La billetera de hardware de Trezor contiene una vulnerabilidad en su chip de elemento seguro TROPIC01, según ha revelado una auditoría del brazo de seguridad de Ledger. La empresa responsable de los populares dispositivos de almacenamiento en frío se apresuró a asegurar a los usuarios que los fondos siguen seguros a pesar del fallo.
El fallo en el elemento seguro
La vulnerabilidad fue descubierta por Ledger Donjon, el equipo interno de investigación de seguridad de Ledger, rival de Trezor. Afecta al chip TROPIC01, un procesador seguro dedicado diseñado para proteger las claves privadas y las operaciones sensibles. La auditoría no especificó si la vulnerabilidad podría explotarse de forma remota o requería acceso físico, pero Trezor ha reconocido el hallazgo.
Los elementos seguros son un componente estándar en las billeteras de hardware, diseñados para proporcionar una capa adicional de protección contra manipulaciones y ataques de canal lateral. Una debilidad en este componente podría permitir teóricamente a un atacante extraer claves o eludir los controles de seguridad. Trezor no ha revelado detalles sobre la naturaleza exacta del fallo, remitiéndose en su lugar al proceso de auditoría en curso.
Respuesta de Trezor
En un comunicado posterior a la divulgación, Trezor afirmó que los fondos de los usuarios están 'seguros'. La empresa no anunció un retiro del mercado, un parche de firmware ni ninguna acción inmediata para los clientes. La garantía sugiere que la vulnerabilidad no expone las billeteras activas a robos en condiciones normales, o que el ataque requiere condiciones difíciles de cumplir en la práctica.
El enfoque de Trezor hacia la seguridad a menudo se basa en la transparencia: la empresa publica firmware de código abierto y ha invitado a auditorías de terceros en el pasado. Pero el silencio sobre una solución deja algunas preguntas abiertas. Otros fabricantes de billeteras de hardware suelen implementar una actualización poco después de que se reporta una vulnerabilidad, incluso si el riesgo es bajo.
El papel de Ledger Donjon
Ledger Donjon tiene un historial de encontrar fallos en productos de la competencia. El equipo ya había revelado debilidades en modelos anteriores de Trezor, incluidos el One y el Model T. Este último hallazgo extiende ese patrón. Ledger y Trezor compiten por el mismo mercado de usuarios de criptomonedas que desean almacenamiento en frío, por lo que la auditoría conlleva un matiz de rivalidad. Sin embargo, la divulgación en sí sigue las normas del sector: los investigadores comparten los hallazgos con el proveedor antes de hacerlos públicos, dando tiempo para una solución.
No está claro cuándo comenzó la auditoría ni cuánto tiempo tuvo Trezor para responder antes de que se conociera la noticia. La ausencia de un parche en el momento de la divulgación puede indicar que la vulnerabilidad se considera de baja gravedad, o que se requiere una revisión del hardware en lugar de una simple actualización de software.
Lo que los usuarios deben saber
Por ahora, el mensaje de Trezor es claro: no hagan nada. La empresa sostiene que los fondos no están en riesgo. Los usuarios preocupados pueden tomar precauciones básicas: usar una frase de contraseña segura, mantener el firmware actualizado y comprar dispositivos solo a través de canales oficiales. Pero Trezor no ha emitido una advertencia específica ni un cambio en las recomendaciones.
El episodio subraya el continuo juego del gato y el ratón en la seguridad del hardware. Las billeteras que alguna vez se consideraron impenetrables son probadas periódicamente por investigadores de sombrero blanco, y los fabricantes responden en consecuencia. La verdadera prueba llegará si una futura vulnerabilidad resulta más grave que esta.
