Por Angel Di Matteo   @shadowargel

A través de dicha vulnerabilidad, hackers pueden reemplazar el código que genera direcciones dentro del dispositivo y reemplazarlo por uno perteneciente a una cartera diferente, desviando las transacciones que tienen como destino el monedero del usuario. Esta modalidad de ataque es conocida como “Man-in-the-middle”.

***

Informes recientemente publicados han puesto en evidencia que, uno de los hardware más utilizados para el almacenamiento de activos digitales, Ledger, aparentemente presenta una vulnerabilidad importante que puede ser aprovechada por hackers.

La vulnerabilidad fue identificada por investigadores anónimos, y la misma permite a los delincuentes mostrar direcciones falsas a los usuarios de Ledger. Por ende, al momento de hacer una transferencia a uno de los hardware, la misma va a ser efectuada al monedero del hacker en lugar de que el operador del dispositivo reciba los fondos.

En el ecosistema de las monedas digitales los monederos físicos en hardware generalmente son considerados los medios más seguros para el almacenamiento de criptomonedas, pero la vulnerabilidad mencionada anteriormente ha perjudicado a más de un millón de usuarios, poniendo en evidencia que quizás los dispositivos no pueden proteger de forma efectiva los activos de sus usuarios.

El equipo de Ledger reconoció la vulnerabilidad reportada mediante un mensaje en su cuenta oficial de Twitter publicado el día 3 de febrero del presente año, en el cual también compartió un informe en versión PDF en el que se describían a detalle las especificaciones técnicas asociadas.

En el informe se explicaba que una billetera Ledger crea una nueva dirección cada vez que se recibe un pago, pero mediante el ataque denominado “Man-in-the-middle”, mientras el dispositivo intenta generar una dirección diferente a la anterior, la misma es reemplazada y los activos se transfieren a otra persona si el computador donde se conecta el dispositivo está infectado con el malware que hace posible esto.

Una vez comprometido el equipo, el atacante puede reemplazar el código que genera las nuevas direcciones, lo que termina desviando los fondos destinados al dispositivo del usuario.

En el informe se lee:

“Un atacante podría tener control de la pantalla de su computador y mostrarle una dirección incorrecta, lo cual haría a esta persona beneficiaria de cualquier transacción que le sea enviada”.

Esto ocurre porque el hardware emplea un código JavaScript que se ejecuta en la computadora. Si el equipo en el cual se conecta el dispositivo Ledger está infectado con un malware, lo único que se necesita es reemplazar el código que genera las direcciones por el que emplea la billetera del hacker.

Para evitar ser víctima de este ataque, lo primero que deben hacer los usuarios es verificar si la dirección propuesta por la billetera es correcta antes de que sean transferidos los fondos. Para ellos se debe hacer clic en el botón situado debajo del código QR. Una vez hecho esto se mostrará la dirección provista por el hardware y allí se podrá verificar si la misma es válida.

En el informe también se explica que los usuarios de Ether lamentablemente no pueden hacer uso de esta propiedad, ya que la aplicación para Ethereum no posee estas mismas propiedades por lo que los usuarios no pueden verificar si la dirección empleada es correcta o no.

Método para verificar la validez de la dirección aportada por el dispositivo Ledger. Imagen tomada de la cuenta de Twitter de Ledger

A pesar de las acciones del equipo de trabajo, los investigadores que identificaron e informaron sobre la vulnerabilidad a Ledger también aseguraron que la compañía se tomó de manera muy poco seria los reportes realizados:

“Nos pusimos en contacto directamente con el CEO y con el CTO de Ledger justamente para informarles sobre el problema y trabajar en privado para solucionarlo. Tan solo recibimos una respuesta, en la cual se nos solicitó que enviásemos los detalles de la vulnerabilidad. Desde entonces, todos nuestros correos han sido ignorados por más o menos tres semanas, y recientemente recibimos un mensaje en el cual nos informaron que no iban a realizar ningún arreglo o cambio”.

Los investigadores agregaron:

“El CTO de Ledger aseguró que no se realizarían cambios o correcciones (Dejaron de lado nuestra recomendación de solicitar al usuario que valide la dirección en la cual desea recibir los activos), pero aseguró que en la compañía trabajan para crear conciencia sobre lo ocurrido, para que los usuarios puedan protegerse de estos ataques”.

En relación a los eventos ocurridos, el equipo de Ledger ha publicado una serie de anuncios a través de su cuenta de Twitter en los cuales informa a los usuarios sobre el ataque “Man-in-the-middle”, y reiteran a los usuarios que aunque han centrado su trabajo en garantizar la mayor seguridad para los activos digitales, de momento no hay soluciones definitivas que mantengan a buen resguardo saldos en criptomonedas, por lo que invitan también a las personas a estar muy atentas a la hora de realizar transacciones y verificar adecuadamente que todo vaya conforme a lo previsto.

Para mayor información le invitamos a revisar el instructivo publicado por el equipo de Ledger para prevenir este tipo de ataques, al cual podrá acceder haciendo clic aquí. Tenga presente que el mismo se encuentra escrito en inglés.

Con información de HackRead

Versión ampliada por Angel Di Matteo para DiarioBitcoin

(Imagen principal con derechos para su reutilización tomada de Pixabay)

ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.