El proveedor de billeteras de hardware Trezor ha parcheado una vulnerabilidad de seguridad en dos de sus modelos más recientes después de que el brazo de investigación de código abierto de la firma competidora Ledger descubriera una debilidad en sus microcontroladores.

Ledger Donjon reconoció que Trezor ha realizado varios avances de seguridad recientemente, pero encontró que las operaciones criptográficas aún podían realizarse en el microcontrolador de los modelos Safe 3 y 5 de Trezor, lo que podría hacerlos “vulnerables a ataques más avanzados”.

Afortunadamente, Trezor ha abordado desde entonces las vulnerabilidades encontradas, dijo el director de tecnología de Ledger, Charles Guillemet, en una publicación en X del 12 de marzo.

“Creemos que hacer que el ecosistema sea más seguro ayuda a todos y es crítico mientras impulsamos hacia una adopción más amplia de criptomonedas y activos digitales”, añadió Guillemet.

Fuente: Charles Guillemet

Trezor ya había implementado “Elementos Seguros”, chips diseñados para proteger el código PIN del usuario y los secretos criptográficos, pues algunos dispositivos de Trezor podían ser manipulados modificando el software que se ejecuta en ellos, potencialmente permitiendo a actores maliciosos robar los fondos de los usuarios.

La característica de Elementos Seguros “efectivamente frustra cualquier ataque de hardware económico, en particular el glitching de voltaje”, dijo Ledger en una publicación del 12 de marzo.

“[Esto] da a los usuarios la confianza de que sus fondos están seguros incluso si su dispositivo se pierde o es robado”.

Sin embargo, Ledger encontró otro vector de ataque potencial que proviene del microcontrolador, la otra parte principal del diseño de dos chips de Trezor para sus modelos Safe 3 y 5.

Trezor implementó una verificación de integridad del firmware para detectar software modificado, pero Ledger pudo demostrar que un atacante aún podría eludir esta verificación de seguridad.

Este problema ha sido resuelto por Trezor desde entonces, aunque ni Ledger ni Trezor han explicado cómo. Cointelegraph contactó a Trezor pero no recibió una respuesta inmediata.

Microcontrolador de Trezor en el modelo Trezor Safe 3. Fuente: Ledger

Trezor confirmó en X que los fondos de los usuarios permanecen seguros y que no se requiere ninguna acción.

Sin embargo, cuando se le preguntó si Trezor pudo parchear este problema a través de firmware, el proveedor de billeteras de hardware respondió: “Desafortunadamente no”.

“En ciberseguridad, la regla de oro es simple: nada es completamente irrompible. Por eso ya hemos implementado una defensa de múltiples capas contra ataques de la cadena de suministro y siempre aconsejamos a nuestros usuarios que compren en fuentes oficiales”.

Ledger tampoco está exento de vulnerabilidades de seguridad.

En diciembre de 2023, un hacker cometió una brecha de seguridad en la biblioteca de conectores de Ledger y robó activos criptográficos por valor de 484.000 dólares.

Otro actor malicioso que vulneró los sistemas de Ledger publicó las direcciones postales de alrededor de 270.000 clientes de Ledger en junio de 2020.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.