Una de las preguntas más comunes de los usuarios de criptomonedas cuando incursionan en este sector tiene que ver con el método de almacenamiento para sus activos. Las carteras de hardware, que forman parte de las carteras frías, son recomendadas usualmente como uno de las formas más seguras de almacenar criptomonedas, sin embargo, durante los últimos meses han sido reveladas vulnerabilidades en estos dispositivos que podrían poner en riesgo los fondos de los usuarios.
El mes pasado, los investigadores de la Universidad de Edimburgo revelaron un informe de seguridad donde afirman que las carteras de hardware de la compañía francesa Ledger podrían ser mejoradas para ofrecer una mejor protección contra los hackers. En ese momento, revelaron una vulnerabilidad que permitiría a un hacker robar los fondos de los usuarios reemplazando una línea de código, en lo que se conoce como un ataque de intermediario.
Ahora, un adolescente de 15 años de edad llamado Saleem Rashid ha dejado en evidencia las brechas de seguridad de la empresa francesa, específicamente en su cartera Ledger Nano S, y lo más curioso del caso es que no ha sido mediante un truco sofisticado, sino que simplemente ha conectado el dispositivo a una base de carga para móviles inteligentes, ha comenzado a teclear y ha logrado su cometido. La información la dio a conocer el propio Rashid a través de su sitio web.
Estas carteras de hardware han sido dotadas de seguridad por parte de Ledger mediante una técnica llamada Anonymous Attesion, que crea firmas imposibles de duplicar o falsificar, debido a que solo es posible ejecutarlas en el código original. De hecho, en 2015 la compañía dijo que era imposible que un hacker hiciera el reemplazo del firmware o superara el proceso de declaración sin conocer la clave de la cartera.
Rashid dijo que encontró una especie de puerta trasera, que incluso también haría vulnerable a la cartera de hardware Ledger Blue. Para lograr su cometido, el joven informático conectó el dispositivo a un cargador de smartphone, comenzó a apretar sus botones y luego de cuatro intentos, el dispositivo activó un reinicio de contraseña, la verificó y permitió el acceso a la cartera sin requerir la antigua contraseña.
Como hemos visto en otros casos, es complicado que una vulnerabilidad como esta sea solucionada mediante una actualización de firmware, debido a que el inconveniente yace en el diseño del dispositivo y la forma en la que sus controladores internos se comunican. Estaremos atentos a la respuesta de Ledger luego de este golpe.