Un simple malware podría ocasionar graves problemas para los propietarios de alguna de las carteras de hardware Ledger.
Los dispositivos para almacenado de criptomonedas manufacturados por la firma Ledger, también conocidos como carteras de hardware, son algunos de los más vendidos a nivel mundial. Solo el año pasado consiguieron despachar más de un millón de unidades gracias al ingente interés en las divisas virtuales que experimentamos en 2017, creando la necesidad a los usuarios de poner sus ganancias a buen recaudo. Ahora se descubre que estas cuentan con una vulnerabilidad que podrían truncar la realidad de ser el dispositivo más seguro en el que almacenar las criptodivisas personales.
Ledger comenzó a comercializar estas carteras porque, según explican, "los ordenadores no pueden considerarse seguros", dado que pueden ser infectados con mayor facilidad. Estas carteras físicas suponen, por tanto, una barrera de protección adicional ante potenciales ataques por parte de ciberdelincuentes que quieran robar las cada vez más preciadas criptomonedas. ¿El problema? Tal y como ha revelado docdroid, sí existe una forma en la que podría producirse la pérdida de las monedas sin conocimiento del usuario.
El hombre del medio
Bautizado como The Man in the Middle (El hombre del medio), el proceso para efectuar el robo de criptomonedas es extremadamente sencillo. Se basa en la aplicación que tiene Ledger para realizar transferencias hacia la propia cartera, la cual se encarga de mostrar una dirección de envío creada en el instante y que asegura una mayor privacidad para el usuario a la hora de realizar transacciones. Hasta aquí, todo correcto. Esta es una práctica habitual que, teóricamente, funciona para evitar cualquier tipo de susto relacionado con el movimiento de criptomonedas de un lugar a otro.
Mediante la modificación de unas cuantas líneas de código, el usuario podría enviar todas sus criptomonedas a una cartera desconocida
Sin embargo, tal y como se desvela en el documento, esta dirección (que, recordemos, cambia cada vez que se quiere realizar una transacción) es originada mediante un código de JavaScript que funciona de manera particular en el ordenador de cada uno. Y es aquí donde viene el problema, ya que este código puede ser fácilmente modificado por un atacante y sustituido por una dirección que apunte a su cartera, en lugar de a la del usuario, provocando que la transferencia se realice a la cuenta del ciberdelincuente sin que el usuario se percate de ello.
Por si esto fuera poco, se detallan una serie de agravantes que provocan que este problema sea aún mayor. Entre estos, destaca que el software de Ledger se almacena de manera local en una carpeta que puede ser modificada sin disponer de permisos de administrador, haciendo aún más fácil que una persona malintencionada pueda hacer las modificaciones pertinentes a su favor. Como colofón, recalcan que la mayoría de propietarios de una cartera de este tipo suele transferir todas sus criptomonedas de golpe la primera vez que hace uso de ella, pudiendo llegar a ocasionar la pérdida total de estas si el ordenador estuviera infectado de manera precia.
La respuesta de Ledger
Ante este problema, Ledger admite que no hay una solución posible que pueda revertir este fallo del software ante al malware, aunque el propio usuario sí que puede realizar las comprobaciones pertinentes antes de confirmar la transacción y asegurarse de que tanto la dirección de envío como la de destino coinciden. Esto es algo que ya podía realizar de manera previa en la propia ventana de transferencia, pero que, al no ser obligatorio ni estar señalizado como un elemento relevante, se tendía a pasar por alto.
La compañía ha publicado en un artículo en el que comenta que, aunque la vulnerabilidad es viable, no se conoce ningún caso en el que se haya dado, reiterando que la única solución es la de comprobar de manera manual a través de las herramientas que se ofrecen que ambas direcciones (de emisión y de destino) coinciden. A tal efecto van a lanzar una actualización en la que se pida al usuario realizar ese paso previo que garantice la correcta transferencia a la cartera.
