Por un lado, poder realizar una actualización del firmware permite corregir errores y agregar nuevas funciones. Sin embargo, el hecho de que el firmware sea actualizable tiene importantes desventajas relativas a seguridad y confianza.
Estos son los principales problemas:
Ataques internos: Un miembro malintencionado de la empresa (por ejemplo, un desarrollador con acceso al código del firmware) podría incorporar intencionalmente una puerta trasera o una vulnerabilidad en la actualización. Esto podría hacerse por beneficio personal, razones políticas o bajo presión externa.
Ingeniería social: Los atacantes pueden utilizar métodos de ingeniería social para engañar a los empleados de la empresa para que modifiquen el código o concedan acceso a los sistemas de actualización.
Coacción de los empleados: En algunos países, las leyes o los gobernantes pueden exigir que una empresa implemente capacidades de control de firmware o acceso remoto amenazando a empleados clave. Los empleados también podrían enfrentarse a la presión directa de piratas informáticos, grupos criminales o incluso actores estatales para introducir puertas traseras o vulnerabilidades.
Falta de control de calidad: Si el proceso de desarrollo y prueba de actualizaciones no es lo suficientemente riguroso, los errores aleatorios pueden pasar desapercibidos. Estos errores pueden convertirse en vulnerabilidades que los atacantes podrían aprovechar.
Sin auditoría independiente para cada versión: La auditoría de firmware es un proceso de revisión del código fuente, la arquitectura y los métodos de desarrollo por parte de una parte independiente no afiliada al fabricante del dispositivo. El objetivo de la auditoría es:
Identificar vulnerabilidades,
Verificar la ausencia de puertas traseras,
Evaluar la calidad de los algoritmos criptográficos, y
Confirmar el cumplimiento de los estándares de seguridad de la industria.
Las empresas que producen firmware actualizable suelen lanzar nuevas versiones con correcciones o funciones menores. Realizar auditorías para cada actualización requiere mucho tiempo y recursos financieros, lo que puede no ser factible para la mayoría de las empresas.
Como resultado, es posible que se publiquen actualizaciones sin pruebas previas por parte de expertos independientes. Sin una validación independiente, los usuarios no pueden estar seguros de que la nueva versión esté libre de puertas traseras o errores críticos.
Las actualizaciones pueden contener errores que hacen que el dispositivo sea vulnerable a ataques, por ejemplo, debido a criptografía implementada incorrectamente o vulnerabilidades en el procesamiento y almacenamiento de datos.
Casos reales
Ledger (2020):
En 2020, se descubrió una vulnerabilidad en las billeteras de hardware Ledger relacionada con el procesamiento de transacciones para criptomonedas derivadas de Bitcoin, como Litecoin y Dogecoin. Esta vulnerabilidad permitió a los atacantes crear transacciones que, según el usuario, enviaban altcoins, cuando en realidad los fondos se deducían en Bitcoin. Fuente
One Key (2023):
A principios de 2023, piratas informáticos de sombrero blanco descubrieron una vulnerabilidad en el firmware de la billetera OneKey que permitía piratearla en un segundo. El equipo de OneKey solucionó rápidamente la vulnerabilidad y afirmó que ningún usuario se vio afectado. Fuente
Ventajas del firmware fijo (no actualizable)
El firmware no actualizable en billeteras de hardware ofrece distintas ventajas, principalmente relacionadas con una mayor seguridad y confianza del usuario:
Sin riesgo de interferencia: Una vez que se lanza el dispositivo, el firmware es fijo y no se puede cambiar. Esto elimina la posibilidad de que el fabricante o los atacantes introduzcan puertas traseras ocultas. También minimiza el riesgo de que aparezcan nuevas vulnerabilidades ya que el código permanece sin cambios.
Sin actualizaciones obligatorias: A diferencia del firmware actualizable, el fabricante no puede obligar a los usuarios a instalar actualizaciones potencialmente peligrosas.
Auditoría única: El firmware puede ser revisado y certificado por expertos independientes antes del lanzamiento del dispositivo. De este modo, los usuarios pueden confiar en su fiabilidad. El firmware fijo genera confianza adicional, ya que la auditoría se realiza una vez y los usuarios saben que el código no cambiará.
Verificación de la integridad del firmware: Algunos fabricantes de billeteras de hardware permiten a los usuarios verificar de forma independiente la autenticidad del firmware y confirmar su conformidad con las versiones que pasaron auditorías independientes. Esto aumenta la confianza en el dispositivo y proporciona protección adicional para los fondos de los usuarios.
En conclusión, si bien la capacidad de actualización del firmware ofrece flexibilidad, los riesgos de seguridad y las preocupaciones sobre la confianza a menudo superan los beneficios. El firmware fijo, junto con auditorías independientes exhaustivas, proporciona una alternativa sólida para garantizar la seguridad a largo plazo de los fondos de los usuarios.
