Ledger arregla la vulnerabilidad de la cadena de suministro de Nano X

Tras un informe de los Laboratorios de Seguridad Kraken, una división de seguridad cibernética de Kraken, que demostró que la cartera de hardware del Ledger era susceptible de un ataque a la cadena de suministro, el fabricante del dispositivo ha anunciado que ha solucionado el problema con una nueva actualización de firmware para el Ledger Nano X. El parche sólo tiene como objetivo el Ledger Nano X y no el Ledger Nano S. El fabricante ha dicho que el elemento de seguridad del monedero no se ha visto afectado, lo que significa que la vulnerabilidad no compromete la seguridad de la frase de 24 palabras, las claves privadas y el código PIN. La vulnerabilidad es puramente física y ha sido abordada completamente con el parche. El equipo también subraya que la probabilidad de este ataque es muy baja. Ledger agradeció a Kraken por descubrir la vulnerabilidad, que dicen que el laboratorio de seguridad de Ledger, el Ledger Donjon, ya lo había descubierto por su cuenta.

¿Qué descubrió Kraken?

El 8 de julio, los Laboratorios de Seguridad Kraken identificaron dos ataques a la cadena de suministro que fueron posibles ataques contra las carteras de Ledger Nano X. Como su nombre indica, los ataques a la cadena de suministro implican la manipulación del dispositivo antes de que sea entregado al usuario. Esto puede ocurrir en cualquier lugar de la cadena de suministro, tal vez perpetrado por un revendedor malintencionado o por ser interceptado. El dispositivo está comprometido y es el objetivo de los atacantes. Kraken informó que el firmware del “procesador no seguro” se modifica para utilizar un protocolo de depuración como dispositivo de entrada, que luego puede enviar pulsaciones de teclas maliciosas al ordenador central del usuario. El informe dice:

El Ledger Nano X se envía con la funcionalidad de depuración activada en su procesador no seguro, una característica que se desactiva tan pronto como la primera ‘aplicación’, como la aplicación Bitcoin, se instala en el dispositivo. Sin embargo, antes de que se instale cualquier aplicación, el dispositivo puede ser reflotado con firmware malicioso que puede comprometer el ordenador central, similar a los ataques “BadUSB” y “Rubber Ducky”.

En resumen, el ataque utiliza el monedero como teclado y también puede utilizarse para ejecutar ataques de malware en el ordenador de la víctima.

Los monederos de hardware siguen siendo los más seguros, pero siempre es necesario actualizarlas

Ledger es una de las carteras de hardware más populares del mercado y actúa como una solución de almacenamiento fuera de línea utilizada por los inversores para almacenar de forma segura grandes cantidades de sus inversiones en activos digitales. Aunque es mucho más segura que la web, los monederos de escritorio y las carteras móviles, periódicamente los equipos de seguridad publican informes que demuestran que la protección no es hermética. En su haber, fabricantes como Ledger y Trezor han corregido históricamente los problemas poco después de ser descubiertos. Un informe reciente publicado por HTF MI ha demostrado que la compra de carteras de hardware se ha ralentizado como resultado de la pandemia de COVID-19. Sin embargo, las soluciones de almacenamiento seguro siguen siendo un área importante de investigación y desarrollo a medida que más inversores entran en el mercado.