Ledger: ¿Recover?
Polémica en Ledger.
Hace unos días Ledger, la famosa compañía francesa centrada en el almacenamiento y gestión de claves privadas de criptomonedas lanzaba una actualización del firmware del Ledger Nano X, el único que no hemos probado aquí.
Ese firmware incluye la posibilidad de activar un servicio llamado Ledger Recover que, bajo una cuota mensual de unos 10$ parte en tres la semilla, la encripta y la almacena online. Adicionalmente hay que pasar un proceso de KYC y grabarse un video en modo selfie para completar el proceso.
Esta información sería gestionada por una compañía llamada Onfido. En este momento habría, en un tercero, una vinculación de tu identidad con tus fondos en tu Ledger (encriptado o no, la vinculación existe). En este momento estarías, no solo confiando en Ledger, sino en una tercera empresa.
Además las tres partes en las que se divide la semilla serían conservadas por tres empresas diferentes. Así que sumamos Ledger, Onfido, y dos más (uno de ellos Coincover).
Ya lo dijo CZ y todos los pensamos:
Una de las cosas más criticadas ha sido que estaríamos vinculando claves privadas con identidades. Y esto ya de por si es arriesgado, cuanto menos si lo hace una empresa que hace unos años filtró datos de compra de miles de usuarios que habían comprado alguno de sus dispositivos. Concretamente fueron 272.825 correos de usuarios que incluían direcciones físicas, nombres, y teléfonos. Esas personas estuvieron (y están) probablemente sufriendo ataques continuos dirigidos a ellos expresamente. Enlace a la noticia.
Otro de los problemas es, ¿Podemos confiar en Ledger? Pues si, haciendo un ejercicio de confianza ciega. El código de Ledger no es Open Source, así que nadie puede verificar que lo que nos dicen es verdad. Mal asunto.
Si nos creemos lo que nos dicen, la seed nunca abandona el dispositivo sin encriptar. Pero como no lo podemos verificar, pues hasta aquí podemos leer. Lo que si está claro es que una cosa que se suponía que nunca salía del dispositivo, lo hace. Y esto abre un abanico muy amplio de posibilidades de hackeos, phishing y malware. Os puedo asegurar que ya hay más de uno estudiando como hacerlo.
Es decir si hay una puerta, puede abrirse. Más fácil o más difícil. Se puede abrir.
Ledger ha dicho “es opcional, no tienes porque usarlo”. Bien, esto es muy curioso. Un Hardware Wallet, tal y como se nos ha vendido, nunca deja salir la clave privada. Y Ledger ha creado un sistema para hacerlo. De forma expresa.
Una duda que existe ahora es, ¿Cómo hago el recover? ¿Cómo se desencripta la seed que he compartido encriptada?
Si has perdido el Ledger, que sirvió para encriptar, verifico mi identidad…¿y ahora?
No se sabe.
Otra duda. ¿Y si alguien se hace descubre que uso Ledger Recover y se hace pasar por mi? Ledger no es que sea muy buena guardando secretos…
Otra duda. ¿Podrían las autoridades impedir que acceda a mis fondos pidiendo a Ledger que no procese mi solicitud? Sin duda alguna, si.
Ledger hizo un hilo dando respuestas con las top questions que estaban recibiendo, entre las que encontramos , ¿Existe la posibilidad de que al actualizar mi Ledger de acceso a la extracción de mi semilla?: Pues la respuesta, en el propio hilo. Que es muy completo, todo sea dicho. Enlace al hilo.
Curioso el momento dónde Pascal Gauthier indicaba que las personas que no se sientan seguras….que compren un Trezor. Aquí os dejo un hilo de Pascal.
Mi opinión:
¿Me gusta este sistema? No, no me gusta. Pero no me gusta a mi. Tengo un perfil con capacidad de sobra para gestionar yo mismo mis claves. Tengo un esquema de seguridad trabajo y me siento comfortable con el.
Pero yo no soy el único perfil en el mercado al que accede Ledger. Hay muchos más perfiles, y muchos de ellos con más aversión al riesgo de perder sus fondos por un error. Hablamos de personas que no entienden los Hardware Wallets, que no salen de Exchanges y que no quieren la responsabilidad de tener que ser el eslabón más fuerte de la cadena.
