Ledger ha recibido duras críticas de su comunidad por su última idea de recuperación de frase semilla, y los miembros han recurrido a las redes sociales para expresar su desaprobación.
Ledger ha respondido a las críticas, afirmando que hay varias inexactitudes.
Nuevo servicio de recuperación de frases semilla de Ledger
El nuevo servicio de recuperación de frases semilla de Ledger se llama Ledger Recover y ofrece a los usuarios salvaguardas adicionales en caso de que extravíen su frase semilla. El servicio fue lanzado en la última billetera de firmware de Ledger y es un servicio de suscripción que brinda a los usuarios una capa adicional de protección para sus claves privadas. Ledger Recover utiliza una técnica que divide la frase semilla de un usuario en tres fragmentos encriptados que son de confianza para tres custodios, a saber, Ledger, Coinover y una tercera entidad. Un portavoz de Ledger explicó lo mismo, afirmando:
“Cada fragmento es almacenado por las partes en módulos de seguridad de hardware (HSMs) que son básicamente Ledgers superpoderosos. Es lo que usamos para Ledger Enterprise. Cada fragmento es inútil por sí solo y solo se puede descifrar en un Ledger. Son completamente seguros”.
Los usuarios pueden reconstruir la frase original una vez que se combinan y descifran los fragmentos separados. La empresa también afirmó que el servicio es opcional y que los usuarios de Ledger no tienen que utilizarlo si no lo desean.
“No tienes que usarlo y puedes continuar administrando tu frase de recuperación tú mismo si ese es el motivo por el que compraste un Ledger”.
Entonces, ¿dónde está el problema?
Aunque Ledger parece entusiasmado con la nueva actualización, la reacción de la comunidad ha sido todo lo contrario. Esto se debe a que para utilizar el servicio, los usuarios tienen que proporcionar un documento de identidad nacional o un pasaporte para utilizar el servicio, y la frase semilla de los usuarios tendría que ser confiada a "custodios externos". Varios miembros destacados de la comunidad criptográfica y propietarios de billeteras Ledger han recurrido a las redes sociales para criticar a Ledger por lo que algunos usuarios llamaron un "desastre esperando a suceder". Un usuario de Reddit explicó:
“Esto es un desastre a punto de ocurrir. No puedo creer lo que estoy leyendo. Parece una locura que un proveedor de billeteras de hardware te anime a hacer una copia de seguridad de tu frase inicial en línea Y a darles tu pasaporte o documento de identidad, ¡especialmente si ya ha sufrido una filtración de datos!”
Ledger sufrió una grave filtración de datos en 2020, que expuso los números de teléfono y las direcciones físicas de más de 300.000 clientes. La filtración también incluyó las direcciones de correo electrónico de más de un millón de usuarios. Otros, como el inversor Chris Dunn y el inversor en criptomonedas DCinvestor, también hicieron referencia a la infame filtración de datos al criticar el nuevo servicio de recuperación de frases semilla de Ledger. Dunn declaró:
“Primero, expusieron las direcciones de correo postal, los números de teléfono y las direcciones de correo electrónico de sus clientes… Y ahora han puesto una puerta trasera en las frases semilla. Es hora de decir adiós a @Ledger”.
DCinvestor tampoco se contuvo y afirmó:
“Recordatorio: hace varios años, Ledger filtró el nombre y las direcciones de todos sus clientes a través de una filtración de datos. Lo último que quieres en sus servidores es tu clave privada”.
El director de seguridad de la información de Polygon, Mudit Gupta, lo calificó de idea horrenda e instó a Ledger a abstenerse de habilitar la nueva función. En un hilo de Twitter, Gupta explicó que las claves cifradas se enviarían a tres corporaciones que podrían reconstruir las claves privadas, lo que provocaría importantes problemas de seguridad. El director ejecutivo de Binance, Changpeng Zhao, respondió a Gupta y agregó:
“¿Entonces la semilla puede salir del dispositivo ahora? Parece una dirección diferente a “tus claves nunca salen del dispositivo”.
El líder técnico en clasificación de ImmuneFi, Adrian Hetman, calificó la nueva característica como una mala postura de seguridad y afirmó:
“Exponer su frase inicial y luego permitir que cualquier persona con su identificación o pasaporte recupere el acceso a los fondos bloqueados es una mala postura de seguridad. El robo de identidad es común y eso expondría a los usuarios de criptomonedas a una nueva forma de ataque”.
Ledger contraataca las críticas
Ledger ha respondido a la avalancha de críticas contra su nuevo servicio, afirmando que había "muchas imprecisiones" en las críticas que estaba recibiendo y que no había ninguna puerta trasera ni vulnerabilidad de seguridad. En respuesta a Hetman, Ledger afirmó que la identificación gubernamental es solo una parte de un proceso completo y no representa un riesgo de seguridad.
“También contamos con detección de vida completa, donde usas tu cámara y te da indicaciones aleatorias que no pueden ser falsificadas o pregrabadas. Esto es revisado por tecnología y también por humanos para asegurar una coincidencia antes de que se inicie el proceso de recuperación. Por lo tanto, alguien que robe tu identificación no podrá recuperar tu [Frase de recuperación secreta] SRP”.
Ledger calificó el nuevo servicio como un servicio altamente seguro que su equipo Donjon había probado. El equipo Donjon había detectado previamente brechas en varias billeteras, incluida TrustWallet.
“Si desea mayor tranquilidad o le resulta un obstáculo la gestión de frases de recuperación, ahora tiene un servicio altamente seguro, probado por nuestro equipo Donjon, que expuso brechas en TrustWallet y muchas otras billeteras, tanto de software como de hardware”.
La compañía también agregó que el nuevo servicio es opcional y que si un usuario no desea usarlo, puede optar por no habilitarlo. Agregó que aquellos que deseen usar el servicio deberán iniciar un proceso de aprobación que utiliza la pantalla segura de su billetera Ledger.
Descargo de responsabilidad: este artículo se ofrece únicamente con fines informativos. No se ofrece ni se pretende utilizar como asesoramiento legal, fiscal, de inversiones, financiero o de otro tipo.