-
El Attack Lab de Ledger habría hackeado el diseño de Trezor, encontrando varias vulnerabilidades.
-
Trezor se defendió señalando que ninguno de los vectores mencionados son explotables.
Ledger y Trezor, dos de los más reconocidos proveedores de monederos fríos para el resguardo de criptomonedas, discutieron públicamente luego de que la empresa francesa Ledger expusiera una serie de fallas de seguridad en el diseño de Trezor durante un evento público, celebrado en Massachusetts, Estados Unidos.
Durante el segundo día de la MIT Bitcoin Expo 2019, el Chief Security Officer (CSO) de Ledger, Charles Guillemet aseguró que la empresa ha trabajado para elevar la seguridad de sus propios dispositivos, pero también ha experimentado con otros hardwares especializados disponibles en el mercado, como Trezor, y reportó varias vulnerabilidades de los modelos Trezor T y Trezor One.
Entre los vectores de ataque señalados por Guillemet está el proceso para la asignación de una palabra clave para el monedero, las fallas asociadas a la cadena de suministro, que posibilitan el hackeo de los dispositivos antes de su venta al usuario final, entre otros. Algunos de estos errores pueden llegar a ser críticos, de acuerdo con el ejecutivo de Ledger.
La empresa publicó un informe detallado, asegurando que no se trata de un ataque contra la marca, asociada a Satoshi Labs, sino de una revisión que es útil a toda la industria manufacturera de este tipo de equipos. «Tenemos la responsabilidad de mejorar la seguridad en todo el ecosistema de blockchain siempre que sea posible», se lee en el reporte.
Trezor responde
La respuesta de Trezor no se hizo esperar. “Ninguno de estos ataques son remotamente explotables”, afirmó la empresa en su respuesta oficial, publicada este 12 de marzo, refiriéndose a las vulnerabilidades destacadas por Ledger.
Según señala esta empresa, todos los vectores de ataque descritos por Ledger requieren acceso físico y un nivel técnico elevado, de manera que estas fallas tienen un alcance sumamente bajo, argumenta Trezor, tanto para sus productos, como para el resto de fabricantes de este tipo de equipos y que podrían verse comprometidos por vectores similares.
El enfoque de la empresa para el desarrollo de este tipo de equipos es evitar los ataques remotos, atendiendo a una necesidad de la industria.
De acuerdo con su comunicado, la empresa realizó un estudio de mercado junto a Binance para saber cuáles son los vectores de ataque que más preocupan a los miembros de la comunidad, hallando que más del 66% de los participantes consideran más amenazantes los ataques remotos que el acceso físico a los equipos, señalado por un poco más del 5% de quienes respondieron al estudio.
En combinación con frases de contraseña sólidas y al menos los principios básicos de seguridad operativa, incluso los ataques físicos presentados por Ledger no pueden afectar a los usuarios de Trezor.
Trezor
La empresa aseguró que los ataques asociados a la cadena de suministro son peligrosos para toda la industria. Además, debido a que la empresa está registrada bajo la jurisdicción de la Unión Europea (UE), el seguimiento de los productos es más riguroso, pero ni así es posible asegurar completamente la integridad de los dispositivos, tanto para Trezor como para Ledger o cualquier otro fabricante en general.
Trezor agradeció la colaboración de los investigadores de la empresa francesa, pues estos reportaron algunas fallas de baja incidencia en el código del software de sus dispositivos. El resto de los vectores de ataque señalados, debido a la necesidad de acceso físico, pueden ser mitigados con la asignación de una palabra clave (o varias).
Sin embargo, la empresa aprovechó para dejar claro que ningún equipo, por más especializado que sea, es inhackeable, por lo que los investigadores y diseñadores de este tipo de hardware solo mitigan posibles ataques, como en su caso.
El intercambio de argumentos en torno a la seguridad y la celeridad de la respuesta de Trezor, sugiere que ambas empresas están activas en el desarrollo y mejoramiento de sus productos, siendo competidores en un mismo mercado.
Muestra de ello es que a inicio de mes, Ledger reportó una potencial vulnerabilidad que fue detectada en su aplicación para Monero. La empresa incluso recomendó a sus usuarios no utilizar la aplicación con la más reciente actualización de su cliente v0.14.
Imagen destacada por Anton Gvozdikov / stock.adobe.com