- >News
- >¿Es Ledger aún seguro? La actual controversia resalta el problema de criptoseguridad
¿Es Ledger aún seguro? La actual controversia resalta el problema de criptoseguridad
Las criptomonedas ha tenido un duradero problema con su implacable enfoque en seguridad. Sí, eres el único que puede acceder y mover tu bitcoin si solo tú cuentas con la clave privada de tu monedero Bitcoin. La desventaja de esta garantía es que, si pierdes las claves, también perderás tu BTC. Y tal percance le ha ocurrido a más de un par de individuos durante la breve historia de las criptomonedas, pues existen varias historias de personas que forcejean en vano para recuperar sus fortunas perdidas.
Ledger recientemente propuso ayudar a tales personas mediante el anuncio de Ledger Recover, un servicio que le permitiría a los dueños de su monedero hardware, Ledger Nano X, recobrar la frase semilla que permite la recuperación del monedero. En principio, el servicio parece puntual y amistoso para el usuario, al menos en la medida en que aseguraría que los dueños de los monederos no tengan que perder sus criptomonedas, incluso si extraviaran el registro físico (o digital) de su frase semilla.
Sin embargo, gran parte de la criptocomunidad recibió el anuncio de Ledger con una mezcla de asombro y enojo, y acusó al fabricante de monederos de accidentalmente introducir una potencial puerta trasera a sus dispositivos. Sin embargo, aunque Ledger no ha tenido éxito para acallar estas preocupaciones, se puede argumentar a su favor que una herramienta de recuperación será necesaria si la industria pretende alentar una mayor adopción de las criptomonedas y más autocustodia, lo cual se ha vuelto cada vez más necesario en el contexto de hackeos de intercambios y bancarrotas.
La herramienta de recuperación de Ledger recibe críticas a pesar de opción para decidir
En resumen, Ledger Recover es fácil de entender. Básicamente, el servicio divide la frase semilla del monedero en tres fragmentos cifrados que se almacenarían en tres proveedores diferentes (Ledger, Coincover y EscrowTech). Así, el dueño de dicho monedero sería capaz de re-acceder a su frase semilla en caso que perdiese su propio registro de la frase.
La frase semilla de un monedero de criptomonedas es un conjunto de 12 o 24 palabras generadas aleatoriamente que el dueño puede utilizar para recobrar sus claves privadas, las cuales deben usarse para transferir fondos del monedero. En otras palabras, si perdieras tus claves privadas, puedes usar la frase semilla para recuperarlas. A su vez, el objetivo de Ledger con la herramienta de recuperación era agregar otra línea de defensa, brindando un medio para recuperar lo que necesitas para restaurar las claves.
Como explica en su sitio web, deberás «verificar tu identidad con tu carné de identificación» para registrar Recover, además de incorporar las necesarias medidas de conoce a tu cliente para asegurarse que realmente seas tú quien usa el servicio, no un tercero. Este es el uso de KYC que también le permite a los dueños de monederos recobrar los fragmentos cifrados de su frase semilla de recuperación, pues los fragmentos son inservibles por sí solos.
Fuente: Twitter
Además, Ledger afirma que Recover es un servicio opcional, lo que significa que no tienes que suscribirte a este si no quieres. Sin embargo, tales funciones no evitaron el tsunami de críticas, las cuales se enfocaron en el temor de que hackers usen este servicio como una especie de vector de ataque.
Por ejemplo, Ryan Berckmans, inversor en criptomonedas, escribió en Twitter que «El firmware v2.2.1 de Ledger firmware instala Ledger Recover, un servicio negligente que extrae las claves privadas de tu monedero hardware para enviarlas por el Internet». Esta no fue la única respuesta al anuncio de Ledger que criticase la firma francesa, pues Vanessa Harris, consejera de la Web3, sugirió que el servicio «pide a gritos ser aprovechado».
El meollo de tales críticas es que, con la llegada de Ledger Recover, los dispositivos Ledger tendrán un firmware que les capacita mandar las claves privadas del monedero por Internet. Sí, Ledger ha defendido en muchas oportunidades que el servicio es opcional para aquellos usuarios que quieran usarlo y que las claves privadas no se pueden reensamblar sin prueba de identidad. Sin embargo, el temor es que con esta capacidad base en el código del dispositivo, hackers valientes puedan encontrar una manera de aprovecharlo.
Trezor reporta incremento en ventas, Ledger atrasa el lanzamiento
Ante tales temores, Trezor ha reportado un incremento del 900 % en las ventas de sus dispositivos, aunque no ha ofrecido ningún desglose de este número ni datos que lo respalden. Aún así, dado que algunas personas han incluso afirmado que Ledger «ha destruido por completo su reputación», es completamente posible que Trezor si consiguiera un incremento en sus ventas. Esto a pesar de que la firma de seguridad, Unciphered, anunciara , poco después de la controversia con Ledger, que fue capaz de hackear físicamente el monedero de hardware Trezor T, y que la falla es «irremediable a nivel de chip».
Para afrontar la crisis, Ledger ha decidido abordar las preocupaciones de la comunidad. De forma inmediata, anunció mediante una publicación de blog que retrasaría el lanzamiento de Recover y que daría libre acceso al código, para que los desarrolladores y los miembros de la comunidad puedan evaluarlo (y comprobar, potencialmente, su seguridad).
Además, publicó una sección de preguntas frecuentes para Ledger Recover que directamente responde a varias preguntas y consultas de la comunidad. En esta, afirman que la clave privada de tu dispositivo solo se podrá acceder «una vez que manualmente lo apruebes y lo confirmes» en el dispositivo. También asegura que no existiría ningún beneficio de seguridad al contar con dos sistemas operativos por aparte (como sugirieron algunos comentarios), uno con la capacidad de Recover y otro sin esta.
Aún así, el director general de Ledger, Pascal Gauthier, ha reconocido la posibilidad teórica de que la frase semilla respaldada mediante el servicio Recover pueda accederse por una orden de citación del gobierno, lo cual obligaría a los tres proveedores independientes entregar los fragmentos de la frase. Esta afirmación señala la realidad de que toda solución de seguridad presenta sus propios problemas: Recover no es la excepción. Pero a pesar de tus posibles debilidades, algunos en la comunidad han afirmado que el servicio podría ser necesario para aquellos que no cuentan con el conocimiento técnico para almacenar de forma segura sus frases semilla de recuperación por sí solos.
Ciertamente, Recover podría ser un paso útil para hacer de la autocustodia algo más accesible a más personas, tomando en cuenta lo implacable que las criptomonedas pueden ser en caso de perder tus claves privadas. De hecho glassnodes ha estimado que cerca de tres millones de BTC, por un valor aproximado de $83 460 millones, se han perdido para siempre, lo cual subraya el potencial problema del sistema ultra estricto de seguridad de Bitcoin. De igual manera, muestra que una herramienta de recuperación como Recover se necesita si se quiere que más inversores minoristas e institucionales compren criptomonedas y, aunque Ledger quizá no acertara en todos los detalles, ha tomado un paso en la dirección correcta con este nuevo servicio.