Inicio › Foros › Foros John5 Cripto › General › Ledger revela que tiene acceso a tu frase semilla
- Este debate tiene 0 respuestas, 1 mensaje y ha sido actualizado por última vez el hace 1 año, 7 meses por John5 Cripto.
-
AutorEntradas
-
-
16 de mayo de 2023 a las 11:57 #3303John5 CriptoSuperadministrador
Noticia gravísima y al mismo tiempo muy triste, en referencia a la seguridad, al respeto por la privacidad y autocustodia de nuestras criptomonedas que probablemente pasará bastante desapercibida, ya que lamentablemente, gran parte de la comunidad cripto no es demasiado consciente de los riesgos de seguridad que implican lo que hoy ha revelado Ledger.
Tal y como comenta mi amigo Pastanaga a través de Twitter, «gracias» a la última actualización del firmware de Ledger hemos podido descubrir que esta empresa tenía acceso a nuestra frase semilla.
¿En qué consiste esta actualización?
Se trata de una actualización del firmware (software del sistema o sistema operativo de bajo nivel) que introduce como opción, la posibilidad de utilizar el servicio Ledger Recover, dicho servicio, que es compatible con Ledger Nano X. En esencia no es más que un servicio de suscripción mediante el cual, los usuarios podrán recuperar su frase semilla a través de su identificación usando documentación oficial como puede ser el DNI o el permiso de conducir.
¿Dónde reside el problema entonces?
Seguramente muchas personas, tras ver esta exposición no entenderán la polémica y problemática, probablemente se preguntarán ¿dónde está el problema? La respuesta la tenemos en la siguiente imagen.
En esta conversación de Reddit, el cofundador de Ledger dice lo siguiente «tu dispositivo enviará partes cifradas de tu frase semilla a diferentes compañías si decides usar este servicio. Tú todavía puedes elegir simplemente hacer una copia tú mismo».
Ledger mata la privacidad y la autocustodia
No me queda del todo claro, si Ledger ya es capaz de extraer tu frase semilla actualmente, pero lo que sí me queda claro es que actualmente tienen la capacidad de hacerlo de algún modo, y en el mejor de los casos, tú serías quien facilitaría a Ledger tu frase privada directamente.
Pero lo cierto es que si te dan una opción de recuperación de frase semilla, por mucho que la cifren y la partan en trozos, eso significa que llegado el momento, serían capaces de descifrar esos fragmentos y juntarlos, lo que en la práctica significa que Ledger tiene acceso a tu frase semilla y en consecuencia a tus fondos.
Pero es que incluso en el caso de que confiáramos en Ledger y viésemos la autocustodia como «algo romántico» y utópico, no hay que olvidar que no es la primera vez en la que Ledger sufre un hackeo. Un hackeo en este sistema de envío te supondría perder todos tus fondos y tener que pleitear con Ledger para recuperarlos, además de la pérdida del coste de oportunidad de tener tus criptos paradas.
Por otro lado, está el asunto de la privacidad. Ledger no deja de ser una empresa con sede en París (Francia), por lo que en determinado momento y teniendo en cuenta que ya ha creado este servicio a espaldas de los usuarios y que nos ha engañado, o al menos ha omitido cierta información sobre el almacenamiento de nuestra frase semilla en sus dispositivos, bien podría colaborar con la Unión Europea o entidad análoga en una caza de brujas contra los usuarios.
Finalmente, todos sabemos lo fácil que sería a día de hoy vincular los datos de una persona con su billetera y desde ese punto de partida y a través de ingeniería social, suplantar a un usuario legítimo y robar sus fondos.
¿Qué puedo hacer?
Lo ideal sería comenzar a migrar cuanto antes nuestros fondos a otras wallets más seguras que no dispongan de «esta tecnología» y que no tengan acceso a descifrar ni enviar nuestra frase semilla.
Para DeFi algunas opciones interesantes serían:
- Keystone: http://bit.ly/3jOFhCi
La frase semilla se genera offline y se eliminan los vectores de ataque como pueden ser la conexión USB y Bluetooth. Ni siquiera se puede recargar la batería con el dispositivo conectado.
- OneKey: https://bit.ly/3M4NnSL
Su código fuente es open source (cualquiera puede auditarlo y comprobar si hay un back door). Utiliza elementos de hardware (microprocesadores) centrados en la seguridad. Las claves se generan offline y no se almacenan en el procesador principal sino en un chip seguro ATECC608A.
Para almacenar Bitcoin, sin lugar a dudas la mejor opción sería la siguiente:
- Material Bitcoin: https://materialbitcoin.com/
Estas wallets están pensadas para almacenar Bitcoin exclusivamente y son fabricados por una empresa con sede en A Coruña. Existe concretamente un modelo que nos permite escribir nuestra frase semilla directamente en una superficie metálica en forma de placa, esta es resistente a inundaciones, incendios, golpes y hackers.
Otros enlaces de interés:
-
-
AutorEntradas
- Debes estar registrado para responder a este debate.