{"id":3133,"date":"2018-03-26T00:00:00","date_gmt":"2018-03-26T00:00:00","guid":{"rendered":"<p class=\"ProfileHeaderCard-name\" style=\"text-align: justify\"><a class=\"ProfileHeaderCard-nameLink u-textInheritColor js-nav\" href=\"https:\/\/twitter.com\/spudowiar\"><strong>Saleem Rashid<\/strong>\u00a0<\/a><strong>Un joven programador de 15 a\u00f1os ha encontrado una"},"modified":"2018-03-26T00:00:00","modified_gmt":"2018-03-26T00:00:00","slug":"programador-de-15-anos-encuentra-vulnerabilidad-en-ledger-nano-s","status":"publish","type":"post","link":"https:\/\/crypto-economy.com\/es\/programador-de-15-anos-encuentra-vulnerabilidad-en-ledger-nano-s\/","title":{"rendered":"Programador de 15 a\u00f1os encuentra una vulnerabilidad en Ledger Nano S"},"content":{"rendered":"<p class=\"ProfileHeaderCard-name\" style=\"text-align: justify\"><a class=\"ProfileHeaderCard-nameLink u-textInheritColor js-nav\" href=\"https:\/\/twitter.com\/spudowiar\" target=\"_blank\" rel=\"noopener\"><strong>Saleem Rashid<\/strong>\u00a0<\/a><strong>Un joven programador de 15 a\u00f1os ha encontrado una <a href=\"https:\/\/crypto-economy.com\/es\/se-ha-encontrado-una-vulnerabilidad-critica-en-electrum\/\">vulnerabilidad<\/a> en las Wallet Ledger Nano S<\/strong>, este no es un hecho aislado, ya que como comenta en su cuenta de Twitter, tambi\u00e9n ha contribuido en el firmware OpenSource de Trezor y ha trabajado como contratista para NEM, dando soporte para implementar NEM en Trezor.<\/p>\n<p><!--more--><\/p>\n<p style=\"text-align: justify\">Ledger Nano es una cold wallet donde seg\u00fan sus creadores nunca se exponen secretos como las claves privada en la que las operaciones se a\u00edslan dentro de su billetera de hardware y son bloqueadas por un c\u00f3digo PIN.\u00a0Las transacciones no pueden ser manipuladas, se verifican f\u00edsicamente en su pantalla con solo presionar un bot\u00f3n.<\/p>\n<p style=\"text-align: justify\">En cuanto a la seguridad online se refiere, las cold wallets son una de las mejores opciones que tienen los poseedores de criptomonedas para mantener a salvo su inversi\u00f3n, pero cuando existe la posibilidad de que alguien pueda manipular f\u00edsicamente esta wallet parece que no es tan segura.<\/p>\n<p style=\"text-align: justify\"><strong>Sallem Rashid descubri\u00f3 la manera de conseguir que el c\u00f3digo pin que bloquea la wallet sea modificado<\/strong>, consiguiendo un total acceso a las criptomonedas que guarda en su interior.<\/p>\n<p style=\"text-align: justify\">Tal y c\u00f3mo explica este joven programador desde su blog, este fallo de seguridad hace que un atacante pueda aprovecharlo antes de que el usuario final lo reciba, para robar las claves f\u00edsicamente o incluso a distancia.<\/p>\n<p style=\"text-align: justify\"><strong>La manera en la que consigui\u00f3 descubrir este fallo de seguridad\u00a0 se denomina \u00abataque a la cadena de suministro\u00bb<\/strong>\u00a0y lo explica paso a paso en su <strong><a href=\"https:\/\/saleemrashid.com\/2018\/03\/20\/breaking-ledger-security-model\/\" target=\"_blank\" rel=\"noopener\">blog<\/a><\/strong>, en el cual adem\u00e1s podemos ver un v\u00eddeo donde ense\u00f1a su descubrimiento.