BBC Mundo

Cómo un adolescente logró hackear el dispositivo considerado más seguro para almacenar criptomonedas

Un joven de 15 años logró manipular un monedero físico, la forma más segura de almacenar criptomonedas, para robar los fondos que se guardasen en él. La empresa que lo fabrica asegura que se "exageró el peligro".

PUBLICIDAD

De los métodos que existen para guardar criptomonedas, el llamado almacenamiento en frío (que usa dispositivos físicos que no están conectados a internet) está considerado como el más seguro.

Pero un adolescente británico de 15 años tiene algo que decir al respecto.

PUBLICIDAD

El joven, Saleem Rashid, publicó en su blog que consiguió hackear el Ledger Nano S, un modelo de monedero USB del que se vendieron millones de unidades en todo el mundo.

  1. Japón: cómo fue el "mayor robo de criptomonedas" del mundo sufrido por Coincheck por más de US$500 millones
  2. Cómo Colombia se convirtió en el país de América Latina en el que más crece la compra y venta de bitcoins

Los dispositivos de almacenamiento en frío permiten guardar criptomonedas como Bitcoin, Ethereum o Litecoin de forma que solo se puede acceder a ellas con una clave que únicamente debería conocer su propietario.

El código que escribió Rashid permitiría a un atacante vaciar todos los fondos que se almacenan en uno de estos aparatos sin conocer la contraseña.

Ledger, la empresa que lo fabrica, dijo que el problema ya está solucionado gracias a una actualización.

  1. Qué es es el bitcoin cash, la moneda nacida del bitcoin
  2. Donald Trump firma orden ejecutiva que prohíbe en Estados Unidos hacer transacciones con el petro, la criptomoneda del gobierno de Venezuela

Se cree que el fallo afecta también a otro modelo, el Nano Blue, para el que la actualización que solucionaría el problema no estará disponible "hasta dentro de varias semanas", según confirmó al medio Quartz el responsable de seguridad de Ledger, Charles Guillemet.

PUBLICIDAD

Sin recompensa

El ataque programado por Rashid está dirigido a los sistemas internos del dispositivo. Uno de ellos, el que se encarga de controlar la pequeña pantalla del aparato y las funciones USB, no distingue entre el firmware original (el código que hace funcionar al dispositivo) y el que pueda crear un tercero.

Un problema importante descubierto por el adolescente es que el atacante tendría que tener acceso físico al dispositivo antes de que este llegase a manos de la víctima. Por ejemplo, comprándolo, manipulándolo y vendiéndolo en algún portal de internet.

En su blog, Rashid dijo que contactó con Ledger "hace unos meses" y que les mandó el código que había creado. Aseguró que no recibió ninguna recompensa por ello.

  1. Por qué Irán está creando su propia criptomoneda y cuáles son los potenciales riesgos
  2. ¿Qué puedes hacer para convertir tus bitcoins en dinero de verdad?

Dijo que decidió publicar el problema de seguridad después de que el CEO de Ledger, Eric Larcheveque, hiciese comentarios "llenos de imprecisiones técnicas" sobre ello en Reddit.

"Se exageró el peligro"

"Como resultado, me preocupó que esta vulnerabilidad no fuese bien explicada a los clientes", escribió Rashid.

En sus comentarios en Reddit, Larcheveque dijo que el problema de seguridad había sido "exagerado enormemente".

"Aunque es factible, esta prueba de concepto no es desde luego de una severidad crítica, y nunca ha sido demostrada", escribió.

El CEO de Ledger acusó al adolescente de haberse "enfadado visiblemente" cuando la empresa no presentó la solución como si fuera una "actualización de seguridad crítica", y dijo que su decisión de hacer público el problema "generó mucho pánico".

  1. ¿Cómo y dónde comprar bitcoins?: guía básica para invertir en el "oro digital" y cuáles son los riesgos
  2. "Una gigantesca estafa está por explotar en la cara de muchísimas personas" advierte Jordan Belfort, el hombre que inspiró el "lobo de Wall Street"

"Es muy difícil proteger cualquier dispositivo de un atacante que tiene acceso físico al mismo. Por ello es tan importante tener fabricantes, comerciantes y servicios de reparación confiables", comentó Craig Young, un investigador de la empresa de seguridad Tripwire.

"En este caso particular, se descubrió que cualquiera con acceso físico al monedero USB podría modificarlo para tener acceso a los fondos. Eso significa que alguien que vendiese el aparato podría después robar los fondos que se almacenen en él".

"Afortunadamente para los propietarios de un dispositivo Ledger, la compañía fue debidamente informada del problema y se minimizó el riesgo para los usuarios finales", afirmó Young.

Hace unas semanas, Ledger confirmó que otro fallo permitía que sus monederos pudieran sufrir otro tipo de ataque en el que sus usuarios podían ser engañados para mandar criptomonedas a hackers sin saberlo.


Ahora puedes recibir notificaciones de BBC Mundo. Descarga la nueva versión de nuestra app y actívalas para no perderte nuestro mejor contenido.

PUBLICIDAD

Tags

Lo Último