Un joven británico de 15 años de edad, Saleem Rashid, logró hackear y vulnerar la seguridad de la cartera BitFi, promocionada por John McAfee como un dispositivo “inhackeable” uno de los métodos considerado como el más seguro que existen para guardar criptomonedas, el llamado almacenamiento en frío, que usa dispositivos físicos que no están conectados a Internet.
Rashid utilizó el dispositivo para jugar Doom, un videojuego de acción en primera persona. El hacker es un reconocido investigador de cyberseguridad.
El adolescente publicó en su blog que consiguió hackear el Ledger Nano S, un modelo de monedero USB del que se vendieron millones de unidades en todo el mundo.
Los dispositivos de almacenamiento en frío permiten guardar criptomonedas como Bitcoin, Ethereum o Litecoin de forma que solo se puede acceder a ellas con una clave que únicamente debería conocer su propietario.
Se cree que el fallo afecta también a otro modelo, el Nano Blue, para el que la actualización que solucionaría el problema no estará disponible “hasta dentro de varias semanas”, según confirmó al medio Quartz el responsable de seguridad de Ledger, Charles Guillemet.
Ledger, la empresa que lo fabrica, dijo que el problema ya está solucionado gracias a una actualización.
El ataque programado por Rashid está dirigido a los sistemas internos del dispositivo. Uno de ellos, el que se encarga de controlar la pequeña pantalla del aparato y las funciones USB, no distingue entre el firmware original (el código que hace funcionar al dispositivo) y el que pueda crear un tercero.
Un problema importante descubierto por el adolescente es que el atacante tendría que tener acceso físico al dispositivo antes de que este llegase a manos de la víctima. Por ejemplo, comprándolo, manipulándolo y vendiéndolo en algún portal de Internet.
En su blog, Rashid dijo que contactó con Ledger “hace unos meses” y que les mandó el código que había creado. Aseguró que no recibió ninguna recompensa por ello.
El fabricante de billeteras de hardware de Criptomonedas Ledger continúa refutando las afirmaciones de que sus dispositivos pueden ser pirateados después de que un adolescente los comprometió.
Después de que Saleem Rashid, de 15 años de edad, creara el código para “entrar por la puerta trasera” en las billeteras de Ledger en noviembre de 2017, la empresa publicó posts describiendo los sucesos como “NO críticos” y dijo que los posibles ataques “no pueden extraer las claves privadas ni la semilla”.
El CEO de Ledger acusó al adolescente de haberse “enfadado visiblemente” cuando la empresa no presentó la solución como si fuera una “actualización de seguridad crítica”, y dijo que su decisión de hacer público el problema “generó mucho pánico”.
“Es muy difícil proteger cualquier dispositivo de un atacante que tiene acceso físico al mismo. Por ello es tan importante tener fabricantes, comerciantes y servicios de reparación confiables“, comentó Craig Young, un investigador de la empresa de seguridad Tripwire.
“En este caso particular, se descubrió que cualquiera con acceso físico al monedero USB podría modificarlo para tener acceso a los fondos. Eso significa que alguien que vendiese el aparato podría después robar los fondos que se almacenen en él”.
Rashid refutó entonces las afirmaciones en los medios sociales y en un artículo en su blog personal titulado “Breaking the Ledger Security Model” (Rompiendo el Modelo de Seguridad del Ledger) el 20 de marzo, afirmando que todavía podía “extraer autónomamente la clave privada raíz una vez que el usuario desbloquee el dispositivo” y utilizarla para provocar la manipulación de direcciones de destino para transacciones.
El argumento presiona tanto a Ledger como a sus millones de usuarios, que hasta ahora habían aceptado ampliamente las afirmaciones de la compañía de que sus billeteras eran 100% seguras.
Ledger intentó reparar un total de tres vulnerabilidades de seguridad en su hardware, incluyendo la identificada por Rashid. En un post del 20 de marzo en el que se describe el progreso de las actualizaciones de seguridad, Ledger dijo a los usuarios que estarían totalmente protegidos después de actualizar sus billeteras:
“El proceso de actualización verifica la integridad de su dispositivo y una actualización 1.4.1 correcta es la garantía de que su dispositivo no ha sido objeto de ningún ataque. No hay necesidad de tomar ninguna otra acción, su semilla/llaves privadas están a salvo”.
Jhon McAfee asegura que el hacker logró acceder al root de Bitfi, pero no logró destruir la seguridad del sistema de criptomonedas. Las condiciones para obtener la recompensa eran que el hacker logre sustraer los Bitcoin dentro del dispositivo y el pirata lo único que pudo hacer fue correr Doom.
Aunque no se logró el objetivo principal, sólo es cuestión de tiempo para que pueda obtener la forma de transferir las criptomonedas del dispositivo.
