Ledger Ayuda A Trezor A Corregir Una Vulnerabilidad

El proveedor de monederos de hardware Ledger ha demostrado a Trezor que puede saltarse los controles de seguridad de los modelos Trezor Safe 3 y 5, lo que ha llevado a Trezor a corregir la vulnerabilidad.

El proveedor de monederos de hardware Trezor ha corregido una vulnerabilidad de seguridad en dos de sus últimos modelos después de que la unidad de investigación de código abierto de Ledger descubriera un fallo en sus microcontroladores.

Ledger Donjon reconoció que Trezor ha realizado varias mejoras de seguridad recientemente, pero señaló que todavía se pueden realizar operaciones criptográficas en el microcontrolador de los modelos Trezor Safe 3 y 5, lo que los hace "vulnerables a ataques más sofisticados".

Desgraciadamente, Trezor ya ha parcheado las vulnerabilidades descubiertas, dijo el CTO de Ledger, Charles Guillemet, en un post del 12 de marzo.

"Creemos que mejorar la seguridad del ecosistema es beneficioso para todos y esencial para fomentar una mayor adopción de criptomonedas y activos digitales", añadió Guillemet.

Trezor ya ha implementado los chips 'Secure Elements' diseñados para proteger el PIN del usuario y los secretos criptográficos, ya que algunos dispositivos Trezor podrían ser hackeados modificando el software que ejecutan, lo que potencialmente permitiría a los atacantes robar los fondos de los usuarios.

La función Secure Elements "impide eficazmente cualquier ataque de hardware de bajo coste, en particular los fallos de alimentación", afirmó Ledger en un anuncio del 12 de marzo.

"Esto garantiza a los usuarios la seguridad de sus fondos incluso si el dispositivo se pierde o es robado." Sin embargo, Ledger descubrió otro posible vector de ataque procedente del microcontrolador, el otro elemento central del diseño de doble chip de los modelos Safe 3 y 5 de Trezor.

Trezor resuelve la vulnerabilidad de la comprobación de integridad del firmware

Trezor implementó una comprobación de integridad del firmware para detectar software manipulado, pero Ledger fue capaz de demostrar que un atacante aún podía saltarse esta comprobación de seguridad.

Desde entonces, Trezor ha solucionado el problema, aunque ni Ledger ni Trezor han explicado cómo.

Trezor confirmó en X que los fondos de los usuarios siguen a salvo, y que no es necesario tomar ninguna medida.

Sin embargo, cuando se le preguntó si Trezor había sido capaz de corregir el problema con una actualización de firmware, el vendedor de monederos de hardware respondió: "Desafortunadamente no".

"En ciberseguridad, la regla de oro es simple: nada es completamente invulnerable. Por eso ya hemos implementado una protección multicapa contra los ataques a la cadena de suministro y siempre aconsejamos a nuestros usuarios que compren en fuentes oficiales."

En diciembre de 2023, un hacker comprometió la biblioteca de conectores de Ledger y robó criptodivisas por valor de 484.000 dólares.

Un atacante adicional, que hackeó los sistemas de Ledger, publicó las direcciones de correo electrónico de aproximadamente 270.000 clientes de Ledger en junio de 2020.

Aunque Trezor ha parcheado las últimas vulnerabilidades de seguridad identificadas por Ledger, persiste la preocupación por los posibles vectores de ataque a través del microcontrolador.

Ambas empresas destacan la importancia de las mejoras continuas de seguridad y la protección multicapa para proteger los fondos de los usuarios. A pesar de las infracciones que han afectado al sector de los monederos físicos de criptomonedas, Trezor asegura a los usuarios que sus fondos están seguros y que no es necesario tomar medidas inmediatas.