¿Me siento cómodo con la existencia de sistema? No, Ledger es una empresa muy profesional y aunque considero que saben hacer las cosas han tenido fallos y podrían tenerlos. No tengo la seguridad de que se pueda acceder a mis fondos. Si me dan la opción de tener este sistema, aunque no lo use, o no tenerlo, te diré que no quiero tenerlo. Que exista la posibilidad de extraer la seed me incomoda.
¿Tendrá éxito este Ledger Recover? Si, desde el punto de vista empresarial Ledger necesita un flujo de entrada de dinero más constante que vender dispositivos y nada más. Incluir en su portfolio de servicios una cuota mensual es el sueño de muchas empresas. Estas empresa, Ledger y compañía, necesitan tener ingresos recurrentes que les permitan garantizar su supervivencia.
No pensemos que la adopción será con palabras en papel o en placas de metal debajo del colchón. Pasará por soluciones más cerca de Ledger Recover que todo lo anterior.
¿Cuál es el problema? El problema es que se nos ha vendido una filosofía que no es. Se nos ha vendido un producto que tenía unas funcionalidades y ahora tiene otras. Y esas otras, te ponen en peligro, quieras o no. Ledger podría haber sacado un dispositivo dedicado a esta funcionalidad y habría sido menos dañino para su imagen.
Ledger Recover ha venido, probablemente, para quedarse. Ledger es una empresa solida y no creo que haga fuerza hacia atrás al sentirse atacada. Ledger siempre ha trabajado por y para la seguridad en la blockchain.
Somos peores sin Ledger. Pero Ledger no lo ha hecho bien, por ejemplo mira este tweet:
El 15 de Noviembre de 2022 Ledger decía:
Hola - tus claves privadas nunca abandonan el Secure Element Chip, que nunca ha sido hackeado. Este Secure Element está certificado por terceros y usa la misma tecnología que pasaportes y tarjetas de crédito. Una actualización de firmware no puede extraer tus claves privadas del Secure Element Chip
El 17 de Mayo de 2023 Ledger ha dicho:
Técnicamente hablando es, y siempre ha sido posible, escribir un firmware que posibilita la extracción de la llave privada. Siempre has confiado en que Ledger no no lanzara ese firmware, lo supieras o no.
Todo dicho. Y por si dudabas….este tweet ha sido borrado.
Yo no quiero Ledger Recover en mi dispositivo ahora mismo. No lo necesito y me siento traicionado. Y afortunadamente hay opciones.
Además la empresa ha confirmado que si existiera una solicitud por parte de un gobierno de acceso a los fondos Ledger debería dar acceso y técnicamente es capaz de hacerlo.
¿Opciones?
En Crypto101 hemos probado muchos dispositivos. Y alguno más nos quedará. Por filosofía y funcionalidad ahora mismo las mejores opciones son:
Keystone, no importa si hablamos de la versión Essential o Pro. Un dispositivo solido, seguro y con muy buena filosofía. Enlace a la review. Enlace a compra.
¿Quieres un descuento en la compra de tu Keystone? Pídemelo en comentarios.
OneKey Classic, perfecto para llevar encima. Cómodo y manejable. Multitud de cadenas. Enlace a la review. Enlace a compra.
Bitbox02, si eres persona de Bicoin, Ethereum y poco más Bitbox02 es simple, cómodo y de fiar. Enlace a la review. Enlace a compra.
Seguiremos informando.
Comparto tus conclusiones.
Después de una lectura rápida mi primera reacción es:
1. Cuando hablas de los diferentes perfiles, debo disentir. Se que cada persona puede asumir distintos niveles de riesgo aceptable. Pero ¿No todos los que se compran una hardware wallet están buscando exactamente lo mismo? ¿No buscan mantener sus llaves privadas en un almacenamiento offline?
Pero después de un análisis rápido, he cambiado de opinión:
2. El almacenamiento de las semillas nunca ha sido una filosofía monolítica, ni es la misma para todos los poseedores de hardware wallets. Algunos la guardan en papel, otro en archivos de texto con contraseña, otros guardan coordenadas de un libro, pero hay quien las tiene en la nube. Creo que para estos últimos es el servicio "recovery" ledger.
Ledger.....