podrían haber usado para hacer una copia de seguridad de la billetera Bitcoin que configuraron en 2017. (Como nota: a diferencia de una contraseña , los usuarios no deciden cuál debería ser su frase inicial; en cambio, se genera para ellos, lo cual es otro punto de fricción y confusión que los usuarios deben superar).
He visto frases iniciales garabateadas en cuadernos dejados en mochilas debajo de los mostradores de los bares durante las conferencias Cripto . He actuado como atención al cliente en proyectos Cripto y los usuarios me enviaron mensajes con sus claves privadas (a pesar de mis advertencias de no hacerlo) pidiendo ayuda. He visto a usuarios publicar sus claves privadas en canales de Discord. Yo mismo hace solo un par de semanas encontré 24 palabras garabateadas en una nota adhesiva en el fondo de un bolso que usaba con frecuencia hace unos años. Dudo que alguna vez sepa con qué billetera está asociada.
A la luz de estas observaciones y experiencias, resulta tentador encogerse de hombros y decir que tal vez DeSo tenga razón. Para el usuario promedio que recién incursiona en la Web 3 por primera vez, tal vez sea el enfoque más sensato almacenar frases iniciales en algún lugar como Google Drive. Mejor ahí que en un cajón de calcetines, ¿verdad?
El problema es que, incluso si hoy en día lo que está en juego para el usuario promedio es poco al mantener sus claves en Google Drive, en el futuro las consecuencias pueden llegar a ser financieramente significativas. Parece que cada año, los medios de comunicación se obsesionan con algún otro pobre idiota que compró Bitcoin en 2011, ganó cientos de millones de dólares, pero perdió su frase inicial y ya no puede acceder a los fondos (el tipo que perdió 500 millones en un me viene a la mente un vertedero en Gales ).
Si bien los usuarios de DeSo que almacenan sus frases iniciales en Google Drive no tendrán que preocuparse por perder la pista de la frase inicial, sí tendrán que preocuparse de que su cuenta de Google se convierta en un objetivo para los piratas informáticos. Si muchos de los primeros en adoptar el protocolo se vuelven millonarios con los activos que han almacenado dentro del sistema DeSo, entonces, de repente, Google Drive se convertirá en un enorme honeypot para todos ellos. Esto es peligroso para los usuarios y presumiblemente una situación que a DeSo le gustaría evitar.
Para la industria, existe un problema aún mayor con el enfoque de DeSo. Se trata de enseñar a los usuarios a hacer cosas que son peligrosas sin explicarles adecuadamente cuáles son los riesgos. DeSo no educa a los usuarios ni mitiga los riesgos que les piden que asuman. DeSo simplemente está tomando atajos y creando hábitos problemáticos que los usuarios se llevarán consigo cuando utilicen otras aplicaciones Web 3.
La experiencia del usuario al acceder e interactuar con las Cripto sigue siendo un problema sin resolver. La Web 3 y las Cripto casi por definición piden a los usuarios que asuman más responsabilidad al interactuar con Internet. Las responsabilidades y los desafíos surgen mucho más allá del problema del almacenamiento de frases iniciales. Muchos defensores acérrimos de las Cripto abogan por que los usuarios ejecuten sus propios nodos para los protocolos con los que interactúan. Los usuarios tienen que navegar regularmente por exploradores de bloques para ver los detalles de las transacciones, envolver y desenvolver activos en diferentes estándares de tokens y, por supuesto, lidiar con tarifas costosas, opacas e impredecibles.
Gran parte de las Cripto invierten lo que la Web 2 ha capacitado a los usuarios para que esperen y se sientan cómodos. Con las aplicaciones confiables, gratuitas y fluidas de Web 2, los usuarios pueden realizar transferencias entre dispositivos que se abren y se despliegan con un simple vistazo o un zumbido en un reloj de pulsera, a menudo sin siquiera ingresar una contraseña. Esto contrasta marcadamente con la Web 3 y su experiencia intensiva en seguridad y aislada en dispositivos que pide a los usuarios navegar por flujos inescrutables, a menudo con poca educación o instrucción incorporada en el producto.
Y ahí radica una parte clave de la solución de experiencia del usuario: la educación. No deberíamos pensar tan poco en los usuarios como para tener que tomar atajos para ellos, como lo hace DeSo. Después de todo, un principio CORE de las Cripto radica en el empoderamiento del individuo. Enseñe a los usuarios sus opciones y los riesgos asociados (incluidas, de hecho, las opciones de almacenar una frase inicial en Google Drive) y déjeles elegir.
Cuando pienso en la experiencia del usuario de la Web 3 hoy en día, a menudo vuelvo a mis primeras experiencias usando una computadora e Internet. Recuerdo que, cuando tenía 5 o 6 años, mi tío instaló una computadora Gateway para mis padres en nuestra sala familiar y nos conectó, por primera vez, a una conexión telefónica a Internet. Estaba usando todo tipo de jerga que se volvería nativa para nosotros durante los siguientes 10 años, pero que para mis padres era claramente extraña e incómoda.
El "sistema operativo", el "módem", la "dirección IP". Todavía recuerdo el aura de escepticismo y cansancio que mis padres parecieron compartir una vez que mi tío se fue esa tarde. Como si estuvieran pensando: "No hay manera de que alguna vez descubramos cómo usar esto".
¡Pero todos lo descubrimos! Es posible que el usuario promedio de una computadora no pueda brindarle una explicación precisa y técnicamente exacta del papel que desempeña un sistema operativo en su computadora, o por qué se necesita un módem o cómo se deriva una dirección IP. Pero miles de millones de nosotros hemos descubierto cómo actualizar un sistema operativo, conectar un módem y conectarnos a redes Wi-Fi. Parte de esto se debe a la innovación en la experiencia del usuario, pero gran parte simplemente ha sido el resultado de la educación del usuario combinada, sobre todo, con fuertes incentivos para que los usuarios se pongan al día. Una vez que vislumbré lo que esa vieja computadora de escritorio conectada a Internet podía ofrecerme, me propuse comprender qué necesitaba para poder usarla. Neopets y America Online fueron suficientes para motivarme a descubrirlo en toda su complejidad.
Lo mismo es, y seguirá siendo, cierto para las Cripto y la Web 3. Con una propuesta de valor lo suficientemente sólida, disminuirán las preocupaciones sobre los usuarios que se resisten y se agitan ante la perspectiva de descargar un complemento de Chrome o tener que almacenar de forma segura una frase de 12 palabras. para creadores de productos. Eso no quiere decir que no debamos seguir trabajando para mejorar estas experiencias. Sólo quiere decir que no debemos asumir que tenemos que tomar medidas extremas para tomar atajos en los usuarios a bordo. Deberíamos darles más crédito que eso. Y si tomar atajos es lo que los usuarios necesitan para elegir su producto, entonces tal vez debería volver a examinar si su producto realmente proporciona suficiente valor.
