Ledger revela cinco vulnerabilidades reportadas en dos modelos de billeteras de hardware Trezor

El importante fabricante de billeteras de hardware, Ledger, reveló vulnerabilidades en los dispositivos de su competidor directo Trezor, según un informe publicado el lunes, 11 de marzo.

Al cierre de esta edición, Trezor no estaba disponible de inmediato para comentar sobre los hallazgos de Ledger.

El estudio afirma que el 'Attack Lab', el departamento de la empresa que detectó hackea los dispositivos de su equipo y de los competidores, descubrió las vulnerabilidades para mejorar la seguridad. Ledger afirma que ha abordado repetidamente a Trezor sobre las debilidades en sus billeteras Trezor One y Trezor T, y ha decidido hacerlas públicas una vez que finalice el período de divulgación responsable.

Puede interesarte: CEO de Binance sugiere la creación de un exchange de dinero fíat a criptomonedas en Argentina

El primer problema está relacionado con la autenticidad de los dispositivos. Según el equipo de Ledger, el dispositivo Trezor puede ser imitado por la puerta trasera del dispositivo con malware y luego volver a sellarlo en su caja falsificando una etiqueta a prueba de manipulación, que al parecer es fácil de quitar. Ledger afirma que esta vulnerabilidad solo puede solucionarse revisando el diseño de las carteras Trezor y, en particular, reemplazando uno de los componentes principales con un chip Secure Element.

En segundo lugar, los hackers de Ledger supuestamente calcularon el valor del PIN en una billetera Trezor usando un ataque de canal lateral y lo reportaron a Trezor a fines de noviembre del 2018. La compañía luego resolvió el problema en su actualización de firmware 1.8.0.

La tercera y cuarta vulnerabilidades, que Ledger también se ofrece a resolver reemplazando el componente central con un chip de Secure Element, consisten en la posibilidad de robar datos confidenciales del dispositivo. Ledger indica que un atacante con acceso físico a Trezor One y Trezor T puede extraer todos los datos de la memoria flash y controlar los activos almacenados en el dispositivo.

No dejes de leer: Trezor insta a precaución tras descubrimiento de que "copias una por una" de monedero hardware están a la venta

La última debilidad descubierta también está relacionada con el modelo de seguridad de Trezor: según Ledger, la criptobiblioteca de Trezor One no contiene contramedidas adecuadas contra ataques de hardware. El equipo afirma que un hacker con acceso físico al dispositivo puede extraer la clave secreta a través de un ataque de canal lateral, aunque Trezor ha afirmado que sus billeteras son resistentes a estos.

En noviembre del 2018, Trezor advirtió que un tercero desconocido estaba distribuyendo copias individuales de su dispositivo insignia Trezor One. Las billeteras falsas parecían originarse en China, y la compañía instó a los propietarios a comprar billeteras solo en el sitio web de Trezor.

Sin embargo, en el reciente informe, Ledger afirma que los usuarios no pueden estar seguros incluso cuando compran hardware del sitio web oficial de Trezor. El atacante posiblemente podría comprar varios dispositivos, entrar por la puerta trasera y luego enviarlos al fabricante solicitando el reembolso. En caso de que el dispositivo comprometido se venda nuevamente, los criptofondos del usuario pueden ser robados, concluye Ledger.

Te puede interesar: Ledger: Las vulnerabilidades de la billetera recientemente descubiertas no son críticas

En noviembre del 2018, el equipo de investigación responsable del proyecto de hackeo de Wallet.fail demostró cómo hackearon el Trezor One, el Ledger Nano S y el Ledger Blue en la conferencia 35C3 Refreshing Memories. Tanto Trezor cuanto Ledger admitieron las vulnerabilidades encontradas —y Trezor señaló que una actualización de firmware las solucionaría— pero Ledger también agregó que no eran críticas para sus billeteras.