El fabricante de billeteras de hardware de Criptomonedas Ledger continúa refutando las afirmaciones de que sus dispositivos pueden ser pirateados después de que un adolescente los comprometió, Ars Technica informa hoy, 21 de marzo.
Después de que Saleem Rashid, de 15 años de edad, creara el código para “entrar por la puerta trasera” en las billeteras de Ledger en noviembre de 2017, la empresa publicó posts describiendo los sucesos como “NO críticos” y dijo que los posibles ataques “no pueden extraer las claves privadas ni la semilla”.
Rashid refutó entonces las afirmaciones en los medios sociales y en un artículo en su blog personal titulado “Breaking the Ledger Security Model” (Rompiendo el Modelo de Seguridad del Ledger) el 20 de marzo, afirmando que todavía podía “extraer autónomamente la clave privada raíz una vez que el usuario desbloquee el dispositivo” y utilizarla para provocar la manipulación de direcciones de destino para transacciones.
El argumento presiona tanto a Ledger como a sus millones de usuarios, que hasta ahora habían aceptado ampliamente las afirmaciones de la compañía de que sus billeteras eran 100% seguras.
Las billeteras de hardware a menudo son recomendadas por los nombres más conocidos de la industria Bitcoin, incluyendo al educador Andreas Antonopoulos, quien, como muchos otros, intenta disuadir a los inversores en criptomoneda del almacenamiento online de fondos.
Ledger intentó reparar un total de tres vulnerabilidades de seguridad en su hardware este mes, incluyendo la identificada por Rashid. En un post del 20 de marzo en el que se describe el progreso de las actualizaciones de seguridad, Ledger dijo a los usuarios que estarían totalmente protegidos después de actualizar sus billeteras:
“El proceso de actualización verifica la integridad de su dispositivo y una actualización 1.4.1 correcta es la garantía de que su dispositivo no ha sido objeto de ningún ataque. No hay necesidad de tomar ninguna otra acción, su semilla/llaves privadas están a salvo.”