Un grupo de expertos ha demostrado las vulnerabilidades presentes en los sistemas hardware wallets; las empresas desarrolladoras lanzarán actualizaciones de firmware
Especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética reportan que un grupo de investigadores ha desarrollado y publicado un método para hackear diversos hardware wallets (dispositivos para almacenar cuentas de criptomonedas y claves de acceso), revelando múltiples vulnerabilidades en estos sistemas.
Este equipo de expertos, integrado por el diseñador de hardware Dmitry Nedospasov, el desarrollador de software Thomas Roth, y el investigador en ciberseguridad Josh Datko, publicó recientemente su investigación, llamada ‘Wallet.fail’.
En su presentación, los expertos anunciaron que pudieron extraer las claves privadas de un hard wallet de la empresa Trezor después de sobrescribir el firmware. Los expertos resaltaron que este exploit solamente es funcional si el usuario no ha establecido una contraseña personalizada.
Por su parte, Pavol Rusnak, representante de Trezor, publicó en su cuenta de Twitter que la empresa no fue notificada a través de su programa de reporte de vulnerabilidades antes de la publicación del error, agregando que la empresa lanzará una actualización de firmware en enero de 2019.
El grupo de expertos también sostiene que es posible instalar cualquier firmware en un hardware wallet, incluso les fue posible explotar esta vulnerabilidad para instalar un videojuego sencillo en el dispositivo. Los expertos en ciberseguridad también encontraron una vulnerabilidad en Ledger Blue, el hardware wallet más costoso de Trezor, el cual cuenta incluso con una pantalla táctil a color.
Utilizando un software de inteligencia artificial alojado en la nube, los expertos lograron obtener el PIN de los dispositivos gracias a las señales de radio emitidas por el dispositivo que han sido filtradas al momento en el que el usuario introduce el PIN.
Cuando fueron cuestionados acerca de BitFi, el hardware wallet “inhackeable” diseñado por el controvertido John McAfee, los expertos se negaron a comentar sobre este dispositivo, argumentando que estaban “hablando de dispositivos diseñados para ser seguros, no de teléfonos chinos”.
Hace un par de meses, un hacker aficionado afirmó haber hackeado el dispositivo BitFi, cosa que McAfee negó, mencionando que no existe evidencia para afirmar que algún activo virtual ha sido comprometido debido al uso de BitFi.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad