Hechos clave:
-
Usa un chipset igual a los de los telĂ©fonos mĂłviles, sin añadidos de seguridad, segĂșn analista.
-
La firma responsable del dispositivo ofrece recompensa a quien lo vulnere.
La cartera frĂa de criptomonedas recientemente promocionada por la firma McAfee y manufacturada por la empresa Bitfi estĂĄ empezando a ser cuestionada por miembros de la comunidad de los criptoactivos, debido a la presunta falta de elementos de seguridad en su diseño, por lo que su lanzamiento podrĂa estar empañado desde el comienzo.
Andrew Tierney â consultante de seguridadâ afirmó el pasado 29 de julio, desde Twitter, que la cartera frĂa presentada por McAfee es un dispositivo de computaciĂłn Mediatek MT6580. Es decir, un chipset MT utilizado en varios telĂ©fonos del mercado, que no posee elementos visibles de seguridad para la protecciĂłn de las criptomonedas almacenadas.
So now we have pictures of the bare @Bitfi6 board.
It’s just a MEDIATEK MT6580.
No sign of a secure element.
Thanks to @Mindstalker612 pic.twitter.com/uhtYDxcQlm
â Ask Cybergibbons! (@cybergibbons) 29 de julio de 2018
Tierney afirma que «no es una pieza hardware diseñada a la medida» para la protecciĂłn de activos digitales fuera de linea, sino mĂĄs bien «un telĂ©fono Android de baja calidad». Asimismo, insistiĂł en varios tweets que la cartera frĂa posee un diseño de referencia estĂĄndar, que muestra ser un telĂ©fono «con partes no ajustadas».
* The device isn’t a custom designed piece of hardware, it’s a stripped back, low-end Android phone with parts missing.
* The processor on it doesn’t contain any specific functionality for high-integrity device.
* There isn’t any additional hardware on-board to fix this.â Ask Cybergibbons! (@cybergibbons) 29 de julio de 2018
El consultor de seguridad destacĂł que la cartera frĂa era comparativamente mucho mĂĄs costosa que otros dispositivos del mercado, tales como Ledger Nano S y Trezor âcuyo precio de manufacturaciĂłn ronda en los 10 dolaresâ, puesto que la cartera Bitfi se calcula en precio de venta en 120 dĂłlares debido a una manufacturaciĂłn mĂĄs costosa que las carteras frĂas ordinarias.
En este sentido, Tierney no critica al dispositivo por sus pagos, sino porque no posee enclave seguro, ni detecciĂłn de falsificaciĂłn, evidencia de falsificaciĂłn, ni Trustzone, requisitos mĂnimos para confirmar la seguridad de la cartera frĂa. Asimismo, exigiĂł a Bitfi que diera los detalles del enclave y las caracterĂsticas para detectar manipulaciĂłn en el dispositivo.
Bitfi contestĂł a las denuncias del consultor de seguridad afirmando que otros dispositivos del mercado tienen un diseño mucho mĂĄs bĂĄsico, describiĂ©ndolos como una simple «memoria USB». En este sentido, se separĂł de otros dispositivos del mercado alegando que la cartera estĂĄ diseñada contra robos: «Nuestra posiciĂłn es que serĂa imposible robar monedas de la cartera robada», fueron las palabras de la empresa, afirmaciones que son cuestionadas por especialistas en seguridad.
Las declaraciones de Bifti vienen reforzadas por anteriores comunicados y afirmaciones tanto de la empresa como de representantes de McAfee, quienes aseguran que la cartera frĂa es «inhackeable» e incluso ofrecen una cuantiosa recompensa para aquellos que puedan ingresar en el dispositivo.
It can’t be hacked. Fact. There is no software on the device, and no memory. So you can’t do a software hack. And the pass phrase is stored nowhere. Not in a server, not in the device … nowhere. There is nothing you can do to the hardware that will give you the pass phrase.
â John McAfee (@officialmcafee) 28 de julio de 2018
«No puede ser hackeado. Hecho. No hay software en el dispositivo ni memoria. Entonces no puedes hacer un hack de software. Y la frase de contraseña no se almacena en ninguna parte: no en un servidor, no en el dispositivo … en ninguna parte. No hay nada que pueda hacer con el hardware que le darĂĄ la frase de contraseña», afirma McAfee respecto a la cartera que promociona, declaraciones que han generado aĂșn mĂĄs estupor en la comunidad.
MĂĄs allĂĄ de las discusiones, Bitfi se excusĂł destacando que la cartera sĂłlo posee 2 meses de lanzamiento, por lo cual todavĂa no han abordado las inquietudes de seguridad pero lo harĂĄn prĂłximamente, asĂ como han invitado a que internautas intenten hackear la red.
Oh believe me, some of the top people in the world are doing just that. We just launched 2 months ago. These things take a little time but itâs coming and it will embarrass you
â Bitfi (@Bitfi6) 30 de julio de 2018
La comunidad se encuentra escéptica
Usuarios de la comunidad que discutieron con Bitfi afirmaron que la venta del dispositivo «es una estafa». También exigen una publicación explicativa en las redes sociales que aborde las inquietudes de los clientes acerca de los implementos de seguridad del dispositivo.
Otros internautas se burlaron de la capacidad de seguridad del dispositivo, afirmando que cualquier herramienta que posee la capacidad de conectarse a WiFi es un dispositivo de almacenamiento de seguridad frĂĄgil:
Lol not surprising. A hardware wallet connecting to WiFi. Sounds real secure.
Makes me sad to see things like this going on in the space. Taking advantage of uneducated people for a quick buck.
This needs to stop for crypto to mature and go mainstream.
â Scitoshi Nakayobro (@sci4me) 29 de julio de 2018