Trezor y Ledger, dos de los fabricantes de billeteras de hardware más destacados, llevan mucho tiempo encerrados en una rivalidad.

Parte de la entrevista de Cointelegraph con Charles Guillemet, el CTO de Ledger, reveló que la relación es más compleja de lo que parece al principio. A pesar de la retórica, también se puede encontrar cooperación y respeto.

Una rivalidad colaborativa

Guillemet dijo que no sabe quién inició la rivalidad, ya que se remonta al "comienzo de las compañías Ledger y Trezor".

"Creo que las cosas se pusieron más serias cuando creé el Donjon, que es nuestro equipo de seguridad interno", reconoció. El Donjon fue una de las primeras innovaciones introducidas por Guillemet cuando se unió a Ledger, debido a su creencia de que la única forma de diseñar un sistema seguro es "intentar romperlo, una y otra vez".

Si bien Donjon se centró en las billeteras Ledger, también comenzaron a buscar productos de la competencia. “Al principio eso fue principalmente por curiosidad. Solo queríamos entender cómo funcionan”, dijo.

Ese estudio dio como resultado que el equipo encontrara vulnerabilidades en "cada billetera que analizamos". Guillemet señaló:

“Cuando encuentres una vulnerabilidad, lo correcto es informarlo al proveedor. Y eso es lo que hicimos".

Luego, los proveedores corrigieron las vulnerabilidades, incluso dando recompensas a Ledger algunas veces. Con respecto a Trezor, mencionó una "batalla de relaciones públicas" entre las compañías, y agregó:

"Al final, una cosa que es completamente cierta es que la seguridad de la billetera de Trezor mejoró mucho gracias a nosotros".

Si bien Guillemet no recordaba el número exacto de vulnerabilidades reportadas a Trezor, dijo que eran aproximadamente "seis o siete". Todas ellas fueron corregidas excepto una, que no se pudo arreglar debido al diseño fundamental de los chips de Trezor.

Debido a esto, el equipo de Ledger no reveló sus detalles, aunque el equipo de seguridad de Kraken les reportó esto de forma independiente un año después.

Código abierto vs. seguridad

La razón por la cual el bug no se puede reparar es que Trezor usa un llamado chip MCU en su billetera, que se usa en electrodomésticos comunes y no estaba destinado al almacenamiento seguro de datos, explicó Guillemet. Cuando se le preguntó por qué, dijo que se trataba de una elección de diseño consciente:

"Ellos creen firmemente en la filosofía de código abierto, y cuando usas el Elemento Seguro, tienes que firmar un NDA con el fabricante del chip, lo que evita que proporciones información sobre lo que ocurre dentro del chip".

El Elemento Seguro utilizado por Ledger contiene muchas contramedidas, que probablemente revelaría un firmware de código abierto. Según Guillemet, los elementos seguros son inaceptables para Trezor ya que quieren mantener su software completamente abierto.

 

Guillemet dijo que el software de código abierto es "algo muy bueno" y señaló que él personalmente contribuyó a algunos proyectos. "Pero cuando diseñas un dispositivo de seguridad, creo que la seguridad es lo más importante".

Si bien reconoció que el software de código abierto podría ser un beneficio de seguridad debido al escrutinio adicional, esto no es suficiente:

"Así como te impide usar un elemento seguro dedicado, al final terminas con un dispositivo menos seguro".

Guillemet compartió que tiene una "buena relación personal con la gente de Trezor", refiriéndose a ellos como "muchachos muy interesantes", incluso si las filosofías de los dos equipos son diferentes.

Sigue leyendo: