Casa Keymaster recibe críticas por no ser de código abierto verificable

Casa, compañía proveedora sistemas de seguridad de clave multifirma, recibió fuertes críticas debido a que la nueva cartera Casa Keymaster no tiene código abierto verificable. Además, se cuestiona si la compañía mantiene el control de las llaves de todas las carteras de Bitcoin que provee a sus usuarios.

En un análisis publicado recientemente en la página WalletScrutiny.com, se enumeraron algunas razones para considerar la aplicación Casa Keymaster como un servicio poco confiable de utilizar. Esto debido a que no se puede verificar abiertamente la configuración de las carteras multifirma, lo que supone riesgos no advertidos, aunque se promocione que el usuario final tiene el control total de su cartera.

El moderador del sitio y autor del post, Leo Wandersleb, señaló que es improbable verificar si la cartera realmente es multifirma, ya que el software no es de código abierto y público. El veredicto de esta crítica se basa en ese último punto, principalmente.

“Internamente la compañía podría estar haciendo todo bien, pero mientras no podamos verificarlo, no hay nada que proteja al usuario de sufrir una estafa […] Si el proveedor está orientado a ser un criminal, probablemente ya haya recopilado los respaldos de las carteras, estando listo para vaciarlas con solo presionar un botón”

Leo Wandersleb, Wallet Scrutiny

Basándose en los comentarios que Jameson Lopp, jefe de tecnología de Casa, hiciera en el capítulo 182 del podcast de Stephan Livera, Wandersleb señala que Casa podría estar controlando la mayoría de las llaves de las carteras de sus clientes, al evidentemente tener ya una de las firmas que dicen tener. Esto podría lograrse evitando el escrutinio apropiado para comprobar que el usuario controla la otra llave de la cartera a través de la aplicación.

El investigador señala además que, al momento de solicitar una cartera fría, desde Casa insisten en enviarla ellos mismos directamente al comprador, lo que la expone a ataques de cadena de suministro, que podría vulnerar la seguridad de las carteras antes de que llegue a su nuevo dueño (el comprador).

Debido a que no puede encontrar un enlace para verificar el software en Google Play y GitHub, y a la luz de los planes ofrecidos a sus clientes, Wandersleb indica que el riesgo que se corre es enorme.

Lopp por su parte argumentaba en el podcast que no habían encontrado la forma de que Google Play y Apple Store validaran la autenticidad de su software, ya que estas tiendas aceptan estas apps mediante la firma criptográfica de sus desarrolladores, mas no verifican o muestran el código subyacente.

En comentarios exclusivos para CriptoNoticias, Wandersleb aseguró que la compatibilidad con Google Play no sería un problema porque la empresa disponga del código abierto para descarga pública, junto con las instrucciones para ejecutarlo.

“Ellos (Casa) sugieren que su negocio no funcionaría si publican el código, lo que es falso debido a las diferencias que hay entre código abierto y código público”, aseguró al preguntársele si la renuencia a abrir el código se debía a problemas o reservas con la licencia, explicando además las diferencias entre ambos conceptos.

“Código Público: Cualquiera puede leer el código y ejecutarlo pero si la licencia lo prohíbe, no se puede utilizar para más nada. No puedes competir con el proveedor del código y ni siquiera tomar una pequeña parte para utilizarlo en una app que le compita.

Código Abierto: Tal y como aprendí recientemente, la ONU considera que “Código Abierto” es un término técnico que significa lo que solía llamarse ‘FLOSS’ (Software Libre y de Código Abierto, por sus siglas en inglés). La ONU solo considera un “Código Abierto” si está bajo licencia de la OSI (Open SourceInitiative)”

Leo Wandersleb, WalletScrutiny

El día de ayer Wandersleb invitó por Twitter al equipo de Casa a responder a sus observaciones sobre la seguridad de esta cartera, sin recibir respuestas hasta el momento.

El pasado mes de mayo, Wandersleb comentó con el podcast En Consenso, de CriptoNoticias, varios de los aspectos cruciales en torno a la seguridad de las carteras de Bitcoin y otras criptomonedas, siendo enfático en la importancia del código abierto y en el rol del usuario en comprobarlo.