Un experto en seguridad informática llamado Ryan Castelucci ha publicado una revisión de la nueva cartera fría de criptomonedas ‘inhackeable’ de McAfee, llamada Bitfi, donde asegura que la seguridad de este dispositivo es ‘terrible’, e insta a los usuarios a no utilizarla.

Es importante aclarar que Castelucci no cuenta con el dispositivo en su poder, y su análisis se ha basado en el código fuente de la cartera que ha sido publicado por el equipo de Bitfi. John McAfee afirmó hace algunos días que recompensará con US$ 100,000 a cualquier persona que pueda romper la seguridad de la cartera, sin embargo, Castelucci considera que este programa es injusto.

El investigador asegura que las reglas de la recompensa están diseñadas especialmente para desacreditar a los investigadores de seguridad, y no para ayudar a Bitfi a identificar vulnerabilidades, ya que según sus desarrolladores, la seguridad es inquebrantable y no hay nadie que pueda descifrar el acceso a la misma. En concreto, Bitfi parece desafiar a las personas a hacer aparentes ‘intentos inútiles’ por hackear el dispositivo.

De hecho, Castelucci afirma que este tipo de programas forma parte de una técnica llamada ‘Bandera Roja’ por el investigador Bruce Schneider hace más de 20 años. En el caso de Bitfi, se llama ‘programa de recompensas’, y con ello buscan hacerlo pasar por los programas de bonificación de vulnerabilidades legítimos, que generalmente son de amplio alcance.

Como vemos, el problema de Castelucci tiene que ver con la manera en que Bitfi impide que los desarrolladores investiguen de forma transparente la seguridad de la cartera. Pero otro investigador de seguridad, llamado Andrew Tierney, dijo hace un par de días a través de su cuenta de Twitter que la cartera fría de McAfee es un dispositivo de Mediatek MT6580, un chipset que usan varios smartphones de baja calidad actuales, y que no cuenta con elementos de seguridad visibles para proteger los activos almacenados.

Tierney agrega que este dispositivo de hardware no es óptimo para la protección de criptomonedas off-line, sino más bien para garantizar el correcto funcionamiento de un dispositivo Android de gama baja. De hecho, no critica Bitfi por el envío de criptomonedas, sino más bien porque no cuenta con un enclave robusto, ni evidencia de falsificación o detección de falsificación.

En este caso, Bitfi respondió sin ofrecer mayores detalles técnicos, argumentando una vez más que es imposible robar criptomonedas desde este dispositivo.