Cartera “inhackeable” de McAfee presenta vulnerabilidades según desarrolladores

La cartera fría de criptomonedas recientemente promocionada por la firma McAfee y manufacturada por la empresa Bitfi está empezando a ser cuestionada por miembros de la comunidad de los criptoactivos, debido a la presunta falta de elementos de seguridad en su diseño, por lo que su lanzamiento podría estar empañado desde el comienzo.

Andrew Tierney — consultante de seguridad— afirmó el pasado 29 de julio, desde Twitter, que la cartera fría presentada por McAfee es un dispositivo de computación Mediatek MT6580. Es decir, un chipset MT utilizado en varios teléfonos del mercado, que no posee elementos visibles de seguridad para la protección de las criptomonedas almacenadas.

So now we have pictures of the bare @Bitfi6 board.

It’s just a MEDIATEK MT6580.

No sign of a secure element.

Thanks to @Mindstalker612 pic.twitter.com/uhtYDxcQlm

— Ask Cybergibbons! (@cybergibbons) 29 de julio de 2018

Tierney afirma que “no es una pieza hardware diseñada a la medida” para la protección de activos digitales fuera de linea, sino más bien “un teléfono Android de baja calidad”. Asimismo, insistió en varios tweets que la cartera fría posee un diseño de referencia estándar, que muestra ser un teléfono “con partes no ajustadas”.

* The device isn’t a custom designed piece of hardware, it’s a stripped back, low-end Android phone with parts missing.
* The processor on it doesn’t contain any specific functionality for high-integrity device.
* There isn’t any additional hardware on-board to fix this.

— Ask Cybergibbons! (@cybergibbons) 29 de julio de 2018

El consultor de seguridad destacó que la cartera fría era comparativamente mucho más costosa que otros dispositivos del mercado, tales como Ledger Nano S y Trezor —cuyo precio de manufacturación ronda en los 10 dolares—, puesto que la cartera Bitfi se calcula en precio de venta en 120 dólares debido a una manufacturación más costosa que las carteras frías ordinarias.

En este sentido, Tierney no critica al dispositivo por sus pagos, sino porque no posee enclave seguro, ni detección de falsificación, evidencia de falsificación, ni Trustzone, requisitos mínimos para confirmar la seguridad de la cartera fría. Asimismo, exigió a Bitfi que diera los detalles del enclave y las características para detectar manipulación en el dispositivo.

Bitfi contestó a las denuncias del consultor de seguridad afirmando que otros dispositivos del mercado tienen un diseño mucho más básico, describiéndolos como una simple “memoria USB”. En este sentido, se separó de otros dispositivos del mercado alegando que la cartera está diseñada contra robos: “Nuestra posición es que sería imposible robar monedas de la cartera robada”, fueron las palabras de la empresa, afirmaciones que son cuestionadas por especialistas en seguridad.

Las declaraciones de Bifti vienen reforzadas por anteriores comunicados y afirmaciones tanto de la empresa como de representantes de McAfee, quienes aseguran que la cartera fría es “inhackeable” e incluso ofrecen una cuantiosa recompensa para aquellos que puedan ingresar en el dispositivo.

It can’t be hacked. Fact. There is no software on the device, and no memory. So you can’t do a software hack. And the pass phrase is stored nowhere. Not in a server, not in the device … nowhere. There is nothing you can do to the hardware that will give you the pass phrase.

— John McAfee (@officialmcafee) 28 de julio de 2018

“No puede ser hackeado. Hecho. No hay software en el dispositivo ni memoria. Entonces no puedes hacer un hack de software. Y la frase de contraseña no se almacena en ninguna parte: no en un servidor, no en el dispositivo … en ninguna parte. No hay nada que pueda hacer con el hardware que le dará la frase de contraseña”, afirma McAfee respecto a la cartera que promociona, declaraciones que han generado aún más estupor en la comunidad.

Más allá de las discusiones, Bitfi se excusó destacando que la cartera sólo posee 2 meses de lanzamiento, por lo cual todavía no han abordado las inquietudes de seguridad pero lo harán próximamente, así como han invitado a que internautas intenten hackear la red.

Oh believe me, some of the top people in the world are doing just that. We just launched 2 months ago. These things take a little time but it’s coming and it will embarrass you

— Bitfi (@Bitfi6) 30 de julio de 2018

La comunidad se encuentra escéptica

Usuarios de la comunidad que discutieron con Bitfi afirmaron que la venta del dispositivo “es una estafa”. También exigen una publicación explicativa en las redes sociales que aborde las inquietudes de los clientes acerca de los implementos de seguridad del dispositivo.

Otros internautas se burlaron de la capacidad de seguridad del dispositivo, afirmando que cualquier herramienta que posee la capacidad de conectarse a WiFi es un dispositivo de almacenamiento de seguridad frágil:

Lol not surprising. A hardware wallet connecting to WiFi. Sounds real secure.

Makes me sad to see things like this going on in the space. Taking advantage of uneducated people for a quick buck.

This needs to stop for crypto to mature and go mainstream.

— Scitoshi Nakayobro (@sci4me) 29 de julio de 2018