Expertos

¿Siguen siendo seguros los monederos físicos Ledger?

Si tienes en tu poder una billetera Ledger, no te puedes perder esta información acerca de como actualizar el firmware.

single-image

Hace unos meses publicaba un post donde ponía a los monederos físicos o hardware wallets como una opción más segura para mantener nuestras criptomonedas por delante de un exchange o un monedero o cartera en software. Todavía sigo pensando igual, aunque nada está protegido al 100%.

Si entramos a la web de Ledger, unos de los mayores comercializadores de billeteras físicas, podemos leer: «Mantenga sus activos seguros. Billeteras físicas, diseñadas con los más altos estándares de seguridad». Pues bien, hace unos días anunciaron y solventaron varias vulnerabilidades. En su web ya hay nuevas actualizaciones para Ledger Nano X y Ledger Nano S.

¿Actualización de firmware? ¿Qué significa eso? Pues en pocas palabras que se actualiza el alma que hace funcionar cualquier aparato electrónico. Para que lo entendamos con un ejemplo, en cualquier ordenador existe un chip que se mantiene enchufado gracias a una pila de botón y donde se almacena el firmware, se le conoce con el nombre de BIOS. Ya puedes tener las mejores medidas de seguridad que si hay una vulnerabilidad en el firmware no te van a servir de nada.

Tarjetas SIM de teléfonos móviles, ordenadores, monederos físicos, smarts tvs, prácticamente toda la tecnología tiene firmware y cada vez los ciberdelincuentes intentan explotarlo porque saben que nadie los actualiza, ni usuarios ni empresas. El mejor consejo que doy es actualizar los equipos.

Un nuevo móvil dará un software de firmware mejorado y actualizado, al igual que un nuevo modelo de monedero físico. Es una buena práctica si lo puedes permitir, ya que así también mantienes las criptomonedas en un hardware físico nuevo que durará más sin estropearse.

¿Corren peligro nuestras criptomonedas con esta vulnerabilidad?

El día 7 de agosto de 2020 Ledger publicaba en el blog de su web la primera actualización de Ledger Nano X. La versión 1.2.4-4 del firmware estaba disponible y aportaba nuevas mejoras en la seguridad un año después del lanzamiento de Ledger Nano X. El chip MCU también se actualizó a la versión 2.10.

Explican que la actualización se debe a lo que ellos consideran una vulnerabilidad menor y ponen en negrita: tengan la seguridad de que su frase de recuperación, claves privadas y fondos no están en riesgo. También pone que el hardware es seguro incluso sin usar la actualización y nos da la opción de ver el enlace para ver toda la información al respecto.

Aprovechando la actualización implementan unas mejoras. Ahora para la Ledger Nano X al actualizar no hará falta desenchufarlo durante el proceso. Las aplicaciones que se instalaron se desinstalarán y luego se volverán a instalar automáticamente.

La actualización se debe realizar a través de Ledger Live Desktop, una decisión difícil para el equipo según afirma pero que se ha debido a que era la única forma de tener dicha actualización lo antes posible. Como experto en ciberseguridad recomiendo instalar dicha actualización.

Recordemos que los monederos Ledger tienen su propio sistema operativo llamado BOLOS. También disponen de dos chips, el MCU y llamado Secure Element igual que tarjetas SIM, pasaportes y tarjetas de crédito, para dar la máxima seguridad a la protección a datos sensibles como pueden ser los biométricos o claves privadas. Son sistemas muy robustos y muy difíciles de hackear pero los ciberdelincuentes saben que detrás hay mucho dinero y cualquier vulnerabilidad la intentarán explotar sin lugar a dudas.

¿Por qué es una vulnerabilidad menor la de Ledger?

Según indican en su web la vulnerabilidad afecta al chip MCU y no al Secure Element que es el que guarda toda la información. Por tanto al no verse afectado el Secure Element no se puede extraer la frase de 12 palabras, PIN o claves privadas.

Además de que para explotar la vulnerabilidad hay que tener acceso físico a su Ledger Nano X, por no decir que una vez instalado cualquier aplicación en él necesitaría muchos conocimientos técnicos. Con la actualización aseguran que la vulnerabilidad queda parcheada.

Al parecer según indican es su blog cuando se suministra cualquier Ledger Nano X el protocolo de depuración JTAG / SWD se deshabilita cuando se instala una aplicación. Pero alguien con acceso físico a la billetera física de antemano para que mantenga habilitada siempre la opción de depuración incluso después de instalar una aplicación.

A priori como se podría infectar el chip MCU, Ledger, nos recuerda, que no hay posibilidad de acceso al Secure Element que contiene la información encriptada referente a datos sensibles. Con la actualización el modo depuración queda deshabilitado permanentemente.

¿Qué más se corrige en Ledger Nano X con la actualización?

Al parecer hay posibilidad de que un usuario de Nano X sea engañado por medio de ingeniería social debido a un error entre el chip MCU y la pantalla OLED. El equipo de Kraken descubrió que se podría apagar la pantalla OLED desde el chip MCU. Se le podría apagar la pantalla a un usuario pero el teclado seguir activo y por tanto seguir procesando acciones, de manera que se engañe al usuario a aceptar una transacción incorrecta.

Mi opinión como experto en ciberseguridad y perito informático

Recomiendo encarecidamente a los usuarios de Ledger Nano X que realicen la actualización lo antes posible y también para la Ledger Nano S que desde el día 11 de agosto de 2020 está disponible.

Es cierto que la vulnerabilidad es menor, ya que por un lado afecta al chip MCU que no almacena datos sensibles y por otro se basa en el acceso físico al monedero (no por medios telemáticos), pero cualquier vulnerabilidad se puede explotar y eso es un riesgo. Además con el añadido que esté conforme viene de fábrica sin ninguna aplicación instalada el porcentaje de éxito es difícil pero no imposible.

También recomiendo comprar Ledger Nano X directamente del fabricante o lugares de mucha confianza. Si lo compra por un intermediario o de segunda mano se arriesga a que le hayan podido insertar algún tipo de malware que aunque no va a tener acceso directamente a sus datos sensibles lo puede hacer indirectamente.

Instalando un malware como un Keylogger puede leer las pulsaciones del teclado y ser enviadas por correo electrónico al ciberdelincuente, entre otras cosas.

Aun así considero las billeteras en hardware muy seguras con respecto a otros sistemas. Aquí tienes los enlaces con la web oficial donde se explica paso a paso como se hace la actualización.

Aprovecho la ocasión para presentarles mi nuevo libro «El imperio de Bitcoin» que seguro que a todos los que les apasiona como a mí las criptomonedas le parecerá interesante.

Para más información de como adquirirlo:

Deja un comentario

Loading data ...
Comparison
View chart compare
View table compare