Jun

Monedero Electrum de bitcoin mejora su seguridad en las firmas criptográficas

Electrum ha comunicado que a en las nuevas versiones del monedero, la firma GPG, que permite verificar la validez de las versiones para evitar aplicaciones fraudulentas, ha cambiado.

La información fue dada desde el Twitter oficial de Electrum en el que se informa que a partir de las nuevas versiones (4.1.3 fue la primera con este cambio, siendo la 4.1.4 la más actual) los paquetes que el equipo de desarrollo libere, contarán con una nueva firma GPG. Esta se encuentra integrada por las firmas individuales de los programadores conocidos como ThomasV y SomberNight.

En el comunicado se aclara que el cambio no se debe a que las firmas anteriormente usadas hayan sido comprometidas.

Los beneficios que trae consigo este cambio se reflejan en la seguridad de los paquetes. A partir de la versión 4.1.3, los atacantes necesitarán violentar dos firmas GPG en lugar de una para intentar falsificar los archivos. Cabe destacar que las firmas GPG no son susceptibles de ser hackeadas.

A partir de la versión 4.1.3 en el portal web de Electrum, los usuarios verán en la columna Firmas (Signatures) los seudónimos de los desarrolladores ThomasV y SomberNight. Fuente: Electrum.

Dentro del tuit se puede encontrar el enlace al repositorio oficial de Electrum que contiene la clave pública GPG con que los usuarios podrán verificar los paquetes de las nuevas versiones de la cartera.

Este cambio es solo a nivel de desarrollo y seguridad. Los usuarios podrán seguir utilizando sus carteras Electrum sin necesidad de efectuar ninguna acción especial. Las descargas desde el portal web tampoco sufrirán ningún tipo de modificaciones.

Firmas GPG para la autenticación de versiones

Una firma GPG es un conjunto de claves públicas y privadas, igual como ocurre con Bitcoin y otras criptomonedas. La clave privada es utilizada para firmar mientras que la publica sirve para verificar la autenticidad de la firma.

Lo interesante de este tipo de firmas criptográficas es que colocan una marca de tiempo, es decir, cuando la versión de un software se firma, se incluye la hora y fecha en que fue firmada.

La utilidad de estas firmas en el desarrollo de software es que permite verificar la autenticidad de los paquetes o software liberados. En un caso hipotético que el portal web de Electrum se vea comprometido, cambiando los paquetes de las versiones a descargar por uno fraudulentos, cualquier usuario puede tomar el paquete, utilizar la firma pública desde el repositorio oficial, y verificar la autenticidad del mismo.

El portal de Electrum ofrece un pequeño tutorial de cómo verificar las firmas GPG desde Linux. Fuente: Electrum.

Hackeo a Electrum con actualizaciones fraudulentas

A mediados del 2020, se dio a conocer que, a través de una actualización fraudulenta, habían sido robados más de 1.400 BTC desde la cartera Electrum. El hecho le ocurrió a un usuario que, desde el 2017, no actualizaba su monedero. Al abrirlo, inmediatamente se le mostró un mensaje de actualización requerida.

Al intentar actualizar, los ataques redirigieron la descarga hacia un servidor malicioso que descargaría una versión «actualizada» de Electrum fraudulenta, la cual se veía exactamente igual al original. Al ingresar su semilla, los fondos almacenados fueron transferidos inmediatamente a la cartera de los atacantes.

En este tipo de casos lo más recomendable por parte de los usuarios es consultar directamente, desde la página oficial de Electrum, la última versión oficial y firmada, para descargarla.