El nuevo producto de Ledger llamado Recover es un "compromiso" intencional que permite la extracción de claves privadas encriptadas de billeteras de hardware.

Imagen: ledger.

Así lo afirmó el CTO del fabricante Charles Guillemet.

Según el alto gerente, Ledger Recover está dirigido a personas que desean más seguridad que la que brinda un intercambio en línea o una billetera caliente. Esta categoría de usuarios aún es demasiado inexperta para estar dispuesta a poseer una billetera de hardware cuya contraseña nunca se puede recuperar si se pierde, agregó.

“Cuando no eres experto en tecnología, esto puede ser intimidante. Necesitamos encontrar una manera de atraer a los recién llegados para garantizar la adopción masiva [de la tecnología]”, explicó Guillemet.

El 16 de mayo de 2023, la empresa presentó una herramienta que le permite crear una copia de seguridad de la frase inicial para reanudar el acceso al dispositivo Nano X.

La decisión sobre el consentimiento de Ledger Recover la toma el usuario de forma independiente. La herramienta divide la frase de recuperación secreta en tres fragmentos, que almacenan tres lados diferentes en forma cifrada.

Si es necesario, el propietario de la billetera obtiene acceso a la copia de seguridad de la frase para restaurar la clave privada mediante la confirmación de los datos personales. La iniciativa fue criticada por la comunidad y los expertos.

La empresa trató de explicar que el dispositivo sigue siendo seguro a pesar de la introducción de nuevas funciones.

“Algunos usuarios se sorprendieron un poco al darse cuenta de esto. El software que corre dentro del elemento protegido es algo que se puede cambiar, algo que tiene acceso a la contraseña”, reconoció el CTO de la empresa.

Guillemet recordó que Ledger Recover es opcional. El producto no es un sustituto de la oferta tradicional de la empresa.

El especialista enfatizó que no es la frase semilla original la que sale de la billetera, sino sus fragmentos encriptados.

“Este es un paso más hacia el almacenamiento y la soberanía sin custodia. Cuando usa esta función, hace un pequeño compromiso al decir "No soy completamente independiente, no soy el único que puede administrar mi copia de seguridad". Pero el compromiso es aceptable porque […] debe tener al menos dos de los tres fragmentos para poder fusionar la contraseña”, explicó Ledger CTO.

Según Guillemet, el elemento criptográfico solo funciona dentro del módulo de billetera segura. La recuperación de semillas nunca requerirá que abandone el dispositivo a menos que los usuarios deseen activar Ledger Recover.

“Esta parte es muy importante y nunca ha cambiado”, aseguró.

El día que se emitió el podcast, el equipo de soporte de la compañía señaló que el software "siempre permitía la extracción de claves". Posteriormente, el tuit fue eliminado.

Captura de LedgerSupport Twitter.

Tal declaración provocó una fuerte reacción de los usuarios. Para mitigarlo, representantes de la empresa emitieron una aclaración, indicando que el mensaje anterior fue “sacado de contexto”.

“Al usar el software Ledger incorporado, existen capas de protección y control que aseguran que ningún atacante (incluso los internos) pueda incrustar malware”, aseguró la compañía.

#Ledger