Los dispositivos Ledger Nano están diseñados para almacenar criptomonedas en su interior de forma segura.
De los métodos que existen para guardar criptomonedas, el llamado almacenamiento en frío (que usa dispositivos físicos que no están conectados a internet) está considerado como el más seguro.
Pero un adolescente británico de 15 años tiene algo que decir al respecto.
El joven, Saleem Rashid, publicó en su blog que consiguió hackear el Ledger Nano S, un modelo de monedero USB del que se vendieron millones de unidades en todo el mundo.
Los dispositivos de almacenamiento en frío permiten guardar criptomonedas como Bitcoin, Ethereum o Litecoin de forma que solo se puede acceder a ellas con una clave que únicamente debería conocer su propietario.
El código que escribió Rashid permitiría a un atacante vaciar todos los fondosque se almacenan en uno de estos aparatos sin conocer la contraseña.
Ledger, la empresa que lo fabrica, dijo que el problema ya está solucionadogracias a una actualización.
Se cree que el fallo afecta también a otro modelo, el Nano Blue, para el que la actualización que solucionaría el problema no estará disponible «hasta dentro de varias semanas», según confirmó al medio Quartz el responsable de seguridad de Ledger, Charles Guillemet.
Sin recompensa
El ataque programado por Rashid está dirigido a los sistemas internos del dispositivo. Uno de ellos, el que se encarga de controlar la pequeña pantalla del aparato y las funciones USB, no distingue entre el firmware original (el código que hace funcionar al dispositivo) y el que pueda crear un tercero.
Un problema importante descubierto por el adolescente es que el atacante tendría que tener acceso físico al dispositivo antes de que este llegase a manos de la víctima. Por ejemplo, comprándolo, manipulándolo y vendiéndolo en algún portal de internet.
En su blog, Rashid dijo que contactó con Ledger «hace unos meses» y que les mandó el código que había creado. Aseguró que no recibió ninguna recompensa por ello.
Dijo que decidió publicar el problema de seguridad después de que el CEO de Ledger, Eric Larcheveque, hiciese comentarios «llenos de imprecisiones técnicas» sobre ello en Reddit.
«Se exageró el peligro»
«Como resultado, me preocupó que esta vulnerabilidad no fuese bien explicada a los clientes», escribió Rashid.
En sus comentarios en Reddit, Larcheveque dijo que el problema de seguridad había sido «exagerado enormemente».
«Aunque es factible, esta prueba de concepto no es desde luego de una severidad crítica, y nunca ha sido demostrada«, escribió.
El CEO de Ledger acusó al adolescente de haberse «enfadado visiblemente» cuando la empresa no presentó la solución como si fuera una «actualización de seguridad crítica», y dijo que su decisión de hacer público el problema «generó mucho pánico».
«Es muy difícil proteger cualquier dispositivo de un atacante que tiene acceso físico al mismo. Por ello es tan importante tener fabricantes, comerciantes y servicios de reparación confiables«, comentó Craig Young, un investigador de la empresa de seguridad Tripwire.
«En este caso particular, se descubrió que cualquiera con acceso físico al monedero USB podría modificarlo para tener acceso a los fondos. Eso significa que alguien que vendiese el aparato podría después robar los fondos que se almacenen en él».
«Afortunadamente para los propietarios de un dispositivo Ledger, la compañía fue debidamente informada del problema y se minimizó el riesgo para los usuarios finales», afirmó Young.
Hace unas semanas, Ledger confirmó que otro fallo permitía que sus monederos pudieran sufrir otro tipo de ataque en el que sus usuarios podían ser engañados para mandar criptomonedas a hackers sin saberlo.