<\/p>\n<p><img fetchpriority=\"high\" decoding=\"async\" class=\"aligncenter wp-image-30866 size-full\" src=\"https:\/\/crypto-economy.com\/es\/wp-content\/uploads\/sites\/4\/2022\/12\/ledger-nano-s.jpg\" alt=\"ledger nano s\" width=\"700\" height=\"490\" \/><\/p>\n<p style=\"text-align: justify\">Sallem comenta:<\/p>\n<p style=\"text-align: center\">\u00abMe gustar\u00eda dejar en claro que\u00a0<strong><a href=\"https:\/\/crypto-economy.com\/es\/ledger-incluira-intercambio-entre-cold-wallets\/\">Ledger<\/a> no me ha pagado una recompensa<\/strong>\u00a0porque su acuerdo de divulgaci\u00f3n responsable me habr\u00eda impedido publicar este informe t\u00e9cnico.\u00bb<\/p>\n<p style=\"text-align: center\"><em>\u00abOpt\u00e9 por publicar este informe en lugar de recibir una recompensa de Ledger, principalmente porque Eric Larchev\u00eaque, CEO de Ledger, hizo algunos comentarios en Reddit que estaban llenos de imprecisi\u00f3n t\u00e9cnica.\u00a0Como resultado de esto, comenc\u00e9 a preocuparme de que esta vulnerabilidad no se explicar\u00eda adecuadamente a los clientes.\u00bb<\/em><\/p>\n<p style=\"text-align: justify\">Antes de la publicaci\u00f3n de este fallo de seguridad,<strong> Sallem se puso en contacto con el CEO de Ledger, donde este negaba que los errores encontrados fuesen cr\u00edticos y calificaba la vulnerabilidad como inveros\u00edmil.<\/strong><\/p>\n<p style=\"text-align: justify\">Tras esta respuesta, hizo una demostraci\u00f3n de ataque a la cadena de suministro, con un firmware MCU modificado y envi\u00f3 el c\u00f3digo el c\u00f3digo fuente para su an\u00e1lisis.<\/p>\n<p style=\"text-align: justify\">Han pasado 4 meses desde el aviso de seguridad de Sallem, hasta que Ledger ha actualizado el firmware de sus Ledger nano S y Ledger Blue para corregir esta vulnerabilidad.<\/p>\n<p style=\"text-align: justify\">Algo similar le ocurri\u00f3\u00a0con la wallet fr\u00eda\u00a0TREZOR One, a la que Sallem Rashid descubri\u00f3\u00a0un fallo de seguridad, pero esta vez el problema se resolvi\u00f3 con una fluida conversaci\u00f3n\u00a0entre el joven programador y el equipo de TREZOR. adem\u00e1s\u00a0Marek Polatinus (CEO de SatoshiLabs) elogi\u00f3 a Saleem Rashid, agradeciendo su trabajo y su gran creatividad, diciendo que les ha ayudado\u00a0a hacer unos productos mejores y m\u00e1s seguros.<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Saleem Rashid\u00a0Un joven programador de 15 a\u00f1os ha encontrado una vulnerabilidad en las Wallet Ledger Nano S, este no es un hecho aislado, ya que como comenta en su cuenta de Twitter, tambi\u00e9n ha contribuido en el firmware OpenSource de Trezor y ha trabajado como contratista para NEM, dando soporte para implementar NEM en Trezor.<\/p>\n","protected":false},"author":5,"featured_media":3135,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"rank_math_title":"","rank_math_description":"","footnotes":""},"categories":[918,971,915,919],"tags":[210,275],"class_list":["post-3133","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-companias","category-noticias","category-featured","category-tecnologia","tag-ledger","tag-vulnerabilidad"],"_links":{"self":[{"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/posts\/3133","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/comments?post=3133"}],"version-history":[{"count":0,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/posts\/3133\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/media\/3135"}],"wp:attachment":[{"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/media?parent=3133"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/categories?post=3133"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/tags?post=3133"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}