ACTUALIZACIÓN (4 de febrero, 21:40 EST, 2018): este artículo fue modificado para corregir la información relacionada con las recomendaciones que fueron rechazadas por parte de Ledger, cuya respuesta fue provista por su CTO y no su CEO.
Ha sido reportado que las carteras frías de criptomonedas de la marca Ledger presentan una debilidad de seguridad que podría poner el peligro los fondos recibidos, ya que un malware podría cambiar la dirección de recibo sin que el usuario se dé cuenta.
La situación fue revelada en un documento titulado ‘Ledger Receive Address Attack’ (Ataque en la dirección de recepción de Ledger) compartido a través de Docdroid. En este, se explica con detalle que a pesar de las ventajas de seguridad que poseen las hardware wallets, las carteras frías Ledger poseen una vulnerabilidad que se debe al hecho de que generan direcciones de recibo distintas para cada transacción. Esto se realiza como medida de seguridad para que los fondos del usuario estén distribuidos en lugares diferentes en caso de un hackeo, pero hace posible que la persona no conozca sus propias direcciones, ya que estas se generan aleatoriamente.
En el caso de que un malware logre filtrarse en la computadora que está conectada a los dispositivos, este podría fácilmente cambiar la dirección de recibo generada por una distinta. Por dicha razón, los fondos no llegarían a la cartera del recipiente original sino a la que decida el hacker.
El documento da un ejemplo de cómo podría cambiarse el código que crea la dirección destino sin que el virus tenga que apoderarse de permisos de administrador, porque el acceso a esta característica se encuentra en una carpeta sin encriptar llamada AppData a la que puede accederse cuando se conecta el Ledger. Son necesarias menos de 10 líneas en código Python para realizar esto. El software del dispositivo no tiene un proceso de verificación de seguridad que impida que se modifiquen los archivos de origen.
La investigación fue enviada al equipo de Ledger el día 4 de enero. El 27 del mismo mes, el CTO de la compañía respondió que no se realizarían modificaciones pero que crearían una campaña de concientización para que los usuarios utilizaran una característica existente, que permite ver la dirección en el dispositivo USB para compararlo con la dirección de la computadora. El 3 de febrero compartieron la información en su cuenta oficial de twitter.
To mitigate the man in the middle attack vector reported here https://t.co/GFFVUOmlkk (affecting all hardware wallet vendors), always verify your receive address on the device’s screen by clicking on the "monitor button" pic.twitter.com/EMjZJu2NDh
— Ledger (@LedgerHQ) 3 de febrero de 2018
Un post en el blog oficial de Ledger fue actualizado el día de hoy con recomendaciones de seguridad para proteger las carteras frías. Se enfatizó que se debe confirmar la dirección de recibo tanto en el equipo como en la computadora para asegurarse de que ambas coincidan, pues no pueden controlar los malware que estén afectando lo que sucede en el ordenador. También se mencionó la posibilidad que esta característica no esté disponible en todos los software. De ser ese el caso, pidieron a los usuarios tomar la precaución de enviar primero una pequeña cantidad de dinero para comprobar que los fondos son recibidos en la cartera correcta.
Los malware que sustituyen las direcciones de criptomonedas de los usuarios por las de los atacantes han estado en auge durante el último año. El equipo de BitPay identificó en abril de 2016 la presencia de un virus llamado Trojan.Coinbitclip, que afecta el portapapeles de los ordenadores introduciéndose en el sistema operativo Windows a través de correos o software infectados. El virus opera de la siguiente manera: cuando un usuario intenta copiar y pegar la dirección de bitcoin de su receptor, la misma es cambiada por otra muy similar perteneciente al hacker que introdujo el virus.
Otra investigación, esta vez por parte del Malware Hunter Team, reveló hace pocos días la existencia de un malware que opera de forma similar al mencionado. El virus del tipo troyano llamado Evrial tiene la capacidad de modificar el portapapeles de Windows a su conveniencia, logrando sustituir una dirección de bitcoin copiada por otra propiedad del hacker. De esta forma, si un usuario copia una dirección a la cual desea enviar bitcoins, el virus la sustituye y el usuario terminará enviando las criptomonedas a la cartera provista por el hacker.
