La empresa fabricante de hardware wallets Ledger enfrenta duras críticas por su nueva actualización de firmware. Dicha actualización presenta una función de recuperación que le permite a Ledger realizar una copia de seguridad de las frases semilla, lo que socavaría la razón de ser de un monedera de hardware. Esta característica viene como parte de la actualización de firmware 2.2.1.
Exciting update, Ledger has a new product, Ledger Recover, that’s launching soon: https://t.co/nT1VHnnSYz
🧵Here’s what Ledger Recover is and what it isn’t, explained by @P3b7_ & in the thread below. pic.twitter.com/RW1w07H6pK
— Ledger (@Ledger) May 16, 2023
Actualización emocionante, Ledger tiene un nuevo producto, Ledger Recover, que se lanzará pronto: https://ledger.com/recover
Esto es lo que es y lo que no es Ledger Recover, explicado por @P3b7_ y en el hilo a continuación.
Ledger Recover está diseñada para suministrar una copia de seguridad si se pierde una frase semilla, o la frase de recuperación de la billetera, la cual permite recuperar y acceder a los fondos asociados en caso de daño del dispositivo. Es decir, es un conjunto de 12 a 24 palabras que se utiliza como clave secreta para acceder a una billetera de criptomonedas.
El nuevo servicio que proporciona Ledger se encarga de seccionar las frases semilla en tres fragmentos y las envía a terceros de confianza. Dicha información, cuando se combina y descifra, se puede utilizar para reconstruir la frase inicial. No obstante, la propuesta ha suscitado un resquemor entre usuarios y expertos en seguridad, fundamentalmente por su requisito de controles KYC (Conozca a su Cliente por sus siglas en inglés).
Para acceder a este servicio de recuperación, los usuarios deben proporcionar su pasaporte o documento nacional de identidad. Casi todos los entusiastas de las criptomonedas valoran la privacidad y sostienen que esta petición de identidad contradice los principios de descentralización de los activos digitales. El servicio tendrá un costo de USD $9,99 al mes, y dependerá de tres custodios: Ledger, Coincover y EscrowTech.
Este servicio de suscripción se encuentra disponible para los dispositivos Ledger Nano X, con el requisito de la tarjeta de identidad para usuarios de la Unión Europea, Reino Unido, Canadá y los Estados Unidos. Adicionalmente está disponible en iOS y Android con la última versión de Ledger Live.
La noticia no ha caído bien en el ecosistema bitcoiner, considerando que esta función va en detrimento de los principios de descentralización, privacidad y soberanía financiera que se propugnan, y el principio de que las wallets frías fundamentalmente se enfocan en evitar riesgos asociados a la posibilidad de que los piratas informáticos accedan a este tipo de datos sensibles.
En la red social Reddit una persona se preguntaba si el procedimiento:
¿no anula todo el propósito de una wallet fría?
Se han publicado Tweets como este:
Mantente alejado de Ledgerhttps://t.co/2piFqrZ1WP
— Arkad (@Multicripto) May 16, 2023
El director de seguridad en Polygon Labs, Mudit Gupta twitteó:
Ledger just released a new update for Nano X that allows social recovery of your seed phrase.
It encrypts your seed in 3 shards and sends it to different entities that can then reconstruct the seed for you post ID verification.
It's a horrendous idea, DON'T enable this feature. pic.twitter.com/2E1GSuYN5r
— Mudit Gupta (@Mudit__Gupta) May 16, 2023
Ledger acaba de lanzar una nueva actualización para Nano X que permite la recuperación social de su frase semilla.
Cifra su semilla en 3 fragmentos y la envía a diferentes entidades que luego pueden reconstruir la semilla para su verificación de identificación posterior.
Es una idea horrible, NO habilites esta función.
Es probable que las críticas más numerosas que ha recibido la empresa fabricante de cold wallets ha tenido que ver con, precisamente, las filtraciones de datos. En el año 2020, fueron sustraídas las direcciones físicas de 270.000 propietarios de Ledger, tras una brecha de seguridad. El hacker compartió la información de forma gratuita en un foro.
Tal y como ocurre en estos casos, los hackers usaron esa data para atacar a las víctimas en maniobras de extorsión. Ledger respondió al suceso con el CEO de la empresa diciendo que “lamenta profundamente esta situación”. También le dijo a los usuarios que no había correlación entre los datos y los fondos en sus monederos. Sin embargo, este hecho creó demasiada incomodidad entre la comunidad bitcoiner.
Te puede interesar: Ledger sufre un hackeo en su base de datos que afectó aproximadamente a un millón de usuarios
En lo que respecta a la actual polémica, a pesar de que el cofundador y vicepresidente de Innovation Lab en Ledger, Nicolas Bacca, asistió a Reddit para calmar las preocupaciones de los usuarios, se mantienen los temores sobre las prácticas de seguridad y la posibilidad de que un actor malicioso pueda aprovechar la funcionalidad para obtener las claves y robar las criptomonedas.
El líder tecnológico de la plataforma de recompensas por errores Web3, Adrian Hetman, de ImmuneFi declaró lo siguiente:
El robo de identidad es común y eso expondría a los usuarios de criptomonedas a una nueva forma de ataque
A pesar de este y los múltiples señalamientos en contra, la empresa defiende su nueva función de recuperación. De acuerdo a las fuentes, un vocero de Ledger explicó que el procedimiento para descifrar los tres fragmentos solo puede ocurrir con el dispositivo Ledger, luego de que el usuario haya probado su identidad, y que las empresas «custodial» no tendrían la capacidad de obtener las frases semilla. Además, señaló que es una función paga y opcional:
Las tres empresas que resguardan los fragmentos nunca tienen acceso a su frase semilla, no se almacena “en la nube” y las copias de seguridad solo se cifran fragmentan y descifran directamente en su Ledger si se suscribe, por lo que si es un usuario de Ledger que quiere usar su libro mayor como siempre lo ha hecho, todavía puede hacerlo sin preocuparse. Nada cambia para usted
Imagen Principal: Crypto News Flash
¿Más temas de interés?:
Optimism anuncia su actualización Bedrock para el 6 de junio
Hackers de Corea del Norte han robado 721 millones de dólares en criptomonedas a Japón desde 2017
