Uno de los responsables de la empresa Ledger ha reconocido en la publicación Quartz la incidencia en su cartera de criptomonedas Nano Blue.
La susceptibilidad de CryptoFunds a piratear y robar es una gran preocupación en la industria. Más de 8.000 millones de dólares en bitcoins han sido robados de los intercambios desde 2011, según ha descubierto Reuters .
Por lo tanto, no es sorprendente que un dispositivo de alta seguridad para almacenar criptomonedas haya vendido más de un millón de unidades. Pero contenía una vulnerabilidad, según descubrió un investigador de seguridad. Ledger, la startup francesa detrás del Nano S, dice que ha resuelto el problema después de ser notificado por el investigador, pero la brecha aún existe en un segundo producto menos popular, el Nano Blue, y ese arreglo no estará disponible para varias semanas. Así lo aseguró el jefe de seguridad de la firma, Charles Guillemet. Ledger dice que no tiene conocimiento de ningún fondo que haya sido robado de los dispositivos.
La persona que expuso estas vulnerabilidades es un hacker británico de 15 años llamado Saleem Rashid. Encontró la forma de que un atacante accediera a las claves criptográficas almacenadas en los dispositivos de Ledger, controlando así los fondos en el dispositivo e incluso la pantalla del dispositivo. En una publicación de blog que explica las vulnerabilidades del Ledger Nano S, Rashid describió un escenario de ataque como «trivial to perform».
¿Es seguro el elemento seguro?
Así es como funciona el ataque: las billeteras Ledger utilizan algo llamado secure element, un chip especial a prueba de manipulaciones, que se promociona como una característica clave de seguridad. Los elementos seguros se usan ampliamente en pasaportes, tarjetas de identidad y se usan para almacenar información de pago en iPhones. Pero estos chips a menudo no pueden procesar mucha información o estar conectados a periféricos como una pantalla. El elemento de seguridad en el Nano S está, por lo tanto, conectado a un microcontrolador que hace esas cosas, pero en sí mismo no es seguro en la misma medida. Este microcontrolador es en lo que se enfoca el ataque de Rashid.
Un atacante necesita instalar de alguna manera una versión personalizada del firmware que se ejecuta en el microcontrolador de la billetera Ledger. Este es un proceso que toma 20 segundos o menos, dice Rashid. Una forma de hacerlo es tener la posesión física de una billetera antes de que llegue a manos de un usuario, lo que podría suceder si una billetera se viera comprometida y luego se vendiera en eBay, por ejemplo.
Tal escenario se conoce como un ataque a la cadena de suministro y podría afectar a cualquier dispositivo que no se envíe directamente del productor al cliente. En el caso de Ledger, dice que la mayoría de sus billeteras Nano S se venden directamente a los consumidores, pero algunas se venden a través de minoristas de terceros . Estos van desde Amazon hasta pequeñas empresas que se especializan en productos de criptomonedas. Ledger aún no ha proporcionado la cantidad de dispositivos vendidos a través de terceros. Guillemet, el director de seguridad, dice que la firma no realiza ninguna auditoría de sus revendedores autorizados.
Rashid también dice que los dispositivos Ledger Blue menos populares probablemente sufran del mismo agujero de seguridad porque tienen un diseño similar, aunque no probó el ataque en las billeteras Ledger Blue. Guillemet confirma esto, pero dice que todos los Ledger Blues se vendieron directamente a los usuarios, y solo unos pocos miles se vendieron en total.
Envíos en cajas protegidas
Ledger envía sus dispositivos en cajas que se jactan de que no están aseguradas con etiquetas adhesivas antimanipulación. «Los dispositivos Ledger están diseñados para ser inviolables», dice el empaque (ya sea que el dispositivo se venda directamente o a través de un tercero). No hay planes para agregar etiquetas adhesivas antimanipulación, o para cambiar el lenguaje que comunica esto a los clientes, dice Guillemet, en parte porque eso no proporcionaría una protección significativa. «No añadiremos una pegatina antimanipulación que cualquiera pueda comprar por solo un dólar», dijo.
Mientras tanto, los dispositivos Ledger no vendidos que no se han actualizado seguirán siendo objetivos lucrativos para los piratas informáticos. «Hay decenas, o cientos de miles de estos puestos en estantes de vendedores más o menos respetables», dice Kenn White, un investigador de seguridad que revisó el trabajo de Rashid, y que es director del Open Crypto Audit Project. «Es una época dorada para los estafadores. En algunos casos, las personas confían los ahorros de sus vidas en estas billeteras [de hardware], por lo que el incentivo para manipularlo es alto».
El consejero delegado de Ledger, Éric Larchevêque, acusó a Rashid en la revista Quartz de realizar un » desafortunado truco publicitario » por la forma en que advirtió a los usuarios sobre la vulnerabilidad en Twitter . Las divulgaciones públicas de los agujeros de seguridad son una práctica común entre los investigadores independientes. Rashid también tiene problemas con la forma en que Ledger ha implementado su solución para sus clientes. Ledger ha hecho que la actualización de seguridad sea opcional, y la ha descrito como «grave pero no crítica». Rashid dice que este enfoque deja a los usuarios vulnerables.
Impacto en todo el sector
Los hallazgos de Rashid tienen ramificaciones a largo plazo para la industria de criptomonedas y Ledger. La dependencia de un microcontrolador que puede manipularse significa que la empresa ahora está bloqueada en una carrera contra los posibles hackers para seguir aumentando las defensas en este componente. «La idea de que los usuarios simplemente pueden actualizar y hacerse es tremendamente ingenua», dice White. «Ledger continuará agregando medidas resistentes a la manipulación al [microcontrolador], pero en última instancia, es solo un juego de Whack-A-Mole de forma larga».
Ledger es uno de los beneficiarios de la fiebre del oro crypto, que vende selecciones metafóricas y palas a los inversores ansiosos. Ha obtenido más de 100 millones de dólares en ingresos del Nano S, y recaudó 75 millones de dólares de los inversores de marquesina en enero. Está agregando funciones que transformarán sus dispositivos de simplemente almacenar criptomonedas a poder intercambiar monedas con otros usuarios.
Incluso el jefe de seguridad de Ledger reconoce que los hackers continuarán apuntando a los dispositivos de su empresa. Pero confía en que Ledger tenga las habilidades técnicas para mantenerse por delante de los atacantes. «La seguridad es claramente un juego del gato y el ratón», dice Guillemet. «Pero cuando juegas con un elemento seguro, es más fácil resistirlos».