Por Angel Di Matteo   @shadowargel


Los investigadores de Kraken aseguran que la vulnerabilidad en los Trezor está a nivel de hardware, por lo que recomiendan a usuarios utilizar contraseñas.

***

Kraken Security Labs, la dirección de investigación de seguridad para el exchange Kraken, identificó y reportó una vulnerabilidad importante en el hardware para el almacenamiento de criptomonedas Trezor, con el cual piratas informáticos podrían tomar control de los códigos seed (semilla) en menos de 15 minutos.

De acuerdo con una publicación en el blog oficial de Kraken, los investigadores indican que hackers podrían tomar control de una falla a nivel eléctrico en los dispositivos,  y de esta forma extraer los códigos seed tanto de los dispositivos Trezor One como Trezor Modelo T.

Kraken reporta vulnerabilidad en hardware Trezor

Al respecto, el jefe de seguridad de Kraken, Nick Percoco, indicó que la falla es a nivel de hardware, específicamente en el microcontrolador utilizado por las billeteras, la cual no podría ser corregida simplemente con parches de software:

Se trata de una falla presente en el hardware, no es algo que puedan cubrir con una actualización formal y compartir con todos los clientes. Este problema solo podría abordarse haciendo una revisión técnica y lanzando un nuevo dispositivo.

Percoco aseguró que Trezor tenía conocimiento de esta vulnerabilidad desde el diseño del producto, e indicó que Kraken hizo sus investigaciones en 2019 para dar con las brechas de seguridad que facilitaron el ataque a los dispositivos de almacenamiento en aquel momento.

Trezor responde

Además de Kraken, el equipo de seguridad de Ledger también llevó a cabo una investigación al respecto para detectar las brechas de seguridad presentes en los dispositivos de la compañía.

Tras los anuncios de Kraken, el equipo de Trezor respondió a través de su cuenta de Twitter publicando el mismo mensaje con el que respondió a los investigadores de Ledger en 2019, en el cual aseguraban que los ataques que vulneraron la seguridad de los dispositivos no fueron efectuados de forma remota, y que los usuarios pueden activar sus frases de contraseña BIP 39 para proteger sus fondos alojados en los dispositivos.

Al respecto, el equipo de Trezor agregó:

El acceso físico a los dispositivos es una amenaza vigente para el 6-9% de los usuarios… Si una persona es vulnerable a este tipo de amenaza, recomendamos utilizar las funciones de contraseña. Pero reiteramos que el común de los usuarios no están expuestos a este tipo de riesgos.

Responsabilidad de los usuarios

Tras este comentario, Percoco respaldó las afirmaciones del equipo de Trezor, pero también indicó que la propuesta que hacen únicamente figura como una medida opcional que queda a discreción del usuario final, la cual no necesariamente habilitan en todos los casos.

Al respecto, Percoco comentó:

Entonces, las recomendaciones reales aquí son: Asegurarse de que sea únicamente el usuario quien tiene acceso físico a su dispositivo Trezor y agregar una contraseña adicional para ingresar a la billetera.

El investigador de Kraken aseguró que la intención tras hacer estos anuncios tiene que ver con crear conciencia sobre este tipo de vulnerabilidades, e informar a los usuarios sobre las medidas que deben tomar para garantizar la seguridad de los fondos alojados en estos dispositivos.

Fuente: TheBlockCrypto / Bitcoinist / Coingape / Blog Kraken 

Versión de Angel Di Matteo / DiarioBitcoin

Imagen de Twitter